安卓系統不安全,這鍋誰背?

圖片來自電影《戰爭之王》

經典電影《戰爭之王》里有句台詞特經典:「核導彈都放在發射架里,你賣的AK47才是大規模殺傷性武器。

今天我想用黑客的故事來詮釋這句話。

畫面中穿得比較涼快的兩位,是世界頂尖黑客MJ0011鄭文彬(右二)和龔廣(右一)。

MJ0011 是360首席工程師,龔廣的移動安全水平世界領先。畫面中,他正手拿麥克風,講解自己前陣子發現的一個原子彈級別的安卓漏洞的經歷。

2017年8月,龔廣向谷歌公司提交了兩個漏洞,一個是 Android 系統底層漏洞(CVE-2017-5166 ,一個是瀏覽器內核漏洞(CVE-2017-14904),這倆漏洞組合起來能形成一套強大的攻擊套路:

只要手機用戶點開個鏈接,手機就直接被控制,包括電話、簡訊、相冊等基礎應用都無法倖免。

這是谷歌公司發布安卓漏洞計劃(ASR)三年以來,首個能遠程有效利用的系列漏洞,故得名:「穿雲箭」

龔廣本人也憑這套組合漏洞,斬獲ASR史上最高漏洞獎金:112500 美元,摺合人民幣七十多萬元,令眾多白帽子垂涎三尺,深刻詮釋了什麼叫「一套漏洞一套房,嫁人當嫁安全郎。」

關於這套漏洞為什麼這麼貴?MJ0011講了一則趣事:

話說,2017年世界頂級黑客破解大賽Moblie Pwn2Own,各路頂尖高手雲集。

然,比賽項目中,唯獨有一款手機自始至終沒被攻破。不僅沒被攻破,連報名嘗試挑戰的都沒有!

這款手機並非 iPhone,而是搭載最新版 Android ,被稱為谷歌親兒子的 Pixel 手機。(好吧,可能有的朋友聽都沒聽過,不過這不重要)

MJ0011說:「在安全圈內,Pixel 被譽為最難攻破的手機。」此乃一套漏洞一套房的關鍵所在。

畫外音:等等!不是說要講「黑客版原子彈和AK47」么?怎麼全程變成360的人曬研究成果了?

這位觀眾不要著急,我們慢慢來。

剛剛我們講的大漏洞就是「原子彈」,它在發射架里並未爆發。現在說說AK47。

細心的觀眾朋友可能會發現上文中有個 BUG:黑客破解大賽上,搭載安卓系統的 Pixel 手機,居然比蘋果的 iOS系統還難破解?這不符合常規邏輯。

說起手機系統的安全性,大部分人的印象還是:安卓(Android)系統不如蘋果iOS 安全。只是,大部分人都說不出來為何如此。

講道理,Android系統是谷歌公司的,iOS 系統是蘋果公司的,兩家都是市值幾千億美元的大公司,不太可能在安全技術上相差懸殊。

以及,同樣是安卓系統,為什麼 Pixel 就是最難破解的手機,我手裡的安卓手機就像個渣渣?難不成我用的是假的安卓系統?

恭喜答對。

我們大部分人手裡的安卓系統,都不是「真·安卓」。市面上安裝了「真·安卓系統」的都被稱為谷歌的親兒子——比如 Nexus 和 Pixel 。

剩下的都是乾兒子——市面上的手機廠商幾乎沒有搭載原生Android 系統,都是在原系統基礎上的深度定製版。比如小米是MIUI,OPPO手機是ColorOS、360手機是360OS,而華為則是EMUI,號稱基於Android開發的情感化操作系統:

這個乾兒子聽起來是不是比親兒子更厲害?

廠商定製化系統的原因有很多,一言以蔽之就是想搞特色化。我猜,倘若哪天蘋果把 iOS 系統開放出來,估計也會被手機廠商們改得花枝招展,處處閃爍群眾智慧的光芒。

定製雖好,也會導致一些不可逆的問題:碎片化,而碎片化就是安卓系統不安全的根本原因。

舉個例子:

