挖掘機(jī)技術(shù)哪家強(qiáng)，XXXXXX

這句耳熟能詳?shù)膹V告語(yǔ)放在安全業(yè)也是可行的，不過(guò)，這是一個(gè)讓廠商不怎么開(kāi)心的榜單。最近，CVE Details公布了一個(gè)最新報(bào)告，從中可以看出 2016 年哪些系統(tǒng)漏洞最多，哪些廠家“貢獻(xiàn)”的漏洞最多。

先看看“漏洞排行榜”。

于是，一個(gè)可能比較驚悚的標(biāo)題出現(xiàn)了：Android 成 2016 年報(bào)告漏洞最多系統(tǒng)，嚇得編輯小李趕緊看了看自己的手機(jī)，還好是 iOS（拉仇恨）。

然而，事實(shí)真的有這么殘酷？為什么安卓的漏洞數(shù)量會(huì)這么多？安全大牛怎么看？

“黑客教主”TK（TombKeeper）、騰訊玄武實(shí)驗(yàn)室創(chuàng)建者于旸對(duì)雷鋒網(wǎng)宅客頻道分析道：

1.各種靠譜和不靠譜的硬件廠商貢獻(xiàn)了“安全性參差不齊”的安卓代碼；

2.Android 本身處于快速發(fā)展的“青春期”，不像 Windows 系統(tǒng)已經(jīng)處在成熟、穩(wěn)定的“中老年”，代碼走向成熟是需要時(shí)間的；

3.隨著移動(dòng)生態(tài)的發(fā)展，安卓漏洞研究社區(qū)很活躍，有越來(lái)越多的人關(guān)注Android 漏洞，方法、工具都不斷出現(xiàn)和被改良。

2016年，讓 TK 印象深刻的有以下幾個(gè)與 Android 有關(guān)的漏洞，再來(lái)回顧一下這幾個(gè)“惡魔”。

1. Linux 內(nèi)核臟牛漏洞

臟牛漏洞，編號(hào)為 CVE-2016-5195，是 Linux 內(nèi)核運(yùn)行時(shí)出現(xiàn)的競(jìng)爭(zhēng)條件，允許攻擊者實(shí)現(xiàn)本地提權(quán)。簡(jiǎn)而言之，攻擊者利用臟?？色@得 Linux 設(shè)備的 root 權(quán)限，Android 系統(tǒng)無(wú)一幸免。

該漏洞在誕生之初，曾被認(rèn)為夸大了影響，事實(shí)上，臟牛的破壞力似乎已經(jīng)超出了人們的預(yù)期。該漏洞的作者甚至為臟牛漏洞申請(qǐng)了獨(dú)立的網(wǎng)站、推特賬號(hào)、github 賬號(hào)，并找人專門設(shè)計(jì)了 logo。

就是下面這只看上去“無(wú)害”的牛。

2. TCP 劫持

在 2016 年 GeekPwn2016 澳門站上，選手曹躍成功“重現(xiàn)了當(dāng)年世界頭號(hào)黑客凱文米特尼克的TCP劫持”，摘得“最大腦洞獎(jiǎng)”。四大頂級(jí)安全會(huì)議之一的 USENIX 安全研討會(huì)公開(kāi)了這個(gè) TCP 協(xié)議邊信道漏洞，該漏洞允許攻擊者遠(yuǎn)程劫持任意兩主機(jī)之間的會(huì)話。

該漏洞編號(hào)為CVE-2016-5696。

在尚未被 USENIX Security 接受之前，TK 就在知乎上對(duì)該漏洞的發(fā)現(xiàn)給予了高度評(píng)價(jià)：

這個(gè)問(wèn)題的核心是發(fā)現(xiàn)了最近十年發(fā)布的所有Linux內(nèi)核在TCP/IP協(xié)議棧實(shí)現(xiàn)上都存在一個(gè)安全問(wèn)題，可以在幾分鐘內(nèi)探測(cè)到一個(gè)TCP會(huì)話序列號(hào)。知道了序列號(hào)，就可以偽造數(shù)據(jù)包插入到該會(huì)話中。

