|
前不久,,很多國內(nèi)外媒體都曝光了Android廠商涉及安裝假安全補丁的消息,,一時間鬧得人人自危。那么,,我們手中的智能手機到底安不安全,,如何才能避免讓其從“掌中寶”變成“掌心雷”呢? 因智能扮演“掌中寶” 智能手機的崛起,,徹底改變了我們的生活,。以往,查找資料,、購物聊天,、視頻游戲都會被PC限制到寫字臺的一畝三分地上,如今通過智能手機可以實現(xiàn)90%以上的PC功能,,隨時隨地解決各種生活,、學習、娛樂和辦公需求,。 可以說,,智能手機已然成為很多用戶的“掌中寶”,借助豐富的APP,,只有想不到的功能,,沒有辦不到的功能。 安全風險異變“掌心雷” 隨著移動支付的興起,,很多用戶出門不再攜帶錢包,,乘車、購物、理財,、轉(zhuǎn)賬,,都已習慣在手機端完成。在享受移動支付便利的同時,,我們必然也將面臨潛在的安全風險,。 和PC與Windows系統(tǒng)一樣,智能手機同樣存在硬件和軟件層面的安全漏洞,,一旦有黑客借助漏洞發(fā)起攻擊,,智能手機就不再是掌中寶,而是掌心雷,,一不留意就能炸開保護個人隱私和財產(chǎn)安全的大門,。 系統(tǒng)漏洞的危害在哪里 以普及度最高的Android為例,谷歌對該系統(tǒng)的漏洞危險評級標準分為嚴重,、高危,、中危三個級別,其中高危及嚴重漏洞對用戶影響較大,。 同時,,Android系統(tǒng)的漏洞還可劃分為本地漏洞和遠程漏洞,其中遠程攻擊漏洞危險等級高,、被利用風險最大,,所以備受廠商關(guān)注。 不要以為Android系統(tǒng)漏洞與我們很遙遠,,360發(fā)布的《2017年安卓系統(tǒng)安全性生態(tài)環(huán)境研究報告》數(shù)據(jù)顯示,,受高危漏洞影響的Android設(shè)備數(shù)占比高達93.9%,存在遠程攻擊漏洞的手機占比92.3%,,而漏洞最多的設(shè)備同時包含有49個安全漏洞,! 那么,高危漏洞的威脅到底有多大,?2018年1月騰訊安全玄武實驗室與知道創(chuàng)宇404實驗室就聯(lián)合披露了攻擊威脅模型——“應(yīng)用克隆”:在Android手機上,,“攻擊者”向用戶發(fā)送一條包含惡意鏈接的手機短信,用戶一旦點擊其賬戶一秒鐘就會被“克隆”到“攻擊者”的手機中,,“攻擊者”可任意查看用戶信息并可直接操作該應(yīng)用,。 這個漏洞的原理,是將APP沙盒里的私有數(shù)據(jù)(/DATA/DATA/$PackgeName)復制到新手機里,,而APP不會發(fā)現(xiàn)這個操作,,在啟動時也無需驗證安全環(huán)境。利用WebView的問題,,可通過網(wǎng)頁上傳其他APP沙盒里的私有數(shù)據(jù)。 換句話說,我國超過90%的Android設(shè)備因遠程攻擊漏洞的存在而面臨著被黑客遠程控制的威脅:在無需系統(tǒng)級賬戶驗證的情況下,,黑客便能通過網(wǎng)絡(luò)訪問目標,,進而利用漏洞實現(xiàn)對用戶手機控制的目標。 此時,,一旦用戶手機數(shù)據(jù)缺口被打開,,個人信息、私密文件,、移動支付賬號密碼等都將暴露在外,。通過短信劫持,各種驗證碼和扣費,、交易提醒短信也不會發(fā)到機主手機上,,最終被黑客在神不知鬼不覺中就“收入囊中”,用戶的人身和財產(chǎn)安全便徹底失去了保障,。 來自谷歌的亡羊補牢 對操作系統(tǒng)而言,,存在漏洞并不稀奇,和Windows系統(tǒng)相比,,Android系統(tǒng)的安全漏洞其實并不算多,。但是,正是由于越來越多用戶都將手機作為了錢包使用,,其潛在的安全隱患就要比Windows來的更加猛烈了,。 為了緩解Android系統(tǒng)的安全威脅,谷歌會不斷強化新版本系統(tǒng)的抵御漏洞的能力,,比如從Android 7.0開始就引入了隱私敏感權(quán)限動態(tài)管理功能,,在一定程度上增強了用戶手機隱私的安全性。 