ISC 2017中國互聯(lián)網(wǎng)安全大會(huì)聚焦Android漏洞安全

　　掃碼購物、團(tuán)購訂餐、軟件叫車、信用租房……我國的移動(dòng)互聯(lián)網(wǎng)已經(jīng)十分普及，工信部顯示，截至2017年7月末，我國移動(dòng)用戶已達(dá)12億，位居世界第一。但是，移動(dòng)互聯(lián)網(wǎng)高速發(fā)展，在給用戶帶來便利的同時(shí)，利用漏洞針對(duì)移動(dòng)端的攻擊卻從未減少，并且呈現(xiàn)出愈演愈烈之勢，給移動(dòng)互聯(lián)網(wǎng)用戶的財(cái)產(chǎn)乃至人身造成嚴(yán)重威脅。

　　9月13日召開的ISC 2017中國互聯(lián)網(wǎng)安全精英峰會(huì)上，移動(dòng)端安全成為大會(huì)關(guān)注的焦點(diǎn)， 360集團(tuán)首席安全官譚曉生專門對(duì)移動(dòng)端安全的現(xiàn)狀進(jìn)行了分析，指出Android漏洞利用愈發(fā)嚴(yán)峻，主流手機(jī)漏洞修復(fù)嚴(yán)重滯后等問題，并提出了360針對(duì)安卓手機(jī)打熱補(bǔ)丁的解決方案。

　　而作為今年ISC大會(huì)新增項(xiàng)目的移動(dòng)終端安全論壇更是邀請(qǐng)了中國移動(dòng)、華為、泰爾實(shí)驗(yàn)室、盤古實(shí)驗(yàn)室、360等電信運(yùn)營商、手機(jī)廠商和安全研究機(jī)構(gòu)的代表，對(duì)移動(dòng)端漏洞的挖掘、攻防、管理控制、修復(fù)等進(jìn)行了全程化的深度剖析，并呼吁各方聯(lián)合構(gòu)筑移動(dòng)端全鏈條的安全防御。

　　360譚曉生：Android漏洞利用愈發(fā)嚴(yán)峻，主流手機(jī)漏洞修復(fù)嚴(yán)重滯后

　　“大安全”時(shí)代，人是網(wǎng)絡(luò)安全核心。手機(jī)作為個(gè)人身份、資產(chǎn)、關(guān)系網(wǎng)絡(luò)等的集合，已經(jīng)成為黑客們重點(diǎn)攻擊的目標(biāo)。手機(jī)漏洞正是黑客們獲取用戶手機(jī)權(quán)限，執(zhí)行操作的門戶，一旦被成功利用，用戶個(gè)人身份信息、銀行賬戶密碼信息乃至存儲(chǔ)的隱私文件等都可能遭到盜取泄露。

　　譚曉生表示，國產(chǎn)手機(jī)用戶已占了非常高的比重，但在Android手機(jī)市場越來越碎片化的情況下，廠商過于分散、漏洞修復(fù)機(jī)制乏力等原因，主流手機(jī)的漏洞修復(fù)嚴(yán)重滯后，新發(fā)現(xiàn)的漏洞用戶根本無法修復(fù)。他指出，有55.5%的手機(jī)存在20個(gè)以上的漏洞，而99.99%的手機(jī)都存在已知 漏洞。在Android漏洞利用愈發(fā)嚴(yán)峻的情況下，用戶面臨著非常高的被攻擊風(fēng)險(xiǎn)。

　　對(duì)此，譚曉生表示，360聯(lián)合多家手機(jī)廠商推出了專門給Android手機(jī)打熱補(bǔ)丁的引擎360女媧平臺(tái)，一旦發(fā)現(xiàn)高危漏洞，它就會(huì)自動(dòng)給用戶推送熱補(bǔ)丁修復(fù)漏洞，降低用戶被攻擊的風(fēng)險(xiǎn)。

　　他表示，手機(jī)廠商和安全廠商的分工合作形成了一個(gè)產(chǎn)業(yè)形態(tài)，通過安全廠商提供SDK，或一些模塊，手機(jī)廠商采用，形成一定的利益分配機(jī)制，在這樣一條價(jià)值鏈中，手機(jī)廠商和安全廠商可以做自己比較擅長的工作，形成健康的產(chǎn)業(yè)鏈條。

