百度科學(xué)家韋韜：安卓生態(tài)患上安全白血病，如何治療？

　　5月24日至26日，2016中國(guó)網(wǎng)絡(luò)安全年會(huì)在四川省成都市世紀(jì)城國(guó)際會(huì)議中心舉行。本次會(huì)議邀請(qǐng)了政府部門、重要信息系統(tǒng)單位、基礎(chǔ)電信企業(yè)、非經(jīng)營(yíng)性互連單位、科研和產(chǎn)業(yè)機(jī)構(gòu)的領(lǐng)導(dǎo)和專家700余人參會(huì)，圍繞“聚網(wǎng)絡(luò)英才·筑安全生態(tài)”的主題進(jìn)行深入交流和探討。國(guó)際著名安全專家，百度首席安全科學(xué)家、百度安全實(shí)驗(yàn)室負(fù)責(zé)人韋韜博士，在25日的會(huì)議上，深刻的揭示了目前消費(fèi)者廣泛使用的安卓系統(tǒng)在生態(tài)上面臨的嚴(yán)峻安全威脅;并呼吁手機(jī)廠商和安全廠商緊密協(xié)作，共同改變當(dāng)前安卓生態(tài)上的安全錯(cuò)位。

　　安卓生態(tài)的安全白血病

　　安卓系統(tǒng)免費(fèi)開源，已經(jīng)在智能手機(jī)產(chǎn)業(yè)中占據(jù)主導(dǎo)地位。安卓系統(tǒng)也在高速演進(jìn)，版本不斷迭代，谷歌和各個(gè)安全公司也投入了大量資源對(duì)安卓的安全進(jìn)行改善和監(jiān)控，每年谷歌安卓安全團(tuán)隊(duì)的安卓安全報(bào)告都表示安卓安全情況令人樂觀，但安全公司經(jīng)常表達(dá)不同觀點(diǎn)。韋韜及其團(tuán)隊(duì)在多個(gè)國(guó)際安全會(huì)議上展示過安卓的高危安全問題。比如，2014年Blackhat安全大會(huì)上，韋韜和張煜龍演示了如何通過安卓系統(tǒng)上廣泛使用的各個(gè)主流廣告平臺(tái)在用戶毫無知覺的情況下遠(yuǎn)程控制安卓手機(jī)，獲得包括錄音、錄像等隱私信息;2015年Blackhat安全大會(huì)上，他們?cè)俅握故玖巳绾喂テ瓢沧渴謾C(jī)上包括TrustZone在內(nèi)的層層防御獲取用戶指紋。

　　在本次大會(huì)上，韋韜從安卓?jī)?nèi)核漏洞出發(fā)，系統(tǒng)的闡述了安卓生態(tài)中的安全錯(cuò)位導(dǎo)致了整個(gè)生態(tài)進(jìn)入了一種長(zhǎng)期以來難以治愈的安全重癥，韋韜將其稱為生態(tài)安全白血病。安卓的生態(tài)安全白血病重要表現(xiàn)為，在用戶實(shí)際使用的安卓設(shè)備中始終有很高比例(超過50%)可以被攻擊者通過公開的內(nèi)核漏洞利用(N-Day Exploit)獲得內(nèi)核控制權(quán)。

　　安卓絕大部分的安全機(jī)制依賴于內(nèi)核的完整性。如果有內(nèi)核漏洞，那么基礎(chǔ)性的安全機(jī)制就會(huì)崩潰。當(dāng)攻擊者獲得內(nèi)核控制權(quán)時(shí)，可以輕易繞過App隔離機(jī)制以及絕大多數(shù)安卓系統(tǒng)安全機(jī)制，對(duì)用戶的支付安全、指紋隱私等造成嚴(yán)重威脅。這使得應(yīng)用開發(fā)廠商，特別是移動(dòng)支付和移動(dòng)金融廠商，面臨著來自黑產(chǎn)盜號(hào)刷卡的嚴(yán)峻威脅。目前產(chǎn)業(yè)用于抵抗這種安全威脅的方式是TrustZone(ARM處理器的一種安全隔離環(huán)境)，但其實(shí)TrustZone有一個(gè)致命弱點(diǎn)：大部分TrustZone邏輯相信來自于內(nèi)核的輸入，而且無法區(qū)分輸入源發(fā)自于真正的移動(dòng)應(yīng)用程序，還是獲得了內(nèi)核權(quán)限的惡意代碼。而且隨著廠商把越來越多的功能放進(jìn)TrustZone，也會(huì)將越來愈多的漏洞引入TrustZone，這個(gè)后果甚至比內(nèi)核漏洞更加嚴(yán)重。