然而,,Android手機的最大特色就是碎片化,,只有少數(shù)老機型可以實現(xiàn)從Android 6.x到Android 7.x的跨版本升級,這意味著絕大多數(shù)老款手機都無法享受最新版本的Android系統(tǒng)編制的安全網(wǎng),。 Android 8.x是最新的系統(tǒng)版本 所以,,谷歌還準備了一個亡羊補牢的后招,那就是每個月都會發(fā)布Android系統(tǒng)安全補丁,,供OEM廠商通過OTA升級推送給購買自家設(shè)備的消費者,。 沒辦法,國產(chǎn)Android手機的系統(tǒng)都不是原生Android,,都是屏蔽了谷歌服務(wù)的深度定制化版本,,只能通過手機廠商的系統(tǒng)更新方式為設(shè)備打上最新的安全補丁。 舉個例子,,曾經(jīng)鬧得沸沸揚揚的Meltdown(熔斷)和Spectre(幽靈)漏洞,,就被谷歌打包進了“Android安全補丁日期2018年1月1日”這個版本,大家可以進入手機的“系統(tǒng)設(shè)置→關(guān)于手機→Android安全補丁程序級別”,如果這個選項對應(yīng)的日期是2018年1月1月或比其更新,,才代表不怕Meltdown和Spectre的威脅,。 滿嘴跑火車的手機廠商 為了Android系統(tǒng)的安全,谷歌可謂是操碎了心,,可惜并非所有手機廠商都買谷歌的帳,。在4月初阿姆斯特丹舉辦的Hack in the Box安全大會上,來自安全研究實驗室(SRL)的研究者Karsten Nohl和Jakob Lell曝光了一個驚人的結(jié)果:研究人員查看了近兩年的數(shù)百款Android手機系統(tǒng)代碼,,其中絕大多數(shù)都存在安全隱患,,缺少“一大堆”安全補丁的手機并不少見。 谷歌“親兒子”Pixel 2系列手機 據(jù)悉,,除了谷歌自家旗艦Pixel和Pixel 2按部就班地更新了所有的安全補丁,,其他手機廠商,無論是三星,、索尼這些國際品牌,,還是華為、小米,、一加,、TCL等國產(chǎn)手機,全部存在漏掉谷歌提供的安全補丁的情況,。而最令人感到震驚的是,,部分手機廠商甚至故意歪曲事實,他們只是在推送時候改了個更新日期,,壓根兒就沒有打補?。?/span> 研究人員Nohl認為,,這種假裝打補丁的問題是最要命的,,他們告訴用戶有,但其實沒有,,從而產(chǎn)生了一種虛假的安全感,,這些漏洞一旦被黑客盯上還是會“非死即傷”。 對Android手機安全補丁的修復問題,,SRL專門制作了表格,,其將制造商分為三個類別,評判標準就是它們2017年(10月及之后收到至少一個安全推送)修補漏洞的誠實指數(shù),。 從中可見,,表現(xiàn)最好的是谷歌、索尼,、三星和WIKO(深圳天瓏移動控股的,在法國注冊的生產(chǎn)手機的法國品牌),;小米,、一加和諾基亞則排在第二梯隊;表現(xiàn)最差的則是中興和TCL,,他們都宣稱完成了4次以上的安全更新,,但其實是說了假話。 補丁之“鍋”誰來背 就Android手機沒有按時按量打補丁的問題,,這個“鍋”打底該誰來背,還是得具體問題具體分析,,不能一棒子打死所有人,。 Android系統(tǒng)的一些漏洞涉及到硬件,比如BlueBorne漏洞會攻擊藍牙協(xié)議,、KRACK是看準了Wi-Fi WPA2中的漏洞,,想修復它們和包括Meltdown和Spectre在內(nèi)的很多漏洞,都需要與硬件供應(yīng)商(如高通,、聯(lián)發(fā)科,、三星、麒麟,、博通,、德州儀器等)合作,視該漏洞涉及諸如Wi-Fi,、藍牙,、CPU或電源管理等硬件組件而定。 問題來了,,這些涉及到硬件的漏洞,,作為手機廠商的研發(fā)人員是無能為力的,需要相關(guān)硬件供應(yīng)商給出解決方案之后,,手機廠商再結(jié)合自家的產(chǎn)品和系統(tǒng)進行修復,,最后通過OTA加以解決。如果硬件供應(yīng)商的修復節(jié)奏慢了,,自然也會影響到手機端的修復節(jié)奏,。
