BlackHat 專題 | Android 系統(tǒng)的安全性有救了？中國黑客祭出神器

本文作者：史中

2016-08-04 14:36

導(dǎo)語：飽受“免疫疾病”折磨的 Android 系統(tǒng)，也許會在中國黑客的努力之下，走出泥潭。

Android 系統(tǒng)很安全。

以上是黑客們眼中最大的笑話。

夸張點說，甚至一個腳本小子都能輕松在網(wǎng)上找到成建制的方案，攻破你的手機(jī)防線。造成這種結(jié)果的原因，并不是谷歌在系統(tǒng)安全方面不作為，而是大部分存在于人間的 Android 手機(jī)，大都成了“迷途的羔羊”。由于系統(tǒng)碎片化、廠商更新流程繁瑣，這些手機(jī)根本找不到升級之門，只能如孤魂野鬼般徘徊在充斥豺狼虎豹的曠野之中。

百度首席安全科學(xué)家韋韜稱之為：“生態(tài)的安全漏洞”、“Android 系統(tǒng)的白血病”。

難以置信，在頂級黑客聚集的盛會 BlackHat USA 之上，這位黑客連續(xù)三年為 Android 系統(tǒng)安全奔走呼號。就在今天，他再一次登上這個全球黑客的最高舞臺。這一次，他祭出了一個“神器”。

演講結(jié)束，雷鋒網(wǎng)對韋韜進(jìn)行了專訪，讓我們聽他講述一下，這個“神器”究竟是什么。

BlackHat 專題 | Android 系統(tǒng)的安全性有救了？中國黑客祭出神器

【百度首席安全科學(xué)家 X-Lab掌門人韋韜】

Android 系統(tǒng)的白血?。?/h2>
雷鋒網(wǎng)：
我們的 Android 手機(jī)究竟有多么不安全？
韋韜：
在前年的 BlackHat USA 上，我的演講內(nèi)容就是定向攻擊 Android 手機(jī)的諸多方法，我們現(xiàn)場演示了遠(yuǎn)程無感知攻擊Android手機(jī)進(jìn)行現(xiàn)場錄像并上傳。這里給幾個小例子，例如在 Android 5.X 之前，存在一個嚴(yán)重的漏洞，任何 App 都可以擁有閱讀手機(jī)短信的權(quán)限；同樣，所有的 App 也都可以獲取用戶放在剪貼板上的內(nèi)容。當(dāng)然這些只是一小部分。大量的基礎(chǔ)漏洞至今沒有被修復(fù)，而用戶手機(jī)上運行的，大多都是這樣的系統(tǒng)。
雷鋒網(wǎng)：
如果我們不 Root 手機(jī)，是否會更安全一些？
韋韜：
并不是這樣。簡單來說：用戶不 Root 手機(jī)，攻擊者會幫你 Root。對于絕大多數(shù)正在使用的手機(jī)來說，地下黑產(chǎn)流傳著成熟的 Root 技術(shù)。甚至在用戶完全沒有感知的情況下，靜默獲取用戶的 Root 權(quán)限。例如誘導(dǎo)用戶下載一個游戲，僅僅通過閃現(xiàn)一個 Banner 條的方式，就能執(zhí)行攻擊代碼。
這種不知情的 Root，甚至比用戶自己 Root 還可怕。黑客可以在后臺獲得最高權(quán)限，盜取用戶的銀行賬號密碼。甚至還有間諜集團(tuán)盜竊員工手機(jī)上的工作密碼，盜取手機(jī)上的商業(yè)會議錄音。我講的這些事情不是假設(shè)，而是真實發(fā)生過的。
雷鋒網(wǎng)：
如此看來，圍繞 Android 手機(jī)，是否已經(jīng)形成一條黑色產(chǎn)業(yè)？
韋韜：
并不是一條，而是很多條黑色產(chǎn)業(yè)交叉在里面。黑產(chǎn)分工的細(xì)致已經(jīng)超出了想象，每個細(xì)分產(chǎn)業(yè)的產(chǎn)值都在幾億到幾十億之間。可以這么說，安卓的現(xiàn)狀對他們來說是樂園，經(jīng)過長久的等待，現(xiàn)在他們（黑產(chǎn)）已經(jīng)可以開始收割了。
【韋韜（左）和團(tuán)隊成員張煜龍在 BlackHat 上演講】
雷鋒網(wǎng)：
造成 Android 系統(tǒng)漏洞百出的原因是神馬？
韋韜：
原因主要有三個。
產(chǎn)業(yè)鏈條長：從谷歌到用戶之間，要經(jīng)過 Android 系統(tǒng)、手機(jī)廠商、運營商、應(yīng)用開發(fā)者、應(yīng)用開發(fā)工具生產(chǎn)者等等，這些環(huán)節(jié)中，一旦一個出現(xiàn)了問題，就會導(dǎo)致整個系統(tǒng)不安全。