　　安卓生態(tài)陷入安全白血病的緣由

　　安卓的開源政策，使得全世界不計(jì)其數(shù)的廠商自由定制ROM，加劇了安卓平臺(tái)的風(fēng)險(xiǎn)。雖然安卓?jī)?nèi)核的漏洞較多，但這是引起安卓長(zhǎng)期不安全的主要原因嗎?

　　韋韜展示了iOS和安卓?jī)?nèi)核漏洞統(tǒng)計(jì)的對(duì)比數(shù)字。令人驚訝的是，iOS 的系統(tǒng)內(nèi)核漏洞長(zhǎng)期高于安卓。但大家普遍認(rèn)為iPhone比安卓安全很多。這是為什么?是因?yàn)樘O果修復(fù)漏洞采用的是快速?gòu)?qiáng)制升級(jí)的方式，用戶無法選擇升級(jí)中間版本，只能是最新的，這樣版本碎片的情況非常小。這樣的后果是留給攻擊者利用已知漏洞的時(shí)間窗口也很短，從而很好的保護(hù)了普通消費(fèi)者用戶的安全。而安卓出現(xiàn)系統(tǒng)漏洞時(shí)，整個(gè)產(chǎn)業(yè)鏈往往需要花很長(zhǎng)的時(shí)間才能把修復(fù)補(bǔ)丁推送到用戶手上的設(shè)備，甚至不少設(shè)備根本沒有廠商提供的補(bǔ)丁。

　　韋韜分析指出，這種現(xiàn)象不是單純的因?yàn)榘沧慨a(chǎn)業(yè)鏈不想修復(fù)內(nèi)核漏洞，而是很多復(fù)雜的原因造成的。主要原因有如下三條：

　　一、 安卓的產(chǎn)業(yè)鏈過長(zhǎng)。安卓生態(tài)系統(tǒng)產(chǎn)業(yè)鏈非常長(zhǎng)，從硬件廠商，到谷歌，到手機(jī)廠商，再到運(yùn)營(yíng)商。每一個(gè)環(huán)節(jié)都有自己的開發(fā)、質(zhì)控、驗(yàn)證等復(fù)雜流程，有時(shí)候還會(huì)相互沖突。這樣要消耗大量的時(shí)間和人力，而且有時(shí)甚至導(dǎo)致安全補(bǔ)丁無法下發(fā)給用戶;

　　二、 安卓系統(tǒng)碎片化過于嚴(yán)重。安卓系統(tǒng)的碎片化是指世界上所有安卓用戶實(shí)際使用的安卓版本、配置、驅(qū)動(dòng)等等有著非常顯著的差異。安卓系統(tǒng)碎片化已經(jīng)成為了業(yè)界共識(shí)，由于系統(tǒng)的開源性，用戶、開發(fā)者、OEM廠商、運(yùn)營(yíng)商都可以按照自己的想法對(duì)這只綠色機(jī)器人進(jìn)行改造，這種“碎片化”的程度異常嚴(yán)重。在這種情況下，大多數(shù)手機(jī)設(shè)備廠商已經(jīng)失去了為所有用戶使用的安卓系統(tǒng)提供安全補(bǔ)丁的能力;

