安卓系統不安全，這鍋誰背？

經典電影《戰爭之王》里有句台詞特經典：「核導彈都放在發射架里，你賣的AK47才是大規模殺傷性武器。」

今天我想用黑客的故事來詮釋這句話。

畫面中穿得比較涼快的兩位，是世界頂尖黑客MJ0011鄭文彬（右二）和龔廣（右一）。

MJ0011 是360首席工程師，龔廣的移動安全水平世界領先。畫面中，他正手拿麥克風，講解自己前陣子發現的一個原子彈級別的安卓漏洞的經歷。

2017年8月，龔廣向谷歌公司提交了兩個漏洞，一個是 Android 系統底層漏洞（CVE-2017-5166 ，一個是瀏覽器內核漏洞（CVE-2017-14904），這倆漏洞組合起來能形成一套強大的攻擊套路：

只要手機用戶點開個鏈接，手機就直接被控制，包括電話、簡訊、相冊等基礎應用都無法倖免。

這是谷歌公司發布安卓漏洞計劃（ASR）三年以來，首個能遠程有效利用的系列漏洞，故得名：「穿雲箭」。

龔廣本人也憑這套組合漏洞，斬獲ASR史上最高漏洞獎金：112500 美元，摺合人民幣七十多萬元，令眾多白帽子垂涎三尺，深刻詮釋了什麼叫「一套漏洞一套房，嫁人當嫁安全郎。」

關於這套漏洞為什麼這麼貴？MJ0011講了一則趣事：

話說，2017年世界頂級黑客破解大賽Moblie Pwn2Own，各路頂尖高手雲集。

然，比賽項目中，唯獨有一款手機自始至終沒被攻破。不僅沒被攻破，連報名嘗試挑戰的都沒有！

這款手機並非 iPhone，而是搭載最新版 Android ，被稱為谷歌親兒子的 Pixel 手機。（好吧，可能有的朋友聽都沒聽過，不過這不重要）

MJ0011說：「在安全圈內，Pixel 被譽為最難攻破的手機。」此乃一套漏洞一套房的關鍵所在。

畫外音：等等！不是說要講「黑客版原子彈和AK47」么？怎麼全程變成360的人曬研究成果了？

這位觀眾不要著急，我們慢慢來。

剛剛我們講的大漏洞就是「原子彈」，它在發射架里並未爆發。現在說說AK47。

細心的觀眾朋友可能會發現上文中有個 BUG：黑客破解大賽上，搭載安卓系統的 Pixel 手機，居然比蘋果的 iOS系統還難破解？這不符合常規邏輯。

說起手機系統的安全性，大部分人的印象還是：安卓（Android）系統不如蘋果iOS 安全。只是，大部分人都說不出來為何如此。

講道理，Android系統是谷歌公司的，iOS 系統是蘋果公司的，兩家都是市值幾千億美元的大公司，不太可能在安全技術上相差懸殊。

以及，同樣是安卓系統，為什麼 Pixel 就是最難破解的手機，我手裡的安卓手機就像個渣渣？難不成我用的是假的安卓系統？

恭喜答對。

我們大部分人手裡的安卓系統，都不是「真·安卓」。市面上安裝了「真·安卓系統」的都被稱為谷歌的親兒子——比如 Nexus 和 Pixel 。

剩下的都是乾兒子——市面上的手機廠商幾乎沒有搭載原生Android 系統，都是在原系統基礎上的深度定製版。比如小米是MIUI，OPPO手機是ColorOS、360手機是360OS，而華為則是EMUI，號稱基於Android開發的情感化操作系統：

廠商定製化系統的原因有很多，一言以蔽之就是想搞特色化。我猜，倘若哪天蘋果把 iOS 系統開放出來，估計也會被手機廠商們改得花枝招展，處處閃爍群眾智慧的光芒。

定製雖好，也會導致一些不可逆的問題：碎片化，而碎片化就是安卓系統不安全的根本原因。

舉個例子：

同樣是下載軟體，

蘋果用戶直接去AppStore，安全管控嚴格，童叟無欺。

國外大部分安卓用戶也習慣去谷歌官方的應用市場 GooglePlay下載，管控也很到位，APP濫用許可權的情況不多見。

可到了咱們國內，由於谷歌沒在中國大陸開展業務，用戶只能自己找下載渠道，於是形形色色的軟體分髮網站出現了。。。 。。。

大超市和小攤販的還是有差距的，國內應用市場的安全管控水準顯然趕不上蘋果、谷歌這樣的一線科技大佬。於是，早年間國內充斥著惡意軟體、APP濫用許可權等情況。一個計算器軟體也要獲取GPS定位許可權，相信不少人經歷過這種情況。

