2016XCon百度安全韦韬：安卓系统生态的安全形式非常严峻

8月29日，一年一度的XCon安全焦点信息安全技术峰会在北京诺金酒店召开。百度国际著名安全专家、百度首席安全科学家韦韬在会议中就安卓手机安全问题作了深刻的阐述，并呼吁手机厂商和安全厂商紧密协作，共同改变当前安卓生态上的安全错位。

安卓系统没有苹果安全 但并非内核漏洞多

韦韬表示，《2016年上半年互联网安全报告（截至2016年6月）》中显示，全国Android平台新增手机病毒数量达到 384.1万个，较2015年下半年的274.4万个，环比上涨40%。这些赤裸裸的数据足以说明安卓安全漏洞情况非常严峻，甚至比预想的糟糕情况更为严峻。在用户实际使用的安卓设备中，攻击者可以通过公开的内核漏洞利用（N-Day Exploit）获得内核控制权。当攻击者获得内核控制权时，可以轻易绕过App隔离机制以及绝大多数安卓系统安全机制，对用户的支付安全、指纹隐私等造成严重威胁。应用开发厂商，特别是移动支付和移动金融厂商，将会面临着来自黑产盗号刷卡的严峻威胁。

韦韬举例讲，在Android 5.X 之前，存在一个严重的漏洞，任何App 都可以拥有阅读手机短信的权限，这样的基础漏洞至今都没有被修复。所以，并不是安卓的内核漏洞比苹果多，而是因为安卓生态中有很多历史的漏洞没有得到及时的修复。

三个历史性顽疾 揭秘安卓系统漏洞百出原因

韦韬指出，造成安卓系统漏洞百出的原因很多，主要可以概括为以下三方面：首先，从谷歌到用户之间产业链条过长。这期间，要经过Android 系统、手机厂商、运营商、应用开发者、应用开发工具生产者等等，这些环节中，一旦一个出现了问题，就会导致整个系统不安全。其次，安卓手机碎片化现象严重。根据百度安全的统计，今年上半年，不同的厂家、不同的手机硬件搭配不同的系统版本，使得Andorid 的碎片达到了几十万个，很多手机的设计团队甚至都已经解散，不可能对每种机型提供技术支持。所以没有办法把一个补丁用在不同的设备之上。最后一个原因则是生态智能不匹配。谷歌显然不欢迎安全厂商进入Android 系统的内核。所有带有 Root 性质的应用一律不允许上架，安全厂商的积极性被严重打击，而谷歌自身却又没有能力保护自己的系统内核，这就造成了现在安卓系统安全的真空，导致很多漏洞在行业里流传。

如何根治“安卓白血病” 需多领域通力合作

韦韬将这种安全错位导致的长期以来难以治愈的安全重症称之为生态安全白血病。韦韬认为，生态病患必须要进行生态治疗，改变错位的生态格局。然而要改变生态，必须首先要有颠覆性技术变革，来支撑新的生态布局。

为此，韦韬带领百度安全实验室的移动安全专家们研究开发出了革命性的自适应内核热修复技术，并且已经为该技术申请了五项专利。这种技术无需实际内核编译所用的源码和配置，能够自动匹配目标安卓系统的漏洞进行在线热修复。这种技术极大的提升了厂商面对安卓高度碎片化的应对能力，而且也大大缩短了厂商推送内核安全补丁到最终用户的过程。根据统计，目前采用此技术可以修复市场中99.4%的安卓产品的内核漏洞。

在自适应内核热修复技术的支撑下，韦韬进一步建议手机厂商和安全厂商紧密合作，进行协同受控防护，重构安卓生态。这种合作是双方受益的，手机厂商可以为用户提供更加安全的产品，而安全厂商则可以为企业和行业用户提供更加专业的安全服务。设备厂商在安全可控的情况下，赋予安全厂商能够进行有效防御的权限，充分发挥安全厂商的能力和作用，双方共同合作有效应对安卓生态面临的严峻安全威胁。

目前安卓系统生态的安全形势非常险峻，虽然百度安全的内核安全热补丁技术可以修复99.4%的安卓产品内核漏单，但像百度安全这样的安全企业，在实际操作中，也面临需要终端厂商及运营商提供端口、权限等问题，因此韦韬呼吁手机厂商、安全厂商等安卓产业界的同仁们一起努力，加强安全技术交流，打破上下游间的产品和技术壁垒，共同建立健康安全的安卓新生态。同时韦韬表示，百度安全将积极寻求合作伙伴，开放自适应内核热修复技术专利，将安全的安卓新生态建设的更好。

（编辑：源码门户网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!