此外,很多Android手機廠商會在原生系統(tǒng)的基礎(chǔ)上進行定制精簡,,比如國產(chǎn)品牌都會閹割谷歌服務(wù),,有時候無形中就早已移除了可能存在漏洞的功能。一些低端機不支持藍牙5.0,,不支持NFC,,不支持無線顯示,所以自然也不需要為這些功能組件的漏洞打補丁了,。 拋開這些因素外,,剩下的問題就需要手機廠商來承擔了,。很多低端手機從上市到退市,可能只會經(jīng)歷1到2次系統(tǒng)更新,,自然不可能打上其銷售期間的所有安全補丁,。哪怕是一些中高端型號,也會因研發(fā)精力的成本的原因漏掉一些安全補丁,。能否最大限度避免這個問題,,就完全取決于手機廠商的良心了。 缺少補丁就一定不安全嗎 看到這里,,可能很多Android手機用戶都開始“肝顫”了:自己的手機貌似安全補丁日期還停留在2016年,,這不意味著對黑客不設(shè)防嗎? 請放心,,Android系統(tǒng)并沒有大家想象得那般脆弱,。 谷歌就SRL曝光的補丁事件做出了如此回應(yīng):現(xiàn)代的Android手機安全功能足夠強大,它們?yōu)橛脩舸罱撕芏鄬臃雷o網(wǎng),,即使不打補丁也很難被黑客攻破,。 那么,現(xiàn)代Android手機到底安全在了哪里,? iOS系統(tǒng)之所以相對于Android系統(tǒng)更安全,,就是因為蘋果為其指定了“沙盒機制”,每個APP都有自己對應(yīng)的沙盒,,APP之間不能相互訪問非本程序的沙盒,。
實際上,Android系統(tǒng)也具備所謂的“沙盒機制”,,并從Android 4.0以后還引入了隨機定位布局的解決方案,,應(yīng)用在內(nèi)存上的位置是隨機的,防止惡意軟件對手機進行完美入侵,。 具體來說,,Android的“沙盒機制”是靠權(quán)限控制來完成的,該系統(tǒng)安全架構(gòu)的中心思想就是:應(yīng)用程序在默認的情況下不可以執(zhí)行任何對其他應(yīng)用程序,,系統(tǒng)或者用戶帶來負面影響的操作,。 用戶安裝的第三方APP默認只能訪問私有存儲(/DATA/DATA/$PackgeName,獨立的專屬沙盒)和共享存儲(/SDCARD,,即存儲卡空間)兩個存儲區(qū)域,,無法讀取其他APP的私有存儲區(qū)域,從而實現(xiàn)了一個應(yīng)用程序獨享一個安全沙盒且無法影響到其他沙盒的目標,。 同時,,APP想要讀取聯(lián)系人、發(fā)短信,、打開攝像頭等操作時都需要系統(tǒng)彈出權(quán)限申請?zhí)嵝汛翱?,也算是多上了一把安全鎖,。
但是,Android系統(tǒng)卻存在兩個后門,,一個是ROOT,,一個是USB調(diào)試模式。當手機被ROOT之后,,任何第三方APP就都具備了訪問私有存儲區(qū)域之外其他沙盒的能力,,對沙盒機制的破壞是毀滅性的。
而當手機開啟USB調(diào)試模式后,,與PC相連時也能通過ADB命令讓第三方APP跳出沙盒機制的限制,,獲得類似ROOT系統(tǒng)后的能力。 如何確保手機安全 首先我們需要認清一個事實,,相較于漏洞的存在,補丁修復永遠處于滯后階段,,何況很多Android手機還存在漏打或假打補丁的情況,,所以我們的手機實際上是始終都身處于危險之中。因此,,與其寄希望于補丁,,防患于未然才是值得我們遵循的手段。 具體來說,,除非特別必要,,大家千萬不要ROOT自己的手機,USB調(diào)試模式(即開發(fā)者選項)平時必須處于關(guān)閉狀態(tài),。涉及到賬號,、財產(chǎn)和余額的銀行/理財短信通知要及時清理(防止被APP讀取后惡意利用),一旦遇到收不到驗證碼(短信被劫持)或手機突然沒有信號(號碼被復制)時要保持警惕,,第一時間聯(lián)系當?shù)剡\營商咨詢,,如有必要進行掛失處理。
短信外鏈是遠程攻擊的最主要漏洞入口 此外,,在下載第三方APP時,,要優(yōu)先通過手機自帶的應(yīng)用商店下載,避免通過小廣告或瀏覽器中不知名網(wǎng)站/論壇下載,。最后,,就是任何短信中的網(wǎng)絡(luò)鏈接都不要點開,小心陌生人發(fā)來的微信紅包其實是內(nèi)涵外鏈的圖片,,盡量不要鏈接公共場所下的免費Wi-Fi(機場,、火車站等地區(qū)的官方Wi-Fi除外)。 |
|
|