　　三、 生態(tài)職能不匹配。其實(shí)最容易推進(jìn)修復(fù)的是手機(jī)廠商，但大部分手機(jī)廠商自身的碎片化現(xiàn)象非常嚴(yán)重，導(dǎo)致了手機(jī)廠商沒有足夠的資源和精力去修復(fù)漏洞。而對(duì)于安全廠商來講，修復(fù)漏洞也是一件很尷尬的事情。在正常情況下，安全廠商是沒有系統(tǒng)授權(quán)的，除非先進(jìn)行ROOT。即使ROOT，安全廠商仍然要面臨不同手機(jī)品牌更加嚴(yán)重的碎片化挑戰(zhàn)。

　　生態(tài)重癥如何治療？

　　公開內(nèi)核漏洞利用已經(jīng)成為安卓生態(tài)的白血病，破壞著整個(gè)生態(tài)的安全基礎(chǔ)。那么面對(duì)病入膏肓的生態(tài)安全，該如何有效保護(hù)用戶?生態(tài)病患如何治療?

　　韋韜認(rèn)為，生態(tài)病患必須要進(jìn)行生態(tài)治療，改變錯(cuò)位的生態(tài)格局。然而要改變生態(tài)，必須首先要有顛覆性技術(shù)變革，來支撐新的生態(tài)布局。

　　為此，韋韜帶領(lǐng)百度安全實(shí)驗(yàn)室的移動(dòng)安全專家們研究開發(fā)出了革命性的自適應(yīng)內(nèi)核熱修復(fù)技術(shù)，并且已經(jīng)為該技術(shù)申請(qǐng)了五項(xiàng)專利。這種技術(shù)無需實(shí)際內(nèi)核編譯所用的源碼和配置，能夠自動(dòng)匹配目標(biāo)安卓系統(tǒng)的漏洞進(jìn)行在線熱修復(fù)。這種技術(shù)極大的提升了廠商面對(duì)安卓高度碎片化的應(yīng)對(duì)能力，而且也大大縮短了廠商推送內(nèi)核安全補(bǔ)丁到最終用戶的過程。根據(jù)統(tǒng)計(jì)，目前采用此技術(shù)可以修復(fù)市場(chǎng)中99.4%的安卓產(chǎn)品的內(nèi)核漏洞。

　　在自適應(yīng)內(nèi)核熱修復(fù)技術(shù)的支撐下，韋韜進(jìn)一步建議手機(jī)廠商和安全廠商緊密合作，進(jìn)行協(xié)同受控防護(hù)，重構(gòu)安卓生態(tài)。這種合作是雙方受益的，手機(jī)廠商可以為用戶提供更加安全的產(chǎn)品，而安全廠商則可以為企業(yè)和行業(yè)用戶提供更加專業(yè)的安全服務(wù)。設(shè)備廠商在安全可控的情況下，賦予安全廠商能夠進(jìn)行有效防御的權(quán)限，充分發(fā)揮安全廠商的能力和作用，雙方共同合作有效應(yīng)對(duì)安卓生態(tài)面臨的嚴(yán)峻安全威脅。

　　最后，韋韜認(rèn)為，目前安卓生態(tài)的安全問題非常嚴(yán)峻，傳統(tǒng)的解決方案已經(jīng)很難為安卓生態(tài)提供安全防護(hù)，自適應(yīng)內(nèi)核熱修復(fù)技術(shù)可以提供一種技術(shù)上的解決方案，協(xié)同受控防護(hù)則提供一個(gè)生態(tài)聯(lián)防的方向。但即使如此，業(yè)界仍然面對(duì)著巨大的工作量來修復(fù)安卓生態(tài)中海量的各色漏洞。韋韜呼吁，目前安全形勢(shì)非常險(xiǎn)峻，需要安卓產(chǎn)業(yè)界的同仁們一起努力，建立起健康的安卓新生態(tài)。百度也將開放自適應(yīng)內(nèi)核熱修復(fù)技術(shù)專利給合作伙伴，共同建設(shè)一個(gè)安全的安卓新生態(tài)。