安卓系統(tǒng)為何被安全極客戲稱為“漏洞之王”？6月6日，“AsiaSecWest 國際安全技術(shù)峰會—亞洲站”的極客“最強(qiáng)大腦”給出了他們的解答。來自安全研究實驗室（Security Research Labs）的首席科學(xué)家Karsten Nohl表示：“盡管安卓是基于開源軟件開發(fā)的操作系統(tǒng)，但是對于大多數(shù)用戶來說，安卓系統(tǒng)的安全性仍是一個黑匣子。用戶對安全補(bǔ)丁了解甚少，不得不盲目信任手機(jī)廠商的補(bǔ)丁，然而在大多數(shù)情況下，許多安卓廠商的補(bǔ)丁能力并不值得信任。” 

安卓系統(tǒng)設(shè)備更新及時性、不定普及率問題，不僅成了老大難的問題，還埋下了巨大的安全隱患。近日，蘋果開發(fā)者大會上，安卓設(shè)備更新的及時性、普及率這個由來已久的問題又被拉到聚光燈下。蘋果軟件工程高級副總裁Craig Federighi用數(shù)據(jù)“黑”了安卓一把：“目前81%的蘋果用戶正在使用iOS11，對比之下，只有6%的安卓系統(tǒng)升級到了最新版本。”而早在2015年，安全機(jī)構(gòu)F-Secure就認(rèn)為，99%的惡意軟件都把Android作為攻擊對象；2016年，在CVE Details公布的報告中，安卓成為全年漏洞最多系統(tǒng)。隨著安卓系統(tǒng)的占有率和出貨量占據(jù)了市場的絕對性優(yōu)勢，使用安卓系統(tǒng)的設(shè)備也越來越多的成為移動惡意軟件的首要攻擊目標(biāo)。

為了揭秘安卓設(shè)備“安全黑匣子”，Karsten Nohl表示：“我們通過新穎的分析方法在大量預(yù)先編譯的樣本查找函數(shù)特征，在手機(jī)或固件文件中發(fā)現(xiàn)漏打的安卓系統(tǒng)補(bǔ)丁。根據(jù)對數(shù)萬個手機(jī)固件的分析結(jié)果，我們對漏打的安卓系統(tǒng)補(bǔ)丁進(jìn)行了調(diào)查和量化。”并在數(shù)據(jù)總結(jié)的基礎(chǔ)上，將與眾多用戶密切相關(guān)的安卓漏洞問題進(jìn)行了再度探討。

安卓系統(tǒng)屬佛系 漏洞專家揭秘安全黑匣子

早在2017年，Google披露了一個名為“Janus”安卓漏洞，該漏洞可以讓攻擊者繞過安卓系統(tǒng)的整個安全機(jī)制，直接對APP進(jìn)行篡改。2018年年初，一個名為“應(yīng)用克隆”的攻擊威脅模型以短信、二維碼、新聞頁面等方式誘導(dǎo)用戶進(jìn)行消費(fèi)行為，支付寶、餓了么、京東到家等27款安卓版APP紛紛中招。

與蘋果、windows等系統(tǒng)相比，安卓系統(tǒng)對于用戶的保護(hù)顯然力度不足，因其長期以來對安全性問題的忽視，它還一度還獲得了“佛系安全”的戲稱。在安卓用戶日益增長的情況下，對這一問題的解決顯然應(yīng)當(dāng)提上日程。

6月6日，在香港召開的AsiaSecWes峰會上，首席科學(xué)家Karsten Nohl以“注意間隙：剖析安卓系統(tǒng)的不完整補(bǔ)丁”為演講主題，在數(shù)據(jù)總結(jié)的基礎(chǔ)上將與眾多用戶密切相關(guān)的安卓漏洞問題進(jìn)行了再度探討。

Karsten Nohl目前任職于柏林的安全研究實驗室（Security Research Labs），長期專注于信息安全與保護(hù)領(lǐng)域，此前曾披露過交通系統(tǒng)和移動電話的諸多漏洞。在峰會上，他通過新穎的分析方法在大量預(yù)先編譯的樣本上查找函數(shù)特征，并根據(jù)對數(shù)萬個手機(jī)固件的分析結(jié)果對漏打的安卓系統(tǒng)補(bǔ)丁進(jìn)行了調(diào)查和量化。

