在專業(yè)人員的眼中 安卓系統(tǒng)的安全補(bǔ)丁同樣漏洞百出

　　你眼中的安全就是真正的安全嗎？

　　來源：界面新聞

　　作者：饒文怡

　　當(dāng)你以為你的移動(dòng)電子設(shè)備已經(jīng)做好了所有的安全防護(hù)措施，萬無一失的時(shí)候，在黑客以及技術(shù)安全人員的眼中，漏洞依然無處不在。

　　來自德國(guó)柏林安全研究實(shí)驗(yàn)室（Security Research Labs）的首席科學(xué)家 Karsten Nohl應(yīng)該對(duì)這一點(diǎn)深有體會(huì)。大部分用戶日常使用的安卓手機(jī)系統(tǒng)，在他看來，安全性始終不能得到很好的保證。

　　這是由于，大部分用戶對(duì)于安卓系統(tǒng)的特性依然不熟悉，因此自然沒有辦法很自在地使用。各種條件的作用下，相比于封閉性更高的iOS系統(tǒng)，安卓系統(tǒng)更容易受到外來的攻擊。

　　比如說，2015年，安卓平臺(tái)上Chrome瀏覽器的一個(gè)安全漏洞就被發(fā)現(xiàn)，會(huì)允許攻擊者獲得受害者手機(jī)的全部管理員訪問權(quán)限；今年年初，一個(gè)名為“應(yīng)用克隆”的攻擊威脅模型以短信、二維碼、新聞頁面等方式誘導(dǎo)用戶進(jìn)行消費(fèi)行為，安卓平臺(tái)上的支付寶、餓了么等應(yīng)用都受到了攻擊。

　　在這樣的基礎(chǔ)上，用戶對(duì)于安卓系統(tǒng)的安全補(bǔ)丁了解不多，也就只能夠使用不同軟件廠商提供的安全補(bǔ)丁，但這些補(bǔ)丁的防護(hù)能力并不完善。

　　手機(jī)廠商們也似乎并沒有試圖改善這一局面。Karsten Nohl發(fā)現(xiàn)，部分廠商并不會(huì)為用戶提供及時(shí)的補(bǔ)丁更新，讓用戶的手機(jī)固件升級(jí)到最新版本；更有甚者，一些手機(jī)廠商還會(huì)屏蔽軟件更新的提醒。這對(duì)于手機(jī)的系統(tǒng)安全始終是一個(gè)隱患。

　　這是在香港舉行的AsiaSecWest 國(guó)際安全技術(shù)峰會(huì)的其中一個(gè)論壇內(nèi)容。AsiSecWest由在加拿大舉行的CanSecWest發(fā)展而來，后者被視為是全球范圍內(nèi)最老牌的安全技術(shù)會(huì)議之一。這一屆的AsiaSecWest，也是會(huì)議第一次在中國(guó)國(guó)內(nèi)舉辦。

　　和一般的黑客大賽不同的是，AsiaSecWest的競(jìng)賽色彩并不濃厚，這更像是一場(chǎng)黑客和安全專家之間的技術(shù)交流論壇。日常我們最頻繁使用的一些軟件，盡管看起來萬無一失，但實(shí)際上，只要這些專家愿意的話，幾行代碼的加入，就可以完全獲取對(duì)這些軟件的控制權(quán)。

　　除了上面提到的安卓系統(tǒng)之外，我們?nèi)粘Ｊ褂玫臑g覽器也存在著一些難以察覺的技術(shù)缺陷。而安全技術(shù)人員們也在這次會(huì)議上進(jìn)行了相關(guān)的展示。

　　騰訊安全玄武實(shí)驗(yàn)室發(fā)現(xiàn)，微軟為網(wǎng)頁瀏覽器開發(fā)的JavaScript引擎中，依然有部分漏洞；這些漏洞可能會(huì)被不法人士使用，從而繞過現(xiàn)有的瀏覽器防護(hù)，從而掌控對(duì)設(shè)備的控制權(quán)。

　　如果說安卓系統(tǒng)和網(wǎng)頁瀏覽器本身對(duì)外交互頻率高的屬性提升了它們的受攻擊概率的話， Adobe Flash易受攻擊，則是因?yàn)檫@款軟件的強(qiáng)工具屬性。

　　來自荷蘭埃因霍溫科技大學(xué)的Bjorn Ruytenberg在會(huì)議上介紹稱，由于Flash是操作系統(tǒng)和包括Office、PDF閱讀器、網(wǎng)頁瀏覽器等各種軟件之間的連接器，這讓它也成為了攻擊的對(duì)象。他于去年在Adobe Flash中找到了兩個(gè)沙盒漏洞，這些漏洞使得黑客能夠獲取用戶儲(chǔ)存在電腦中的本地?cái)?shù)據(jù)。

　　除了展示各自找到的技術(shù)漏洞之外，在AsiaSecWest上，來自全球各地的專家也會(huì)針對(duì)目前行業(yè)內(nèi)的新趨勢(shì)，探討可能出現(xiàn)的安全技術(shù)趨向。包括物聯(lián)網(wǎng)、AI等，都是這次會(huì)議上討論的主題。

　　無論是AI技術(shù)，還是物聯(lián)網(wǎng)，它們的落地在很大程度上都要建立在大數(shù)據(jù)之上。因此，對(duì)于數(shù)據(jù)的保護(hù)也成為了重中之重。

　　對(duì)此，CanSecWest創(chuàng)始人Dragos Ruiu表示，AI技術(shù)的發(fā)展目前還在比較初始的階段；隨著智能程度越來越高；技術(shù)人員對(duì)于安全性會(huì)提出相應(yīng)程度的重視。

　　但在最近，圍繞數(shù)據(jù)安全出現(xiàn)的爭(zhēng)議卻屢見不鮮。3月底，Facebook的“數(shù)據(jù)泄密門”事件大規(guī)模爆發(fā)，超過8700萬名Facebook用戶的個(gè)人資料被盜取。

　　而在國(guó)內(nèi)，百度CEO李彥宏在“中國(guó)高層發(fā)展論壇”上則表示：“我想中國(guó)人可以更加開放，對(duì)隱私問題沒有那么敏感，如果他們?cè)敢庥秒[私交換便捷性，很多情況下他們是愿意的，那我們就可以用數(shù)據(jù)做一些事情。”這句話也引發(fā)了軒然大波。

　　技術(shù)的進(jìn)步也因此意味著，安全技術(shù)人員們?cè)谖磥韺?huì)面對(duì)比如今復(fù)雜得多的數(shù)據(jù)保護(hù)環(huán)境。騰訊安全聯(lián)合實(shí)驗(yàn)室玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸在這次會(huì)議上就提到，在萬物互聯(lián)之后，技術(shù)人員要面對(duì)的聯(lián)網(wǎng)設(shè)備數(shù)量將會(huì)出現(xiàn)倍數(shù)級(jí)增長(zhǎng)。

　　“當(dāng)聯(lián)網(wǎng)的設(shè)備數(shù)量達(dá)到10億級(jí)別的時(shí)候，安全問題就不能僅僅依賴工作人員，而是要借助技術(shù)本身的力量。”他表示。

　　換言之，在未來針對(duì)AI等技術(shù)的安全防護(hù)上，技術(shù)人員可能還要引入這些新技術(shù)來作為防御手段。于旸就認(rèn)為，在未來，信息安全和AI等技術(shù)之間的關(guān)系一定會(huì)非常緊密。可以說，技術(shù)不僅僅會(huì)成為人們解決網(wǎng)絡(luò)問題的工具，也有可能會(huì)成為解決自身缺陷的工具。