信息來源:中國信息產(chǎn)業(yè)網(wǎng)
隨著移動(dòng)智能終端的普及,用戶在享受多種多樣的便利功能的同時(shí)也面臨著越來越多的安全風(fēng)險(xiǎn)。應(yīng)用的豐富增加了用戶多維度的個(gè)人信息在終端的錄入和存儲(chǔ)�,個(gè)人的信息安全也更加依賴于終端的安全�。終端系統(tǒng)代碼量的增加,漏洞數(shù)量和攻擊面也隨之增加。不斷出現(xiàn)的安全事件�,使得智能終端操作系統(tǒng)漏洞修補(bǔ)越來越需要被重視�。
移動(dòng)智能終端漏洞威脅嚴(yán)重
近兩年來我國移動(dòng)智能終端快速發(fā)展�,終端操作系統(tǒng)主要以iOS和Android為主,市場份額超過90%�,可以說這兩個(gè)操作系統(tǒng)的安全性決定了移動(dòng)智能終端整體的安全發(fā)展。從cvedetails.com上公開的數(shù)據(jù)可以看到�,2016年iOS系統(tǒng)一共收錄了161個(gè)漏洞;而Android則一共收錄了523個(gè)漏洞�,位列各平臺(tái)漏洞數(shù)量之首。這其中“提權(quán)漏洞”作為危害比較嚴(yán)重的類型�,在2016年新增了250個(gè),而2015年這類漏洞只有17個(gè)�,增長超過13倍。2017年截至目前,iOS已經(jīng)出現(xiàn)了243個(gè)漏洞�,超過了去年全年的水平;Android也已經(jīng)出現(xiàn)347個(gè)漏洞�。
由數(shù)據(jù)可見,隨著系統(tǒng)功能越來越多�,代碼量越來越大,勢必會(huì)增加更多的安全漏洞�,而決定移動(dòng)智能終端安全性的除了平臺(tái)漏洞數(shù)量,還主要取決于廠商對(duì)于漏洞的修補(bǔ)情況�。泰爾終端實(shí)驗(yàn)室在近期對(duì)市場上銷售的77個(gè)廠商的262款終端進(jìn)行了抽樣測試發(fā)現(xiàn),終端平均含有5個(gè)高?;蛘邍?yán)重漏洞,而所有終端中僅有2款對(duì)應(yīng)修補(bǔ)的漏洞進(jìn)行了全面修補(bǔ)�,其余終端未修補(bǔ)漏洞比例在19%左右。拋開iOS的特殊性不談�,Google每月會(huì)定期發(fā)布漏洞補(bǔ)丁供終端廠商去修補(bǔ),而實(shí)際情況我們了解到�,廠商并不是第一時(shí)間就將漏洞補(bǔ)丁集成到操作系統(tǒng)當(dāng)中,大部分廠商會(huì)延遲1個(gè)月到半年的時(shí)間�,有的甚至延遲了1年之久,而這期間終端就會(huì)暴露在漏洞威脅下�。另外,終端廠商對(duì)于漏洞的修補(bǔ)也大多集中在高端機(jī)型�,中端機(jī)和低端機(jī)甚至出廠后就無人維護(hù)。
漏洞修補(bǔ)管理混亂
移動(dòng)智能終端的漏洞現(xiàn)狀并不樂觀�,大量終端存在嚴(yán)重漏洞�,而造成這種現(xiàn)象的主要原因體現(xiàn)在以下幾個(gè)方面�。
——碎片化嚴(yán)重。iOS由于只有蘋果公司一家采用�,且終端也是同一家生產(chǎn),在進(jìn)行漏洞修補(bǔ)的時(shí)候可以統(tǒng)一版本升級(jí)�。同時(shí),廠商對(duì)于漏洞的成因�、危害和修補(bǔ)辦法也更加清晰和明確,這就是iOS漏洞所引發(fā)的安全事件較少的原因�。但是Android陣營的情況則要復(fù)雜很多,雖然Google推出了Android 8系統(tǒng)�,但是中國市場依舊是以Android 5和6為主,6月份的統(tǒng)計(jì)中Android 7的市場占有率甚至低于10%�,而仍有18%左右的終端使用的是4.4系統(tǒng)。除此以外不同終端所采用的硬件芯片也有很大區(qū)別�,這其中涉及驅(qū)動(dòng)層面的漏洞也會(huì)因?yàn)橛布煌饔胁煌S商本身的銷售策略也會(huì)使得同一廠商不同機(jī)型出現(xiàn)不同版本�、不同硬件的情況�。