通過調(diào)研，Karsten Nohl認(rèn)為，盡管安卓是基于開源軟件開發(fā)的操作系統(tǒng)，但是對于大多數(shù)用戶來說，安卓系統(tǒng)的安全性仍是一個黑匣子。用戶對安全補(bǔ)丁了解甚少，不得不盲目信任手機(jī)廠商的補(bǔ)丁，然而在大多數(shù)情況下，許多安卓廠商的補(bǔ)丁能力并不值得信任。

騰訊安全發(fā)布極客“101”計劃 打造安全技術(shù)平臺“中國樣本”

實際上，揭秘安卓系統(tǒng)的安全黑匣子，只是本次AsiaSecWes峰會議題之一。對比PC時代，以iOS 、安卓為主要操作系統(tǒng)平臺的移動時代來臨之后，安全形式變得更加嚴(yán)峻。為應(yīng)對更加復(fù)雜多變的安全問題，手機(jī)廠商、應(yīng)用開發(fā)商、網(wǎng)絡(luò)安全研究者需要多方攜手，在討論、交流中思考行業(yè)目前所面臨的安全危機(jī)及解決方案。

AsiaSecWest正是這樣一個交流的平臺。創(chuàng)辦于2000年的CanSecWest是全球最大安全峰會之一，被全球黑客視為一年一度的殿堂級活動。騰訊安全攜手CanSecWest創(chuàng)辦了AsiaSecWest，召集起全球頂尖的安全極客，搭建起交流橋梁，分享前瞻觀點和研究成果。

在此次AsiaSecWest峰會上，共有13位全球頂尖極客出席，討論主題囊括了安全領(lǐng)域的技藝演進(jìn)、中間盒子的可用性及其潛在隱患等議題。同時，騰訊安全聯(lián)合實驗室玄武實驗室負(fù)責(zé)人于旸和CanSecWest創(chuàng)始人、北美黑客社區(qū)著名人物Dragos Ruiu還聯(lián)手發(fā)布了安全極客“101”計劃： “1”代表升級搭建“一”個徹底打破中西方安全技術(shù)交流壁壘的平臺；“0”代表“零”距離的全面溝通；最后的“1”則代表打造“一”流的技術(shù)品牌。

通過此次與CanSecWest的合作，騰訊安全希望打造一個世界頂級網(wǎng)絡(luò)信息安全技術(shù)交流平臺，搭建中西方黑客技術(shù)交流橋梁，致力推動中國成為國際信息安全技術(shù)風(fēng)向標(biāo)，從而為包括中國在內(nèi)的全球信息安全技術(shù)人才構(gòu)建一個展示前沿技術(shù)突破與應(yīng)用的舞臺，在為中國網(wǎng)絡(luò)安全生態(tài)建設(shè)注入全球化視野的同時，積極倡導(dǎo)中國乃至全球的信息安全新生態(tài)，也為全球安全技術(shù)交流平臺做出了“中國樣本”。

騰訊安全作為中國互聯(lián)網(wǎng)安全新生態(tài)的首倡者，始終堅持“開放、聯(lián)合、共享”的理念，多維護(hù)航全球網(wǎng)絡(luò)安全生態(tài)的構(gòu)建與發(fā)展。近年來，為提供立體化安全防護(hù)，騰訊安全聯(lián)合多名網(wǎng)絡(luò)安全界權(quán)威專家組建中國頂級聯(lián)合安全實驗室，專注于網(wǎng)絡(luò)安全技術(shù)研究及安全攻防體系建設(shè)，集合企業(yè)安全能力推出騰訊守護(hù)者計劃、CSS中國互聯(lián)網(wǎng)安全領(lǐng)袖峰會、TCTF騰訊信息安全爭霸賽，支持并參與了GeekPwn國際安全極客大賽。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。