中國信息通信研究院泰爾終端實驗室 姚一楠
隨著移動智能終端的普及,用戶在享受多種多樣的便利功能的同時也面臨著越來越多的安全風(fēng)險。應(yīng)用的豐富增加了用戶多維度的個人信息在終端的錄入和存儲,個人的信息安全也更加依賴于終端的安全。終端系統(tǒng)代碼量的增加,漏洞數(shù)量和攻擊面也隨之增加。不斷出現(xiàn)的安全事件,使得智能終端操作系統(tǒng)漏洞修補越來越需要被重視。
移動智能終端漏洞威脅嚴(yán)重
近兩年來我國移動智能終端快速發(fā)展,終端操作系統(tǒng)主要以iOS和Android為主,市場份額超過90%,可以說這兩個操作系統(tǒng)的安全性決定了移動智能終端整體的安全發(fā)展。從cvedetails.com上公開的數(shù)據(jù)可以看到,2016年iOS系統(tǒng)一共收錄了161個漏洞;而Android則一共收錄了523個漏洞,位列各平臺漏洞數(shù)量之首。這其中“提權(quán)漏洞”作為危害比較嚴(yán)重的類型,在2016年新增了250個,而2015年這類漏洞只有17個,增長超過13倍。2017年截至目前,iOS已經(jīng)出現(xiàn)了243個漏洞,超過了去年全年的水平;Android也已經(jīng)出現(xiàn)347個漏洞。
由數(shù)據(jù)可見,隨著系統(tǒng)功能越來越多,代碼量越來越大,勢必會增加更多的安全漏洞,而決定移動智能終端安全性的除了平臺漏洞數(shù)量,還主要取決于廠商對于漏洞的修補情況。泰爾終端實驗室在近期對市場上銷售的77個廠商的262款終端進(jìn)行了抽樣測試發(fā)現(xiàn),終端平均含有5個高危或者嚴(yán)重漏洞,而所有終端中僅有2款對應(yīng)修補的漏洞進(jìn)行了全面修補,其余終端未修補漏洞比例在19%左右。拋開iOS的特殊性不談,Google每月會定期發(fā)布漏洞補丁供終端廠商去修補,而實際情況我們了解到,廠商并不是第一時間就將漏洞補丁集成到操作系統(tǒng)當(dāng)中,大部分廠商會延遲1個月到半年的時間,有的甚至延遲了1年之久,而這期間終端就會暴露在漏洞威脅下。另外,終端廠商對于漏洞的修補也大多集中在高端機型,中端機和低端機甚至出廠后就無人維護。
漏洞修補管理混亂
移動智能終端的漏洞現(xiàn)狀并不樂觀,大量終端存在嚴(yán)重漏洞,而造成這種現(xiàn)象的主要原因體現(xiàn)在以下幾個方面。
——碎片化嚴(yán)重。iOS由于只有蘋果公司一家采用,且終端也是同一家生產(chǎn),在進(jìn)行漏洞修補的時候可以統(tǒng)一版本升級。同時,廠商對于漏洞的成因、危害和修補辦法也更加清晰和明確,這就是iOS漏洞所引發(fā)的安全事件較少的原因。但是Android陣營的情況則要復(fù)雜很多,雖然Google推出了Android 8系統(tǒng),但是中國市場依舊是以Android 5和6為主,6月份的統(tǒng)計中Android 7的市場占有率甚至低于10%,而仍有18%左右的終端使用的是4.4系統(tǒng)。除此以外不同終端所采用的硬件芯片也有很大區(qū)別,這其中涉及驅(qū)動層面的漏洞也會因為硬件不同而各有不同。廠商本身的銷售策略也會使得同一廠商不同機型出現(xiàn)不同版本、不同硬件的情況。
——積極性不高。從實驗室的研究中我們看到,目前市場上一家廠商同一時期會銷售多款終端,這其中高端機、中端機和低端機可能會同時出現(xiàn)。我們的研究表明,低端機平均漏洞數(shù)量明顯要高于高端機,同時漏洞修補的延遲時間也更長。由于很多廠商研發(fā)實力有限,無法維護其所有的機型,更多的人力物力均投入到高端機的研發(fā)當(dāng)中,很多低端機就會減緩甚至放棄漏洞修補。而修補漏洞本身對于終端廠商而言好處不明顯,在并不能帶來良好收益的同時還需要投入大量的成本,因此廠商本身對漏洞修補管理就存在重視程度的差異。
——管理混亂。目前終端漏洞修補并沒有強制性要求,很多無研發(fā)能力的小廠商主要依賴操作系統(tǒng)廠商、芯片廠商發(fā)布的官方補丁,而這些補丁也會出現(xiàn)遺漏,并不能完全涵蓋所有產(chǎn)品版本,同時這些廠商往往也沒有手段督促終端廠商及時打補丁,例如Google目前只能通過CTS測試去判斷一些大廠商是否完成了漏洞修補,而小廠商則處在監(jiān)管盲區(qū)。從終端廠商角度來講,產(chǎn)品線很多,碎片化也很嚴(yán)重,因此并不能保證所有的版本都及時修補漏洞,這其中很多OEM、ODM產(chǎn)品的存在也使得終端廠商不能完全對其進(jìn)行監(jiān)管和要求。
進(jìn)一步完善機制體制
——建立漏洞檢測和監(jiān)管體系。新出臺的《網(wǎng)絡(luò)安全法》規(guī)定網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者不得設(shè)置惡意程序;發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷、漏洞等風(fēng)險時,應(yīng)當(dāng)立即采取補救措施,按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。為配合《網(wǎng)絡(luò)安全法》的落地實施,我們應(yīng)及時關(guān)注移動智能終端漏洞問題,從國家層面管理漏洞修補工作,加快漏洞庫建設(shè),配合檢測同步執(zhí)行,定期發(fā)布漏洞研究報告,促進(jìn)行業(yè)自律。
——建立應(yīng)急響應(yīng)機制。從最近PC端爆發(fā)的WannaCry勒索事件來看,行業(yè)內(nèi)處理重大漏洞的應(yīng)急響應(yīng)機制還不健全。針對移動智能終端重大漏洞引起的安全事件,需要從制度層面建立快速響應(yīng)機制,第一時間向用戶發(fā)布安全公告,協(xié)調(diào)技術(shù)檢測機構(gòu)及時發(fā)布檢測工具,推動操作系統(tǒng)供應(yīng)商、芯片廠商和終端企業(yè)共同進(jìn)行漏洞修補工作。
——建立長效合作機制。小廠商低端機所面臨的漏洞威脅更為嚴(yán)重,而這一類廠商缺乏研發(fā)能力也是現(xiàn)實的困難。因此需要從政府角度帶動整個行業(yè),聯(lián)合安全廠商、終端廠商、系統(tǒng)廠商和芯片廠商,多方建立合作共贏機制,通過技術(shù)分享、服務(wù)分享,最終達(dá)到技術(shù)升級、產(chǎn)品安全性提升的目的。