——積極性不高。從實(shí)驗(yàn)室的研究中我們看到�,目前市場上一家廠商同一時(shí)期會(huì)銷售多款終端,這其中高端機(jī)�、中端機(jī)和低端機(jī)可能會(huì)同時(shí)出現(xiàn)。我們的研究表明�,低端機(jī)平均漏洞數(shù)量明顯要高于高端機(jī)�,同時(shí)漏洞修補(bǔ)的延遲時(shí)間也更長�。由于很多廠商研發(fā)實(shí)力有限,無法維護(hù)其所有的機(jī)型�,更多的人力物力均投入到高端機(jī)的研發(fā)當(dāng)中,很多低端機(jī)就會(huì)減緩甚至放棄漏洞修補(bǔ)�。而修補(bǔ)漏洞本身對(duì)于終端廠商而言好處不明顯,在并不能帶來良好收益的同時(shí)還需要投入大量的成本�,因此廠商本身對(duì)漏洞修補(bǔ)管理就存在重視程度的差異。
——管理混亂�。目前終端漏洞修補(bǔ)并沒有強(qiáng)制性要求,很多無研發(fā)能力的小廠商主要依賴操作系統(tǒng)廠商�、芯片廠商發(fā)布的官方補(bǔ)丁,而這些補(bǔ)丁也會(huì)出現(xiàn)遺漏�,并不能完全涵蓋所有產(chǎn)品版本,同時(shí)這些廠商往往也沒有手段督促終端廠商及時(shí)打補(bǔ)丁�,例如Google目前只能通過CTS測試去判斷一些大廠商是否完成了漏洞修補(bǔ),而小廠商則處在監(jiān)管盲區(qū)�。從終端廠商角度來講,產(chǎn)品線很多�,碎片化也很嚴(yán)重,因此并不能保證所有的版本都及時(shí)修補(bǔ)漏洞�,這其中很多OEM、ODM產(chǎn)品的存在也使得終端廠商不能完全對(duì)其進(jìn)行監(jiān)管和要求�。
進(jìn)一步完善機(jī)制體制
——建立漏洞檢測和監(jiān)管體系。新出臺(tái)的《網(wǎng)絡(luò)安全法》規(guī)定網(wǎng)絡(luò)產(chǎn)品�、服務(wù)的提供者不得設(shè)置惡意程序�;發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品�、服務(wù)存在安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)�,應(yīng)當(dāng)立即采取補(bǔ)救措施,按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告�。為配合《網(wǎng)絡(luò)安全法》的落地實(shí)施,我們應(yīng)及時(shí)關(guān)注移動(dòng)智能終端漏洞問題�,從國家層面管理漏洞修補(bǔ)工作,加快漏洞庫建設(shè)�,配合檢測同步執(zhí)行,定期發(fā)布漏洞研究報(bào)告�,促進(jìn)行業(yè)自律。
——建立應(yīng)急響應(yīng)機(jī)制�。從最近PC端爆發(fā)的WannaCry勒索事件來看,行業(yè)內(nèi)處理重大漏洞的應(yīng)急響應(yīng)機(jī)制還不健全�。針對(duì)移動(dòng)智能終端重大漏洞引起的安全事件,需要從制度層面建立快速響應(yīng)機(jī)制�,第一時(shí)間向用戶發(fā)布安全公告,協(xié)調(diào)技術(shù)檢測機(jī)構(gòu)及時(shí)發(fā)布檢測工具�,推動(dòng)操作系統(tǒng)供應(yīng)商、芯片廠商和終端企業(yè)共同進(jìn)行漏洞修補(bǔ)工作�。
——建立長效合作機(jī)制�。小廠商低端機(jī)所面臨的漏洞威脅更為嚴(yán)重,而這一類廠商缺乏研發(fā)能力也是現(xiàn)實(shí)的困難�。因此需要從政府角度帶動(dòng)整個(gè)行業(yè)�,聯(lián)合安全廠商�、終端廠商、系統(tǒng)廠商和芯片廠商�,多方建立合作共贏機(jī)制,通過技術(shù)分享�、服務(wù)分享,最終達(dá)到技術(shù)升級(jí)�、產(chǎn)品安全性提升的目的。
