Android安全性令人擔憂

 北京時間7月8日消息，科技網(wǎng)站TechCrunch今天刊文稱，Android存在遲遲不能發(fā)布補丁軟件修正安全缺陷的問題，這與其生態(tài)鏈過于龐大，有大量第三方設(shè)備、元器件廠商存在有關(guān)。第三方設(shè)備、元器件廠商也可能引入安全缺陷。不過好在谷歌已經(jīng)開始加強與第三方廠商的合作，以提高Android安全性。以下為文章全文：

上周，一名安全研究人員在Android全盤加密功能中發(fā)現(xiàn)一處缺陷，利用它可以對設(shè)備解密。但高通聲稱，它曾在2014年11月和2015年2月向谷歌通報相關(guān)缺陷，谷歌在今年1月和5月發(fā)布了補丁軟件，這意味著，在獲悉存在缺陷一年多后，谷歌才發(fā)布了補丁軟件。

谷歌這次發(fā)布補丁軟件，正值美國聯(lián)邦貿(mào)易委員會、美國聯(lián)邦通信委員會(以下簡稱“FCC”)宣布對谷歌和其他智能手機廠商發(fā)布補丁軟件的速度展開調(diào)查之際。FCC稱，Android中的Stagefright缺陷是促使它展開這次調(diào)查的缺陷之一。

由于美國上下對加密的關(guān)注，谷歌一年多后才發(fā)布補丁軟件似乎是個令人矚目的問題。要搞清楚用戶5月份才獲得補丁軟件的原因，讀者需要對Android設(shè)備復雜的供應鏈和Android確保龐大供應鏈安全的方法有所了解。

供應鏈的復雜性

Android是一款開放源代碼平臺，因此有大量智能手機廠商生產(chǎn)Android手機。這些Android手機采用來自不同廠商的芯片、相機和其他元器件。

Android經(jīng)常被拿來與其最大對手iPhone進行比較，但這種比較是不恰當?shù)?。iPhone基本上就只是一款設(shè)備，蘋果牢牢控制著其生產(chǎn)過程，Android運行在數(shù)千款設(shè)備上，谷歌對Android設(shè)備生產(chǎn)幾乎沒有任何控制力。

供應鏈的多樣性是造成Android全盤加密功能缺陷的一個原因。安全研究人員蓋爾·本尼亞米尼(Gal Beniamini)在Android全盤加密功能實現(xiàn)中發(fā)現(xiàn)數(shù)個問題，它們使黑客能解密配置高通芯片的Android設(shè)備。利用該缺陷對設(shè)備解密是一個復雜過程，但問題的核心在于，配置高通芯片的Android設(shè)備在軟件而非硬件中存儲密鑰。

硬件-軟件差別成為蘋果與FBI(美國聯(lián)邦調(diào)查局)大戰(zhàn)解密iPhone的關(guān)鍵部分。由于蘋果把密鑰存儲在硬件中，調(diào)查人員無法繞過蘋果用來保護其設(shè)備安全的特性。如果蘋果把密鑰存儲在軟件中，調(diào)查人員能從設(shè)備中獲取密碼，而不用擔心丟失設(shè)備上的所有數(shù)據(jù)。

新被發(fā)現(xiàn)的老缺陷

本尼亞米尼本周發(fā)表博文闡述了破解Android全盤加密功能的過程。他利用高通安全技術(shù)中的數(shù)個缺陷，獲取了Android設(shè)備密碼。本尼亞米尼向谷歌Android團隊和高通通報了這一問題，并通過谷歌缺陷獎勵項目獲得一定報酬。

谷歌發(fā)言人表示，“我們對本尼亞米尼的發(fā)現(xiàn)表示感謝，并通過我們的相關(guān)項目向他支付了報酬。我們今年早些時候發(fā)布了修正這些缺陷的補丁軟件。”谷歌今年早些時候發(fā)布了兩款補丁軟件，修正本尼亞米尼發(fā)現(xiàn)的缺陷。

但據(jù)高通稱，自2014年以來，谷歌就應當知道該缺陷的存在。高通發(fā)言人表示，該公司早在2014年8月就發(fā)現(xiàn)了本尼亞米尼利用的缺陷，并于2014年11月和2015年2月向谷歌提供了補丁軟件。但是，該缺陷卻在Android中長期存在，直到被本尼亞米尼發(fā)現(xiàn)。

本尼亞米尼向TechCrunch表示，“很顯然，雖然谷歌在內(nèi)部修正了該缺陷，但設(shè)備廠商沒有修正缺陷(它們可能是忘記了或錯過了補丁軟件)。”

這一缺陷遲遲沒有得到修正的原因尚不十分清楚。一種可能是，在本尼亞米尼之前，Android團隊沒有意識到這一缺陷能被黑客所利用；另外一種可能性是，這是由Android安全機制所決定的。

谷歌應加強與設(shè)備廠商協(xié)調(diào)

不同于蘋果在安全方面以硬件為中心的策略，Android安全策略契合谷歌在人工智能領(lǐng)域領(lǐng)頭羊的地位：谷歌希望利用機器學習提高Android安全性。由于市場上Android設(shè)備類型眾多，安全缺陷領(lǐng)域肯定會有漏網(wǎng)之魚——因此Android希望強化對這些缺陷的發(fā)現(xiàn)，而非完全消除它們。

但本尼亞米尼指出，在特定條件下，黑客利用他發(fā)現(xiàn)的缺陷仍然能興風作浪。不過這些條件相當苛刻，這意味著普通用戶不會受到影響。安全公司Duo Security估計，由于沒有安裝更新包，大量Android設(shè)備都會因該缺陷面臨危險。

由于谷歌沒有牢牢控制著Android設(shè)備中所有元器件的生產(chǎn)，設(shè)備廠商可能無意間給Android設(shè)備引入安全缺陷。正如本尼亞米尼指出，這可能導致執(zhí)法機構(gòu)繞開谷歌，要求設(shè)備廠商破解一款設(shè)備，“我認為，谷歌與設(shè)備廠商更密切的合作，有助于預防未來出現(xiàn)這類問題。我認為各方做得都很好，但協(xié)調(diào)存在問題”。

開放性是使Android獨具特色和讓用戶滿意的原因。本尼亞米尼稱，“當然，如果谷歌制造自己的硬件，安全問題能得到更好的解決，但還會有大量第三方Android設(shè)備廠商存在。我的觀點是，Android能發(fā)展到今天的部分原因是大量第三方設(shè)備和廠商。”

谷歌在與第三方設(shè)備廠商合作，提高Android安全性。昨天，谷歌發(fā)布了Nexus設(shè)備更新包，修正了數(shù)家第三方設(shè)備廠商存在的安全缺陷。研究人員在高通、英偉達和聯(lián)發(fā)科提供的硬件中發(fā)現(xiàn)多處權(quán)限提升缺陷。但在谷歌發(fā)現(xiàn)更迅速地為眾多類型設(shè)備發(fā)布補丁軟件的方法前，Android在安全性方面將仍然稍遜風騷。