安卓系统不安全,这锅谁背?
2018/1/24 12:02:15 浅黑科技

     图片来自电影《战争之王》

     经典电影《战争之王》里有句台词特经典:“核导弹都放在发射架里,你卖的AK47才是大规模杀伤性武器。

     今天我想用黑客的故事来诠释这句话。

    

     画面中穿得比较凉快的两位,是世界顶尖黑客MJ0011郑文彬(右二)和龚广(右一)。

     MJ0011 是360首席工程师,龚广的移动安全水平世界领先。画面中,他正手拿麦克风,讲解自己前阵子发现的一个原子弹级别的安卓漏洞的经历。

     2017年8月,龚广向谷歌公司提交了两个漏洞,一个是 Android 系统底层漏洞(CVE-2017-5166 ,一个是浏览器内核漏洞(CVE-2017-14904),这俩漏洞组合起来能形成一套强大的攻击套路:

     只要手机用户点开个链接,手机就直接被控制,包括电话、短信、相册等基础应用都无法幸免。

     这是谷歌公司发布安卓漏洞计划(ASR)三年以来,首个能远程有效利用的系列漏洞,故得名:“穿云箭”

     龚广本人也凭这套组合漏洞,斩获ASR史上最高漏洞奖金:112500 美元,折合人民币七十多万元,令众多白帽子垂涎三尺,深刻诠释了什么叫“一套漏洞一套房,嫁人当嫁安全郎。”

     关于这套漏洞为什么这么贵?MJ0011讲了一则趣事:

     话说,2017年世界顶级黑客破解大赛Moblie Pwn2Own,各路顶尖高手云集。

     然,比赛项目中,唯独有一款手机自始至终没被攻破。不仅没被攻破,连报名尝试挑战的都没有!

     这款手机并非 iPhone,而是搭载最新版 Android ,被称为谷歌亲儿子的 Pixel手机。(好吧,可能有的朋友听都没听过,不过这不重要)

     MJ0011说:“在安全圈内,Pixel 被誉为最难攻破的手机。”此乃一套漏洞一套房的关键所在。

    

     画外音:等等!不是说要讲“黑客版原子弹和AK47”么?怎么全程变成360的人晒研究成果了?

     这位观众不要着急,我们慢慢来。

     刚刚我们讲的大漏洞就是“原子弹”,它在发射架里并未爆发。现在说说AK47。

     细心的观众朋友可能会发现上文中有个 BUG:黑客破解大赛上,搭载安卓系统的 Pixel 手机,居然比苹果的 iOS系统还难破解?这不符合常规逻辑。

     说起手机系统的安全性,大部分人的印象还是:安卓(Android)系统不如苹果iOS 安全。只是,大部分人都说不出来为何如此。

     讲道理,Android系统是谷歌公司的,iOS 系统是苹果公司的,两家都是市值几千亿美元的大公司,不太可能在安全技术上相差悬殊。

     以及,同样是安卓系统,为什么 Pixel 就是最难破解的手机,我手里的安卓手机就像个渣渣?难不成我用的是假的安卓系统?

     恭喜答对。

     我们大部分人手里的安卓系统,都不是“真·安卓”。市面上安装了“真·安卓系统”的都被称为谷歌的亲儿子——比如 Nexus 和 Pixel 。

     剩下的都是干儿子——市面上的手机厂商几乎没有搭载原生Android 系统,都是在原系统基础上的深度定制版。比如小米是MIUI,OPPO手机是ColorOS、360手机是360OS,而华为则是EMUI,号称基于Android开发的情感化操作系统:

    

     这个干儿子听起来是不是比亲儿子更厉害?

     厂商定制化系统的原因有很多,一言以蔽之就是想搞特色化。我猜,倘若哪天苹果把 iOS 系统开放出来,估计也会被手机厂商们改得花枝招展,处处闪烁群众智慧的光芒。

     定制虽好,也会导致一些不可逆的问题:碎片化,而碎片化就是安卓系统不安全的根本原因。

     举个例子:

     同样是下载软件,

     苹果用户直接去AppStore,安全管控严格,童叟无欺。

     国外大部分安卓用户也习惯去谷歌官方的应用市场 GooglePlay下载,管控也很到位,APP滥用权限的情况不多见。

     可到了咱们国内,由于谷歌没在中国大陆开展业务,用户只能自己找下载渠道,于是形形色色的软件分发网站出现了。。。 。。。

    

     大超市和小摊贩的还是有差距的,国内应用市场的安全管控水准显然赶不上苹果、谷歌这样的一线科技大佬。于是,早年间国内充斥着恶意软件、APP滥用权限等情况。一个计算器软件也要获取GPS定位权限,相信不少人经历过这种情况。