同樣是下載軟體,

蘋果用戶直接去AppStore,安全管控嚴格,童叟無欺。

國外大部分安卓用戶也習慣去谷歌官方的應用市場 GooglePlay下載,管控也很到位,APP濫用許可權的情況不多見。

可到了咱們國內,由於谷歌沒在中國大陸開展業務,用戶只能自己找下載渠道,於是形形色色的軟體分髮網站出現了。。。 。。。

大超市和小攤販的還是有差距的,國內應用市場的安全管控水準顯然趕不上蘋果、谷歌這樣的一線科技大佬。於是,早年間國內充斥著惡意軟體、APP濫用許可權等情況。一個計算器軟體也要獲取GPS定位許可權,相信不少人經歷過這種情況。

碎片化問題不止於此,更嚴重的是漏洞修補問題。

一個安卓漏洞的理想修複流程是這樣的:

白帽子發現漏洞,提交給谷歌。谷歌收到後迅速修復,並迅速下發補丁給廠商,廠商迅速為旗下的多個手機版本做補丁適配,然後迅速推送給用戶安裝。

我這段描述連用了四個迅速,要迅速到什麼程度?至少要比黑產迅速。

然而,實際情況是這樣:

谷歌收到後,先研究十天半個月,下放補丁給廠商,廠商又花一段時間研究一下補丁是否有必要安裝,是否有其他影響,然後一個個去匹配各種機型,測試,每個機型花幾天

最後,等用戶打上安全補丁,時間已過去好幾個月,足夠黑產把所有姿勢玩個遍。甚至,有的廠商對舊機型乾脆不推送安全補丁,任由用戶「自生自滅。」

圖片只是示意,並不任何影射,無需對號入座

下面這張是谷歌官方放出的漏洞修復率數據:

圖表引自深幾度相關報道

在國內,360手機衛士和中國泰爾實驗室也發布過一組統計數據:

在測試手機中,平均未修復漏洞比達到19%,平均每款終端均含有未修復漏洞5個左右。

廠商不及時更新補丁原因很多,比如擔心推送影響用戶體驗,耗費人力等。費力不討好也是個重要原因,手機廠商推了補丁用戶卻不安裝,廠商也不敢彈個窗口叮囑說「乖,我這都是為了你好!」

除此之外還有一些複雜因素,在此不一一贅述,總之最終結果就是:真·安卓系統很安全,我們手裡的,未必。

回到原子彈和AK的話題。一個漏洞能有多厲害?可以很厲害,厲害到能攻破全球任何一台設備,但是,真正傷害網民的卻是那些零散的,看似不起眼的小問題,這些問題集合起來,成全了黑產們千億規模的狂歡。—— 「核導彈都放在發射架里,你們賣的AK47才是大規模殺傷性武器。」

萬幸的是,國內廠商沒有棄療,大家還是越來越關注安全這件事。

2017年12月,中國信息通信院泰爾終端實驗室牽頭成立了移動安全聯盟(MSA)。360作為聯盟理事成員,借著「穿雲箭」組合漏洞宣布之際,推出了一個「先行者」行動

先行者行動是啥?

原本白帽子發現漏洞,先報告給谷歌官方,然後進入冗長的修補周期,廠商只能等著谷歌推送補丁。在「先行者」行動中,360會在通報谷歌官方的同時,將漏洞修補情況跟移動安全聯盟成員共享,直接跟聯盟中的手機廠商同步信息,判斷風險,幫助手機廠商制定防禦方案,縮短漏洞修復時間。沒有中間商賺差價。

用360首席安全官譚曉生的話說:在谷歌補丁到達之前,先吃一顆速效救心丸。

360方面也希望有更多聯盟成員能貢獻出自己的技術力量,幫助中國移動廠商縮短漏洞修復時間。

我看了一下谷歌2017漏洞致謝榜,中國廠商佔據半壁江山,感覺國內廠商若真能聯手好好做一下移動安全,應該還是很有希望情況好轉的。。。

-End-

歡迎關注淺黑科技,我會試圖用淺顯易懂的語言把黑客、技術、黑科技那些事講給你聽,讓你讀時很有趣,讀完漲姿勢。我的微信號是dexter0,歡迎交流、吐槽和爆料。

weixin.qq.com/r/oChvd_T (二維碼自動識別)


2018年1月29日更新:

哈哈,上面那個升級率的圖確實是從別的報道引用的。裡面有錯誤,更正一下:

推薦閱讀:

文件寄生——尋找宿主的不歸路(NTFS文件流實際應用)
《網路勝利組》腳本陣對談
Night環境與學習共兼容
未來安全公司會消亡嗎?為什麼?

TAG:黑客Hacker | 网络安全 | Android |