碎片化問題不止於此，更嚴重的是漏洞修補問題。

一個安卓漏洞的理想修複流程是這樣的：

白帽子發現漏洞，提交給谷歌。谷歌收到後迅速修復，並迅速下發補丁給廠商，廠商迅速為旗下的多個手機版本做補丁適配，然後迅速推送給用戶安裝。

我這段描述連用了四個迅速，要迅速到什麼程度？至少要比黑產迅速。

然而，實際情況是這樣：

谷歌收到後，先研究十天半個月，下放補丁給廠商，廠商又花一段時間研究一下補丁是否有必要安裝，是否有其他影響，然後一個個去匹配各種機型，測試，每個機型花幾天。

最後，等用戶打上安全補丁，時間已過去好幾個月，足夠黑產把所有姿勢玩個遍。甚至，有的廠商對舊機型乾脆不推送安全補丁，任由用戶「自生自滅。」

下面這張是谷歌官方放出的漏洞修復率數據：

在國內，360手機衛士和中國泰爾實驗室也發布過一組統計數據：

在測試手機中，平均未修復漏洞比達到19%，平均每款終端均含有未修復漏洞5個左右。

廠商不及時更新補丁原因很多，比如擔心推送影響用戶體驗，耗費人力等。費力不討好也是個重要原因，手機廠商推了補丁用戶卻不安裝，廠商也不敢彈個窗口叮囑說「乖，我這都是為了你好！」

除此之外還有一些複雜因素，在此不一一贅述，總之最終結果就是：真·安卓系統很安全，我們手裡的，未必。

回到原子彈和AK的話題。一個漏洞能有多厲害？可以很厲害，厲害到能攻破全球任何一台設備，但是，真正傷害網民的卻是那些零散的，看似不起眼的小問題，這些問題集合起來，成全了黑產們千億規模的狂歡。—— 「核導彈都放在發射架里，你們賣的AK47才是大規模殺傷性武器。」

萬幸的是，國內廠商沒有棄療，大家還是越來越關注安全這件事。

2017年12月，中國信息通信院泰爾終端實驗室牽頭成立了移動安全聯盟（MSA）。360作為聯盟理事成員，借著「穿雲箭」組合漏洞宣布之際，推出了一個「先行者」行動。

先行者行動是啥？

原本白帽子發現漏洞，先報告給谷歌官方，然後進入冗長的修補周期，廠商只能等著谷歌推送補丁。在「先行者」行動中，360會在通報谷歌官方的同時，將漏洞修補情況跟移動安全聯盟成員共享，直接跟聯盟中的手機廠商同步信息，判斷風險，幫助手機廠商制定防禦方案，縮短漏洞修復時間。沒有中間商賺差價。

用360首席安全官譚曉生的話說：在谷歌補丁到達之前，先吃一顆速效救心丸。

360方面也希望有更多聯盟成員能貢獻出自己的技術力量，幫助中國移動廠商縮短漏洞修復時間。

我看了一下谷歌2017漏洞致謝榜，中國廠商佔據半壁江山，感覺國內廠商若真能聯手好好做一下移動安全，應該還是很有希望情況好轉的。。。

-End-

歡迎關注淺黑科技，我會試圖用淺顯易懂的語言把黑客、技術、黑科技那些事講給你聽，讓你讀時很有趣，讀完漲姿勢。我的微信號是dexter0，歡迎交流、吐槽和爆料。

http://weixin.qq.com/r/oChvd_TEMblOraAU932y (二維碼自動識別)

2018年1月29日更新：

哈哈，上面那個升級率的圖確實是從別的報道引用的。裡面有錯誤，更正一下：

推薦閱讀：