這是一項(xiàng)非常了不起的研究，足以發(fā)表在四大頂級(jí)學(xué)術(shù)安全會(huì)議上，甚至可能拿到 Best Paper 。不過(guò)由于所需攻擊條件較多，比如對(duì)網(wǎng)絡(luò)穩(wěn)定性的要求，特別是難以控制數(shù)據(jù)注入時(shí)機(jī)——想象一列火車從你面前呼嘯而過(guò)，你蒙著眼睛，要用雞蛋砸中十號(hào)車廂最右側(cè)窗玻璃下方的一顆鉚釘——所以雖然理論上能劫持任意 TCP 會(huì)話，但對(duì)大多數(shù) TCP 應(yīng)用來(lái)說(shuō)，要利用這個(gè)技術(shù)最終實(shí)現(xiàn)入侵或竊密，還是有難度的。

利用這個(gè)漏洞，可以悄無(wú)聲息地潛入在受害用戶的安卓手機(jī)，植入釣魚木馬，盜走電子賬戶上所有的錢，拷貝相冊(cè)中的照片，偽造受害用戶身份進(jìn)行欺詐等。

3.可以開(kāi)啟“上帝模式”的高通硬件漏洞

2016年8月，研究人員發(fā)現(xiàn)四個(gè)高通漏洞可使得惡意軟件編寫者有機(jī)會(huì)影響并控制現(xiàn)代 Android 智能機(jī)，黑客可以編寫惡意應(yīng)用程序，一旦安裝，它們將會(huì)利用軟件缺陷在Android Marshmallow和早期版本的谷歌移動(dòng)操作系統(tǒng)上獲得額外的特權(quán)，允許代碼控制手持設(shè)備。

除了漏洞排行榜，還有一個(gè)倒霉的廠商漏洞“貢獻(xiàn)”榜。

令 TK 驚訝的是，2016 年， Oracle 居然一躍成為榜首，而 2016 年 Adobe 的漏洞，有三分之一由 TK 所在的實(shí)驗(yàn)室報(bào)告。

他反復(fù)與雷鋒網(wǎng)確認(rèn)了幾次：“你確定不是 Google 或  Adobe ？”面對(duì) Oracle 的突然“躍升”， TK 只能這樣解釋：

也許是因?yàn)?nbsp;Oracle 2016 年收購(gòu)了很多廠家吧。

此前，在知乎上有這樣一個(gè)問(wèn)題：當(dāng)你的能力處在你所在行業(yè)的頂端或前端時(shí)，是一種什么樣的體驗(yàn)？

有一個(gè)答案獲得了168個(gè)贊，位居第一。這個(gè)答案來(lái)自 TK：

“藝無(wú)止境，誠(chéng)惶誠(chéng)恐。”

除了誠(chéng)惶誠(chéng)恐，這個(gè)站在頂端的男人還告訴雷鋒網(wǎng)，看待這個(gè)榜單應(yīng)該“多維度”：

不同廠商的產(chǎn)品數(shù)量不同，產(chǎn)品數(shù)量多的自然可能出更多漏洞。

另外漏洞數(shù)量不一定和安全性劃等號(hào)，因?yàn)椴煌瑥S商對(duì)漏洞判定的標(biāo)準(zhǔn)不同。

真正能利用的有威脅的漏洞在各廠商漏洞中占比可能也不一樣，所以排名能反映一定問(wèn)題，但不能簡(jiǎn)單認(rèn)為這個(gè)排名精確地反映了廠商產(chǎn)品的安全性。

如果把真正有威脅的漏洞單拎出來(lái)算，這個(gè)排名可能還會(huì)有變化。

TK 還說(shuō)，感覺(jué)2016年被實(shí)際在攻擊中使用的系統(tǒng)漏洞比2015年變多了?？赡苁且?yàn)槁┒吹某杀靖吡耍鄳?yīng)攻擊獲益也提高了。

談到 2016年中，TK 以及他的實(shí)驗(yàn)室在圍繞安卓系統(tǒng)的漏洞挖掘上做了哪些工作時(shí)，這個(gè)站在頂端的男人再一次展現(xiàn)了他往遠(yuǎn)處看的視野：不細(xì)細(xì)追究某一個(gè)漏洞。他認(rèn)為對(duì)安卓這樣一個(gè)尚處于“青春期”的系統(tǒng)來(lái)說(shuō)，很值得對(duì)其漏洞生態(tài)的走向進(jìn)行研究，探究尚未發(fā)現(xiàn)的漏洞威脅模式。

TK 透露，玄武實(shí)驗(yàn)室的一項(xiàng)研究已經(jīng)有了初步成果，一種他兩年前構(gòu)想的新漏洞攻擊模型已經(jīng)被證明是可行的，這一具體成果可能會(huì)在未來(lái)半年內(nèi)發(fā)布。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。