　　泰爾實(shí)驗(yàn)室楊正軍：手機(jī)漏洞修復(fù)平均滯后100多天

　　事實(shí)上，移動(dòng)發(fā)互聯(lián)網(wǎng)的高速發(fā)展，漏洞給包括手機(jī)在內(nèi)的移動(dòng)端智能設(shè)備帶來的安全風(fēng)險(xiǎn)遠(yuǎn)非能直接看到的威脅。

　　泰爾實(shí)驗(yàn)室信息安全部楊正軍副主任指出：隨著手機(jī)等移動(dòng)端安全威脅日益嚴(yán)重，攻擊技術(shù)的不斷更新，手機(jī)等移動(dòng)端安全抵御的效果顯得十分被動(dòng)。特別是手機(jī)等移動(dòng)設(shè)備漏洞頻出，芯片廠商、ODME廠商、手機(jī)系統(tǒng)廠商等復(fù)雜的產(chǎn)業(yè)鏈都可能產(chǎn)生安全威脅。

　　泰爾實(shí)驗(yàn)室抽取2017年上市的217款移動(dòng)智能設(shè)備進(jìn)行漏洞檢測，平均檢測出漏洞數(shù)量為35個(gè)，其中嚴(yán)重漏洞16個(gè)，高危11個(gè)，中危漏洞8個(gè)。存在小于10個(gè)漏洞的終端僅有83款，占比38%;10-30個(gè)漏洞的終端為100款，占比46%;大于30個(gè)漏洞的終端為34款，占比16%。

　　與此相對(duì)應(yīng)的卻是廠商修復(fù)能力的不足，用戶面臨的安全風(fēng)險(xiǎn)持續(xù)增加。泰爾實(shí)驗(yàn)室數(shù)據(jù)顯示，手機(jī)廠商總體漏洞未修復(fù)比例在21.2%，嚴(yán)重、高危、中危漏洞未修復(fù)比例分別在20.8%、20.5%、23.4%。并且廠商打補(bǔ)丁很不及時(shí)，平均延遲時(shí)間在165天，即使是Top20的廠商，打補(bǔ)丁的延遲時(shí)間也為148天，其他廠商則為191天。

　　360女媧平臺(tái)：攜手廠商，共筑Android安全新長城

　　面對(duì)移動(dòng)端嚴(yán)峻的安全形勢，必須進(jìn)行整體安全管控，從硬件制造廠商、軟件開發(fā)公司、安全企業(yè)等各個(gè)環(huán)節(jié)解決漏洞問題，從根源上降低用戶遭受攻擊的風(fēng)險(xiǎn)。

　　360攜手多家安全廠商，推出的熱補(bǔ)丁漏洞修補(bǔ)平臺(tái)“女媧”，支持高通、海思、MTK等多個(gè)平臺(tái)，同時(shí)支持安卓所有版本的漏洞修復(fù)。對(duì)于Google已經(jīng)公開的Android漏洞，平臺(tái)可以自動(dòng)完成針對(duì)不同機(jī)型、不同系統(tǒng)版本研發(fā)通用方案，同步進(jìn)行修復(fù)，避免由于修復(fù)滯后導(dǎo)致的時(shí)間差攻擊。

　　對(duì)于Google未公開的漏洞，“女媧”也可以通過360安全研究人員的漏洞挖掘，及時(shí)修補(bǔ)，進(jìn)行預(yù)先防御。而在0day事件爆發(fā)時(shí)，360女媧平臺(tái)還會(huì)啟動(dòng)應(yīng)急響應(yīng)機(jī)制，第一時(shí)間將安全補(bǔ)丁推送至廠商，再由廠商安裝到用戶終端。

　　此外，360女媧平臺(tái)經(jīng)過規(guī)范化嚴(yán)格測試和安全校驗(yàn)，對(duì)手機(jī)性能無損耗，系統(tǒng)的整體修復(fù)流程也會(huì)經(jīng)過手機(jī)廠商嚴(yán)格把控，所有代碼及修復(fù)方案全透明。并且無需ROOT權(quán)限，整體框架依托Android系統(tǒng)原生安全策略，利用SELinux保證過程安全，不破壞原有校驗(yàn)機(jī)制，安全又無風(fēng)險(xiǎn)，真正做到穩(wěn)定、高效、透明、可靠，用戶可以放心使用。