近年来,移动智能终端不断普及,智能终端上的各类漏洞风险也与日俱增,随之而来的是安全事件不断爆发,为移动智能终端的安全管理敲响了警钟。
中国信息通信研究院泰尔终端实验室信息安全部(以下简称IFS)近期发表了《移动智能终端漏洞问题产业现状及现象成因》一文,称根据cvedetails.com公开的数据,2016年iOS系统和Android系统分别收录了161个和523个漏洞,位列各平台漏洞数量之首;而2017年截至目前,iOS已经出现了243个漏洞,超过去年全年水平,Android也已经出现347个漏洞。移动智能终端漏洞已经进入高发阶段,亟需引起人们的重视。
为此,通信世界全媒体记者近日采访了泰尔终端实验室信息安全部的专家,请其就终端漏洞的产生原因和防范之策进行了分析。
随着系统功能越来越多,代码量越来越大,安全漏洞也越来越多地出现。泰尔终端实验室信息安全部科研主管姚一楠认为,决定移动智能终端安全性的除了平台漏洞数量,更重要的是厂商对于漏洞的修补情况。泰尔终端实验室近期对市场上销售的77个厂商262款终端进行了抽样测试发现,终端平均含有5个高危或者严重漏洞,而仅有2款对应修补的漏洞进行了全面修补。
IFS强调,上述漏洞数量指被发现并公开披露信息的漏洞数量,既包括研究人员发现并披露的,也包括在网络攻击中被捕获披露的,其数量多并不一定说明产品质量差。近两年来Android漏洞数量呈现大幅增长的趋势,并不能说明Android本身的工程质量和安全性差,其原因可以从以下两个角度解释:首先,近年来采用Android平台的智能手机、车载终端及物联网设备种类繁多,工程量大和代码量多导致引入的漏洞数量整体比较多;其次,Android作为市场占有率最高的智能终端系统,其安全性日益受到重视,也吸引了越来越多的黑客利用漏洞攻击和安全研究人员发现漏洞,从而出现了越来越多被公开披露的漏洞。
尽管如此,不断增长的漏洞仍然给我们敲响了警钟,这里以Android系统为例进行漏洞原因和防范分析。一个值得注意的现象是,虽然Google每月会定期发布漏洞补丁供终端厂商修补,但大部分厂商会延迟1个月到半年,甚至1年之久才将漏洞补丁集成到操作系统当中。IFS认为,厂商响应滞后,主要由3方面原因引起。
第一,操作系统碎片化严重。与iOS由苹果公司一家采用、终端由同一厂家生产、漏洞修补可以统一版本不同的是,Android版本较多,目前Google推出了Android 8,而在中国市场上还有大量的Android 5和6,甚至4.4的系统。此外,不同终端所采用的硬件芯片也有很大区别,这其中驱动层面的漏洞也会因为硬件不同而有所不同。从终端厂商角度来看,产品线很多、碎片化也很严重,并不能保证所有版本都能够及时进行漏洞修补。
第二,厂商管理混乱。目前终端漏洞修补并没有强制性要求,很多无研发能力的小厂商主要依赖操作系统厂商、芯片厂商发布的官方补丁,而这些补丁也会出现漏打,并不能完全涵盖所有产品版本,同时这些厂商往往也没有手段强制要求终端厂商及时打补丁。
第三,积极性不高。一般而言,同一手机厂商的产品会同时覆盖高、中、低共3档,由于研发实力有限,并且漏洞修补不仅不能带来良好收益反而需要投入大量成本,因此很多厂商无法维护所有的在售机型,只有将主要精力投入到高端机型,使得低端机的漏洞修补成为空白地带。
对于终端厂商修复低端手机漏洞的积极性不高,IFS认为,其主要原因是修复漏洞有一定的技术门槛,需要投入大量的人力物力,在资源有限的情况下,在以盈利为目标的经营导向下,厂商普遍选择把大量精力投入到出货量大、用户群广的高端产品中,以获得最高的投入收益比;对于出货量比较低的中低端型号,则难以投入足够的资源进行后期维护。
