Android安全性令人擔(dān)憂
北京時(shí)間7月8日消息,科技網(wǎng)站TechCrunch今天刊文稱,Android存在遲遲不能發(fā)布補(bǔ)丁軟件修正安全缺陷的問(wèn)題,這與其生態(tài)鏈過(guò)于龐大,有大量第三方設(shè)備、元器件廠商存在有關(guān)。第三方設(shè)備、元器件廠商也可能引入安全缺陷。不過(guò)好在谷歌已經(jīng)開(kāi)始加強(qiáng)與第三方廠商的合作,以提高Android安全性。以下為文章全文:
上周,一名安全研究人員在Android全盤加密功能中發(fā)現(xiàn)一處缺陷,利用它可以對(duì)設(shè)備解密。但高通聲稱,它曾在2014年11月和2015年2月向谷歌通報(bào)相關(guān)缺陷,谷歌在今年1月和5月發(fā)布了補(bǔ)丁軟件,這意味著,在獲悉存在缺陷一年多后,谷歌才發(fā)布了補(bǔ)丁軟件。
谷歌這次發(fā)布補(bǔ)丁軟件,正值美國(guó)聯(lián)邦貿(mào)易委員會(huì)、美國(guó)聯(lián)邦通信委員會(huì)(以下簡(jiǎn)稱“FCC”)宣布對(duì)谷歌和其他智能手機(jī)廠商發(fā)布補(bǔ)丁軟件的速度展開(kāi)調(diào)查之際。FCC稱,Android中的Stagefright缺陷是促使它展開(kāi)這次調(diào)查的缺陷之一。
由于美國(guó)上下對(duì)加密的關(guān)注,谷歌一年多后才發(fā)布補(bǔ)丁軟件似乎是個(gè)令人矚目的問(wèn)題。要搞清楚用戶5月份才獲得補(bǔ)丁軟件的原因,讀者需要對(duì)Android設(shè)備復(fù)雜的供應(yīng)鏈和Android確保龐大供應(yīng)鏈安全的方法有所了解。
供應(yīng)鏈的復(fù)雜性
Android是一款開(kāi)放源代碼平臺(tái),因此有大量智能手機(jī)廠商生產(chǎn)Android手機(jī)。這些Android手機(jī)采用來(lái)自不同廠商的芯片、相機(jī)和其他元器件。
Android經(jīng)常被拿來(lái)與其最大對(duì)手iPhone進(jìn)行比較,但這種比較是不恰當(dāng)?shù)?。iPhone基本上就只是一款設(shè)備,蘋果牢牢控制著其生產(chǎn)過(guò)程,Android運(yùn)行在數(shù)千款設(shè)備上,谷歌對(duì)Android設(shè)備生產(chǎn)幾乎沒(méi)有任何控制力。
供應(yīng)鏈的多樣性是造成Android全盤加密功能缺陷的一個(gè)原因。安全研究人員蓋爾·本尼亞米尼(Gal Beniamini)在Android全盤加密功能實(shí)現(xiàn)中發(fā)現(xiàn)數(shù)個(gè)問(wèn)題,它們使黑客能解密配置高通芯片的Android設(shè)備。利用該缺陷對(duì)設(shè)備解密是一個(gè)復(fù)雜過(guò)程,但問(wèn)題的核心在于,配置高通芯片的Android設(shè)備在軟件而非硬件中存儲(chǔ)密鑰。
硬件-軟件差別成為蘋果與FBI(美國(guó)聯(lián)邦調(diào)查局)大戰(zhàn)解密iPhone的關(guān)鍵部分。由于蘋果把密鑰存儲(chǔ)在硬件中,調(diào)查人員無(wú)法繞過(guò)蘋果用來(lái)保護(hù)其設(shè)備安全的特性。如果蘋果把密鑰存儲(chǔ)在軟件中,調(diào)查人員能從設(shè)備中獲取密碼,而不用擔(dān)心丟失設(shè)備上的所有數(shù)據(jù)。
新被發(fā)現(xiàn)的老缺陷
本尼亞米尼本周發(fā)表博文闡述了破解Android全盤加密功能的過(guò)程。他利用高通安全技術(shù)中的數(shù)個(gè)缺陷,獲取了Android設(shè)備密碼。本尼亞米尼向谷歌Android團(tuán)隊(duì)和高通通報(bào)了這一問(wèn)題,并通過(guò)谷歌缺陷獎(jiǎng)勵(lì)項(xiàng)目獲得一定報(bào)酬。