手機(jī)碎片化：根據(jù)我們的統(tǒng)計，今年上半年，不同的廠家、不同的手機(jī)硬件搭配不同的系統(tǒng)版本，使得Andorid 的碎片達(dá)到了幾十萬個，很多手機(jī)的設(shè)計團(tuán)隊甚至都已經(jīng)解散，不可能對每種機(jī)型提供技術(shù)支持。所以沒有辦法把一個補(bǔ)丁用在不同的設(shè)備之上。

安全廠商沒有位置：谷歌顯然不歡迎安全廠商進(jìn)入 Android 系統(tǒng)的內(nèi)核。所有帶有 Root 性質(zhì)的應(yīng)用一律不允許上架。安全廠商的積極性被嚴(yán)重打擊，而谷歌自身卻有沒有能力保護(hù)自己的系統(tǒng)內(nèi)核，這就造成了現(xiàn)在安卓系統(tǒng)安全的真空。導(dǎo)致很多漏洞在行業(yè)里流傳，研究人員報告給谷歌的動力不足，黑產(chǎn)就更不會了。

拯救 Android 的神器

雷鋒網(wǎng)：

所以你在 BlackHat 上祭出的神器究竟是什么呢？

韋韜：

我們提出并實現(xiàn)了自適應(yīng)內(nèi)核熱補(bǔ)丁技術(shù)。同時開發(fā)了一個名為 AdaptKPatch 的工具，專門為系統(tǒng)內(nèi)核注入補(bǔ)丁。這種工具的優(yōu)勢在于，可以實現(xiàn)對不同手機(jī)自適應(yīng)地打補(bǔ)丁。經(jīng)過我們對自己掌握的幾百臺手機(jī)的測試，都可以自動為系統(tǒng)打補(bǔ)丁。在整個打補(bǔ)丁的過程中，系統(tǒng)甚至不需要重啟，甚至沒有卡頓。

BlackHat 專題 | Android 系統(tǒng)的安全性有救了？中國黑客祭出神器

【BlackHat 現(xiàn)場，百度 X-Lab 展示“內(nèi)核熱補(bǔ)丁”技術(shù)】

雷鋒網(wǎng)：

這種熱補(bǔ)丁技術(shù)是如何實現(xiàn)的呢？

韋韜：

第一步，引擎會收集用戶的內(nèi)核信息和手機(jī)軟硬件信息，然后根據(jù)關(guān)鍵的參數(shù)已經(jīng)安全機(jī)制選項給出模板，這些“自適應(yīng)”的過程在手機(jī)之上就可以自動完成。

第二步，引擎會把生成好的補(bǔ)丁注入內(nèi)核。如果我們和廠家有合作，就可以正常修補(bǔ)；如果沒有合作，也可以用 Root 技術(shù)進(jìn)去打補(bǔ)丁。

第三步，打內(nèi)核熱補(bǔ)丁。在打補(bǔ)丁的過程中，會保持系統(tǒng)地流暢。針對沒有在調(diào)用的參數(shù)，可以直接替換，針對正在調(diào)用的參數(shù)，會進(jìn)行短暫的暫停。由于 Android 不是“硬實時系統(tǒng)”（完全的實時交互系統(tǒng)），所以用戶對這種停頓根本感受不到。

雷鋒網(wǎng)：

這個內(nèi)核熱補(bǔ)丁對于所有 Android 機(jī)型都通用嗎？

韋韜：

我們對身邊的幾百臺手機(jī)進(jìn)行了測試，都能很好地打補(bǔ)丁。但是，我們的手機(jī)只是市場上很小的一部分。不排除有些特殊的例子，例如：有些廠商提供了自己特殊的安全機(jī)制。還有些收集的 CPU 本身存在 bug，雖然這類手機(jī)比例很小。但是我們有六七億用戶，即使是1%的手機(jī)有問題，仍然數(shù)額很大。所以讓安卓系統(tǒng)變得這件事并不是一個人能夠做到的。我們需要手機(jī)廠家、安全廠商、谷歌、高通和我們相配合。

雷鋒網(wǎng)：

對系統(tǒng)內(nèi)核打補(bǔ)丁，理論上來說有可能形成新的攻擊面，如何讓谷歌來信任百度呢？

韋韜：

正是因為這個原因，我們今天在全球首次推出了另一個熱補(bǔ)丁引擎 LuaKpatch。Lua 是一種非常小巧的腳本語言，它的代碼非常簡單，可以實現(xiàn)的功能也受限制。但是它的優(yōu)點是，谷歌或手機(jī)生產(chǎn)廠商可以簡單地審計代碼的安全性。不過，它的缺點是，有些補(bǔ)丁無法通過 Lua 語言修補(bǔ)，還要使用 AdaptKpatch。這兩種引擎需要配合使用，才能完整地為系統(tǒng)內(nèi)核打補(bǔ)丁。

雷鋒網(wǎng)：

AdaptKpatch 引擎會出現(xiàn)碎片化的問題嗎？

韋韜：

如果我們完全無限制的開放技術(shù)，真的有可能造成另一次碎片化的過程。所以我們選擇為核心技術(shù)申請了幾個專利，但是這些專利對于生態(tài)合作伙伴是開放的。我們希望通過建立聯(lián)盟的方式，避免 AdaptKpatch/LuaKpatch再次出現(xiàn)碎片化的問題。