     碎片化问题不止于此,更严重的是漏洞修补问题。

     一个安卓漏洞的理想修复流程是这样的:

     白帽子发现漏洞,提交给谷歌。谷歌收到后迅速修复,并迅速下发补丁给厂商,厂商迅速为旗下的多个手机版本做补丁适配,然后迅速推送给用户安装。

     我这段描述连用了四个迅速,要迅速到什么程度?至少要比黑产迅速。

    

     然而,实际情况是这样:

     谷歌收到后,先研究十天半个月,下放补丁给厂商,厂商又花一段时间研究一下补丁是否有必要安装,是否有其他影响,然后一个个去匹配各种机型,测试,每个机型花几天

     最后,等用户打上安全补丁,时间已过去好几个月,足够黑产把所有姿势玩个遍。甚至,有的厂商对旧机型干脆不推送安全补丁,任由用户“自生自灭。”

    

     图片只是示意,并不任何影射,无需对号入座

     下面这张是谷歌官方放出的漏洞修复率数据:

    

     图表引自深几度相关报道

     在国内,360手机卫士和中国泰尔实验室也发布过一组统计数据:

     在测试手机中,平均未修复漏洞比达到19%,平均每款终端均含有未修复漏洞5个左右。

     厂商不及时更新补丁原因很多,比如担心推送影响用户体验,耗费人力等。费力不讨好也是个重要原因,手机厂商推了补丁用户却不安装,厂商也不敢弹个窗口叮嘱说“乖,我这都是为了你好!”

     除此之外还有一些复杂因素,在此不一一赘述,总之最终结果就是:真·安卓系统很安全,我们手里的,未必。

     回到原子弹和AK的话题。一个漏洞能有多厉害?可以很厉害,厉害到能攻破全球任何一台设备,但是,真正伤害网民的却是那些零散的,看似不起眼的小问题,这些问题集合起来,成全了黑产们千亿规模的狂欢。—— “核导弹都放在发射架里,你们卖的AK47才是大规模杀伤性武器。”

     万幸的是,国内厂商没有弃疗,大家还是越来越关注安全这件事。

     2017年12月,中国信息通信院泰尔终端实验室牵头成立了移动安全联盟(MSA)。360作为联盟理事成员,借着“穿云箭”组合漏洞宣布之际,推出了一个“先行者”行动

     先行者行动是啥?

     原本白帽子发现漏洞,先报告给谷歌官方,然后进入冗长的修补周期,厂商只能等着谷歌推送补丁。在“先行者”行动中,360会在通报谷歌官方的同时,将漏洞修补情况跟移动安全联盟成员共享,直接跟联盟中的手机厂商同步信息,判断风险,帮助手机厂商制定防御方案,缩短漏洞修复时间。没有中间商赚差价。

     用360首席安全官谭晓生的话说:在谷歌补丁到达之前,先吃一颗速效救心丸。

     360方面也希望有更多联盟成员能贡献出自己的技术力量,帮助中国移动厂商缩短漏洞修复时间。

     我看了一下谷歌2017漏洞致谢榜,中国厂商占据半壁江山,感觉国内厂商若真能联手好好做一下移动安全,应该还是很有希望情况好转的。。。

    

    

     本文作者谢幺,试图用人话把黑客技术黑科技那些事讲给你听,欢迎交流吐槽勾搭,微信号dexter0。

     戳蓝字查看更多内容

     黑客故事

     黑客李均歪传

     痴人赵武:我还没打算和命运握手言和

     草根黑客K0:梦想很贵,但值得一试

     “95后”黑客单好奇:再推一把自己

     黑客小灰灰:让时间来证明一切

     Oscar:我对人生的期望

     十年前的黑客哥们,现在可还好?

     妖妖灵吗?我是个黑客,我被黑客给黑了

     你有勇气和这三个未成年黑客比一比谁更XX吗?借你三个梁静茹

     风云观点

     Fortinet|苹果资本|双面黑客

     美国大断网全纪实

     周鸿祎:未来的世界属于怪咖

     张溪梦:“增长黑客”的四认知

     李鸣雷:我眼中的云安全

     “君有漏洞在腠理 不治将恐深”

     刘刚:威胁情报和反病毒

     王博:认真做人脸识别

     “情报薛”:我要做的威胁情报

     肖力:时间会把一切还给我们

     探索好奇

     大数据“读心术”|二维码破解

     达摩院 |破解ofo

     科幻巨制《天猫双11》

     “摸屁股盗刷术”

     CCF-IFAA科研基金

     神龙云服务器

     膨胀的iPhone 8

     揭秘:两张A4纸破解人脸识别

     浅黑科技,让技术被读懂

    

    

    http://weixin.100md.com
返回 浅黑科技 返回首页 返回百拇医药