谷歌發(fā)言人表示,“我們對(duì)本尼亞米尼的發(fā)現(xiàn)表示感謝,并通過(guò)我們的相關(guān)項(xiàng)目向他支付了報(bào)酬。我們今年早些時(shí)候發(fā)布了修正這些缺陷的補(bǔ)丁軟件。”谷歌今年早些時(shí)候發(fā)布了兩款補(bǔ)丁軟件,修正本尼亞米尼發(fā)現(xiàn)的缺陷。
但據(jù)高通稱,自2014年以來(lái),谷歌就應(yīng)當(dāng)知道該缺陷的存在。高通發(fā)言人表示,該公司早在2014年8月就發(fā)現(xiàn)了本尼亞米尼利用的缺陷,并于2014年11月和2015年2月向谷歌提供了補(bǔ)丁軟件。但是,該缺陷卻在Android中長(zhǎng)期存在,直到被本尼亞米尼發(fā)現(xiàn)。
本尼亞米尼向TechCrunch表示,“很顯然,雖然谷歌在內(nèi)部修正了該缺陷,但設(shè)備廠商沒(méi)有修正缺陷(它們可能是忘記了或錯(cuò)過(guò)了補(bǔ)丁軟件)。”
這一缺陷遲遲沒(méi)有得到修正的原因尚不十分清楚。一種可能是,在本尼亞米尼之前,Android團(tuán)隊(duì)沒(méi)有意識(shí)到這一缺陷能被黑客所利用;另外一種可能性是,這是由Android安全機(jī)制所決定的。
谷歌應(yīng)加強(qiáng)與設(shè)備廠商協(xié)調(diào)
不同于蘋果在安全方面以硬件為中心的策略,Android安全策略契合谷歌在人工智能領(lǐng)域領(lǐng)頭羊的地位:谷歌希望利用機(jī)器學(xué)習(xí)提高Android安全性。由于市場(chǎng)上Android設(shè)備類型眾多,安全缺陷領(lǐng)域肯定會(huì)有漏網(wǎng)之魚(yú)——因此Android希望強(qiáng)化對(duì)這些缺陷的發(fā)現(xiàn),而非完全消除它們。
但本尼亞米尼指出,在特定條件下,黑客利用他發(fā)現(xiàn)的缺陷仍然能興風(fēng)作浪。不過(guò)這些條件相當(dāng)苛刻,這意味著普通用戶不會(huì)受到影響。安全公司Duo Security估計(jì),由于沒(méi)有安裝更新包,大量Android設(shè)備都會(huì)因該缺陷面臨危險(xiǎn)。
由于谷歌沒(méi)有牢牢控制著Android設(shè)備中所有元器件的生產(chǎn),設(shè)備廠商可能無(wú)意間給Android設(shè)備引入安全缺陷。正如本尼亞米尼指出,這可能導(dǎo)致執(zhí)法機(jī)構(gòu)繞開(kāi)谷歌,要求設(shè)備廠商破解一款設(shè)備,“我認(rèn)為,谷歌與設(shè)備廠商更密切的合作,有助于預(yù)防未來(lái)出現(xiàn)這類問(wèn)題。我認(rèn)為各方做得都很好,但協(xié)調(diào)存在問(wèn)題”。
開(kāi)放性是使Android獨(dú)具特色和讓用戶滿意的原因。本尼亞米尼稱,“當(dāng)然,如果谷歌制造自己的硬件,安全問(wèn)題能得到更好的解決,但還會(huì)有大量第三方Android設(shè)備廠商存在。我的觀點(diǎn)是,Android能發(fā)展到今天的部分原因是大量第三方設(shè)備和廠商。”
谷歌在與第三方設(shè)備廠商合作,提高Android安全性。昨天,谷歌發(fā)布了Nexus設(shè)備更新包,修正了數(shù)家第三方設(shè)備廠商存在的安全缺陷。研究人員在高通、英偉達(dá)和聯(lián)發(fā)科提供的硬件中發(fā)現(xiàn)多處權(quán)限提升缺陷。但在谷歌發(fā)現(xiàn)更迅速地為眾多類型設(shè)備發(fā)布補(bǔ)丁軟件的方法前,Android在安全性方面將仍然稍遜風(fēng)騷。