安全動(dòng)態(tài)

對(duì)移動(dòng)智能終端漏洞不得不防

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2017-07-21    瀏覽次數(shù):
 

信息來(lái)源:中國(guó)信息產(chǎn)業(yè)網(wǎng)

隨著移動(dòng)智能終端的普及,用戶在享受多種多樣的便利功能的同時(shí)也面臨著越來(lái)越多的安全風(fēng)險(xiǎn)。應(yīng)用的豐富增加了用戶多維度的個(gè)人信息在終端的錄入和存儲(chǔ),個(gè)人的信息安全也更加依賴于終端的安全。終端系統(tǒng)代碼量的增加,漏洞數(shù)量和攻擊面也隨之增加。不斷出現(xiàn)的安全事件,使得智能終端操作系統(tǒng)漏洞修補(bǔ)越來(lái)越需要被重視。

移動(dòng)智能終端漏洞威脅嚴(yán)重

近兩年來(lái)我國(guó)移動(dòng)智能終端快速發(fā)展,終端操作系統(tǒng)主要以iOS和Android為主,市場(chǎng)份額超過90%,可以說(shuō)這兩個(gè)操作系統(tǒng)的安全性決定了移動(dòng)智能終端整體的安全發(fā)展。從cvedetails.com上公開的數(shù)據(jù)可以看到,2016年iOS系統(tǒng)一共收錄了161個(gè)漏洞;而Android則一共收錄了523個(gè)漏洞,位列各平臺(tái)漏洞數(shù)量之首。這其中“提權(quán)漏洞”作為危害比較嚴(yán)重的類型,在2016年新增了250個(gè),而2015年這類漏洞只有17個(gè),增長(zhǎng)超過13倍。2017年截至目前,iOS已經(jīng)出現(xiàn)了243個(gè)漏洞,超過了去年全年的水平;Android也已經(jīng)出現(xiàn)347個(gè)漏洞。

由數(shù)據(jù)可見,隨著系統(tǒng)功能越來(lái)越多,代碼量越來(lái)越大,勢(shì)必會(huì)增加更多的安全漏洞,而決定移動(dòng)智能終端安全性的除了平臺(tái)漏洞數(shù)量,還主要取決于廠商對(duì)于漏洞的修補(bǔ)情況。泰爾終端實(shí)驗(yàn)室在近期對(duì)市場(chǎng)上銷售的77個(gè)廠商的262款終端進(jìn)行了抽樣測(cè)試發(fā)現(xiàn),終端平均含有5個(gè)高?;蛘邍?yán)重漏洞,而所有終端中僅有2款對(duì)應(yīng)修補(bǔ)的漏洞進(jìn)行了全面修補(bǔ),其余終端未修補(bǔ)漏洞比例在19%左右。拋開iOS的特殊性不談,Google每月會(huì)定期發(fā)布漏洞補(bǔ)丁供終端廠商去修補(bǔ),而實(shí)際情況我們了解到,廠商并不是第一時(shí)間就將漏洞補(bǔ)丁集成到操作系統(tǒng)當(dāng)中,大部分廠商會(huì)延遲1個(gè)月到半年的時(shí)間,有的甚至延遲了1年之久,而這期間終端就會(huì)暴露在漏洞威脅下。另外,終端廠商對(duì)于漏洞的修補(bǔ)也大多集中在高端機(jī)型,中端機(jī)和低端機(jī)甚至出廠后就無(wú)人維護(hù)。

漏洞修補(bǔ)管理混亂

移動(dòng)智能終端的漏洞現(xiàn)狀并不樂觀,大量終端存在嚴(yán)重漏洞,而造成這種現(xiàn)象的主要原因體現(xiàn)在以下幾個(gè)方面。

——碎片化嚴(yán)重。iOS由于只有蘋果公司一家采用,且終端也是同一家生產(chǎn),在進(jìn)行漏洞修補(bǔ)的時(shí)候可以統(tǒng)一版本升級(jí)。同時(shí),廠商對(duì)于漏洞的成因、危害和修補(bǔ)辦法也更加清晰和明確,這就是iOS漏洞所引發(fā)的安全事件較少的原因。但是Android陣營(yíng)的情況則要復(fù)雜很多,雖然Google推出了Android 8系統(tǒng),但是中國(guó)市場(chǎng)依舊是以Android 5和6為主,6月份的統(tǒng)計(jì)中Android 7的市場(chǎng)占有率甚至低于10%,而仍有18%左右的終端使用的是4.4系統(tǒng)。除此以外不同終端所采用的硬件芯片也有很大區(qū)別,這其中涉及驅(qū)動(dòng)層面的漏洞也會(huì)因?yàn)橛布煌饔胁煌S商本身的銷售策略也會(huì)使得同一廠商不同機(jī)型出現(xiàn)不同版本、不同硬件的情況。