当单纯依靠企业的力量无法解决某一问题时,政府力量的介入就非常有必要。因此,针对这一现象,IFS认为,除了厂商要提高安全意识之外,还可以从国家角度建立健全的终端行业漏洞应急响应机制,出现重大漏洞及时发布公告,协调技术检测机构及时发布检测工具,要求企业进行快速修复,减少安全事件。
此外,IFS认为,智能终端修补还存在两方面问题:一是手机多种多样,不同型号手机使用的硬件和软件不同,产生的漏洞不同,补丁也存在兼容性差异,厂商可能需要根据每个机型进行适配修复;二是手机厂商众多,各厂商技术能力不同,有些厂商资源有限缺乏足够的安全人员,技术实力不足以应对漏洞修复的难度。
手机的多样性和手机厂商的多样性,客观上加大了漏洞管理的难度。对于上述两方面问题,IFS表示,目前泰尔终端实验室正在电信终端产业协会(TAF)积极推动漏洞相关标准及管理制度的建立,希望安全厂商和众多终端产业链的厂商能借助这一平台加强合作,一方面推动厂商提高安全意识,了解手机漏洞问题的严重性和紧迫性,另一方面通过技术分享、交流互助提升厂商漏洞修复的技术能力。
事实上,安全漏洞并不是个新鲜话题。以我们熟知的Windows系统为例,这一计算能力远远大于Android和iOS的操作系统,也会经常成为黑客攻击的目标,或者在开发初期的一些缺陷使用过程中才会逐渐暴露出来。
但是与手机操作系统不同的是,Windows系统的漏洞修复相对要简单便捷一些:微软会在发现漏洞后给用户发出提醒,用户只需根据提醒按照步骤进行操作即可。
那么,手机操作系统的维护能否做到和Windows系统修复一样的简单?对此IFS表示,与Windows由微软统一维护所不同的是,Android系统具有碎片化的特点,厂商可以自己定制系统、自己进行维护,而终端设备对安全软件的底层接入又并不开放。因此,目前大厂商的做法是不定期推送系统升级包,其中包括对部分漏洞的修补,用户需要定期对Android系统进行升级以保证手机的安全。
IFS表示,正因为如此,移动终端系统修复漏洞比较复杂,无法像Windows一样有官方的单独漏洞修补程序,而是必须更新整个系统才能修补漏洞,而许多用户都曾遭遇过手机因为操作系统更新而速度变慢、响应迟缓的经历,这就导致了部分消费者担心升级系统可能会导致手机变慢等而不愿修补漏洞。
而因为国内终端厂商众多,产业链庞大,设备系统碎片化严重,对于终端厂商来说自己产品中的漏洞可能是因为用了别人产品所引入的,所以漏洞的修复会涉及Google、芯片商、应用厂商、产品方案商等多个环节。虽然Google和一些芯片供应商会每月同步一些补丁,但是行业内很多厂商,尤其是中小厂商对漏洞缺乏认识,并不能意识到问题的严重性,他们出于各种原因会延缓修复甚至不修复。除非建立行业内统一的漏洞通报、检测、修复机制,否则很难保证手机系统能够统一及时的进行漏洞修复。而这也是前文所说的建立健全漏洞应急响应机制的原因所在。
考虑到小厂商低端机所面临的漏洞威胁更为严重,而这一类厂商缺乏研发能力也是现实的困难,IFS还呼吁政府能够带动整个行业发展,联合安全、终端、系统和芯片厂商,多方建立合作共赢机制,通过技术分享、服务分享,最终达到技术提升、产品安全性提升的目的。
关注通信世界请长按
微信号:CWW-weixin
《通信世界》旗下公众号
最新丨行业丨资讯
关于通信世界
一个全媒体综合服务平台
由工业和信息化部主管,人民邮电出版社主办,
是中国通信产业的前瞻媒体