——積極性不高。從實(shí)驗(yàn)室的研究中我們看到,目前市場(chǎng)上一家廠商同一時(shí)期會(huì)銷售多款終端,這其中高端機(jī)、中端機(jī)和低端機(jī)可能會(huì)同時(shí)出現(xiàn)。我們的研究表明,低端機(jī)平均漏洞數(shù)量明顯要高于高端機(jī),同時(shí)漏洞修補(bǔ)的延遲時(shí)間也更長(zhǎng)。由于很多廠商研發(fā)實(shí)力有限,無(wú)法維護(hù)其所有的機(jī)型,更多的人力物力均投入到高端機(jī)的研發(fā)當(dāng)中,很多低端機(jī)就會(huì)減緩甚至放棄漏洞修補(bǔ)。而修補(bǔ)漏洞本身對(duì)于終端廠商而言好處不明顯,在并不能帶來(lái)良好收益的同時(shí)還需要投入大量的成本,因此廠商本身對(duì)漏洞修補(bǔ)管理就存在重視程度的差異。

——管理混亂。目前終端漏洞修補(bǔ)并沒有強(qiáng)制性要求,很多無(wú)研發(fā)能力的小廠商主要依賴操作系統(tǒng)廠商、芯片廠商發(fā)布的官方補(bǔ)丁,而這些補(bǔ)丁也會(huì)出現(xiàn)遺漏,并不能完全涵蓋所有產(chǎn)品版本,同時(shí)這些廠商往往也沒有手段督促終端廠商及時(shí)打補(bǔ)丁,例如Google目前只能通過CTS測(cè)試去判斷一些大廠商是否完成了漏洞修補(bǔ),而小廠商則處在監(jiān)管盲區(qū)。從終端廠商角度來(lái)講,產(chǎn)品線很多,碎片化也很嚴(yán)重,因此并不能保證所有的版本都及時(shí)修補(bǔ)漏洞,這其中很多OEM、ODM產(chǎn)品的存在也使得終端廠商不能完全對(duì)其進(jìn)行監(jiān)管和要求。

進(jìn)一步完善機(jī)制體制

——建立漏洞檢測(cè)和監(jiān)管體系。新出臺(tái)的《網(wǎng)絡(luò)安全法》規(guī)定網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者不得設(shè)置惡意程序;發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí),應(yīng)當(dāng)立即采取補(bǔ)救措施,按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。為配合《網(wǎng)絡(luò)安全法》的落地實(shí)施,我們應(yīng)及時(shí)關(guān)注移動(dòng)智能終端漏洞問題,從國(guó)家層面管理漏洞修補(bǔ)工作,加快漏洞庫(kù)建設(shè),配合檢測(cè)同步執(zhí)行,定期發(fā)布漏洞研究報(bào)告,促進(jìn)行業(yè)自律。

——建立應(yīng)急響應(yīng)機(jī)制。從最近PC端爆發(fā)的WannaCry勒索事件來(lái)看,行業(yè)內(nèi)處理重大漏洞的應(yīng)急響應(yīng)機(jī)制還不健全。針對(duì)移動(dòng)智能終端重大漏洞引起的安全事件,需要從制度層面建立快速響應(yīng)機(jī)制,第一時(shí)間向用戶發(fā)布安全公告,協(xié)調(diào)技術(shù)檢測(cè)機(jī)構(gòu)及時(shí)發(fā)布檢測(cè)工具,推動(dòng)操作系統(tǒng)供應(yīng)商、芯片廠商和終端企業(yè)共同進(jìn)行漏洞修補(bǔ)工作。

——建立長(zhǎng)效合作機(jī)制。小廠商低端機(jī)所面臨的漏洞威脅更為嚴(yán)重,而這一類廠商缺乏研發(fā)能力也是現(xiàn)實(shí)的困難。因此需要從政府角度帶動(dòng)整個(gè)行業(yè),聯(lián)合安全廠商、終端廠商、系統(tǒng)廠商和芯片廠商,多方建立合作共贏機(jī)制,通過技術(shù)分享、服務(wù)分享,最終達(dá)到技術(shù)升級(jí)、產(chǎn)品安全性提升的目的。

 
 

上一篇:網(wǎng)絡(luò)黑灰產(chǎn)業(yè)達(dá)千億 數(shù)據(jù)安全亟待升級(jí)

下一篇:2017年07月21日 聚銘安全速遞