信息來源:中國信息產(chǎn)業(yè)網(wǎng)
隨著移動智能終端的普及����,用戶在享受多種多樣的便利功能的同時也面臨著越來越多的安全風(fēng)險。應(yīng)用的豐富增加了用戶多維度的個人信息在終端的錄入和存儲����,個人的信息安全也更加依賴于終端的安全��。終端系統(tǒng)代碼量的增加��,漏洞數(shù)量和攻擊面也隨之增加���。不斷出現(xiàn)的安全事件��,使得智能終端操作系統(tǒng)漏洞修補越來越需要被重視���。
移動智能終端漏洞威脅嚴(yán)重
近兩年來我國移動智能終端快速發(fā)展,終端操作系統(tǒng)主要以iOS和Android為主��,市場份額超過90%��,可以說這兩個操作系統(tǒng)的安全性決定了移動智能終端整體的安全發(fā)展��。從cvedetails.com上公開的數(shù)據(jù)可以看到��,2016年iOS系統(tǒng)一共收錄了161個漏洞;而Android則一共收錄了523個漏洞����,位列各平臺漏洞數(shù)量之首。這其中“提權(quán)漏洞”作為危害比較嚴(yán)重的類型���,在2016年新增了250個����,而2015年這類漏洞只有17個��,增長超過13倍���。2017年截至目前��,iOS已經(jīng)出現(xiàn)了243個漏洞��,超過了去年全年的水平���;Android也已經(jīng)出現(xiàn)347個漏洞。
由數(shù)據(jù)可見����,隨著系統(tǒng)功能越來越多���,代碼量越來越大,勢必會增加更多的安全漏洞���,而決定移動智能終端安全性的除了平臺漏洞數(shù)量����,還主要取決于廠商對于漏洞的修補情況��。泰爾終端實驗室在近期對市場上銷售的77個廠商的262款終端進(jìn)行了抽樣測試發(fā)現(xiàn)���,終端平均含有5個高危或者嚴(yán)重漏洞���,而所有終端中僅有2款對應(yīng)修補的漏洞進(jìn)行了全面修補��,其余終端未修補漏洞比例在19%左右���。拋開iOS的特殊性不談,Google每月會定期發(fā)布漏洞補丁供終端廠商去修補����,而實際情況我們了解到����,廠商并不是第一時間就將漏洞補丁集成到操作系統(tǒng)當(dāng)中���,大部分廠商會延遲1個月到半年的時間��,有的甚至延遲了1年之久��,而這期間終端就會暴露在漏洞威脅下����。另外����,終端廠商對于漏洞的修補也大多集中在高端機型,中端機和低端機甚至出廠后就無人維護(hù)��。
漏洞修補管理混亂
移動智能終端的漏洞現(xiàn)狀并不樂觀���,大量終端存在嚴(yán)重漏洞���,而造成這種現(xiàn)象的主要原因體現(xiàn)在以下幾個方面。
——碎片化嚴(yán)重。iOS由于只有蘋果公司一家采用����,且終端也是同一家生產(chǎn),在進(jìn)行漏洞修補的時候可以統(tǒng)一版本升級���。同時����,廠商對于漏洞的成因���、危害和修補辦法也更加清晰和明確����,這就是iOS漏洞所引發(fā)的安全事件較少的原因����。但是Android陣營的情況則要復(fù)雜很多���,雖然Google推出了Android 8系統(tǒng)����,但是中國市場依舊是以Android 5和6為主���,6月份的統(tǒng)計中Android 7的市場占有率甚至低于10%���,而仍有18%左右的終端使用的是4.4系統(tǒng)��。除此以外不同終端所采用的硬件芯片也有很大區(qū)別���,這其中涉及驅(qū)動層面的漏洞也會因為硬件不同而各有不同。廠商本身的銷售策略也會使得同一廠商不同機型出現(xiàn)不同版本��、不同硬件的情況����。
——積極性不高。從實驗室的研究中我們看到���,目前市場上一家廠商同一時期會銷售多款終端���,這其中高端機、中端機和低端機可能會同時出現(xiàn)���。我們的研究表明��,低端機平均漏洞數(shù)量明顯要高于高端機��,同時漏洞修補的延遲時間也更長����。由于很多廠商研發(fā)實力有限,無法維護(hù)其所有的機型���,更多的人力物力均投入到高端機的研發(fā)當(dāng)中��,很多低端機就會減緩甚至放棄漏洞修補����。而修補漏洞本身對于終端廠商而言好處不明顯��,在并不能帶來良好收益的同時還需要投入大量的成本����,因此廠商本身對漏洞修補管理就存在重視程度的差異。
——管理混亂��。目前終端漏洞修補并沒有強制性要求���,很多無研發(fā)能力的小廠商主要依賴操作系統(tǒng)廠商、芯片廠商發(fā)布的官方補丁,而這些補丁也會出現(xiàn)遺漏��,并不能完全涵蓋所有產(chǎn)品版本����,同時這些廠商往往也沒有手段督促終端廠商及時打補丁,例如Google目前只能通過CTS測試去判斷一些大廠商是否完成了漏洞修補����,而小廠商則處在監(jiān)管盲區(qū)。從終端廠商角度來講���,產(chǎn)品線很多���,碎片化也很嚴(yán)重,因此并不能保證所有的版本都及時修補漏洞���,這其中很多OEM����、ODM產(chǎn)品的存在也使得終端廠商不能完全對其進(jìn)行監(jiān)管和要求����。
進(jìn)一步完善機制體制
——建立漏洞檢測和監(jiān)管體系���。新出臺的《網(wǎng)絡(luò)安全法》規(guī)定網(wǎng)絡(luò)產(chǎn)品、服務(wù)的提供者不得設(shè)置惡意程序����;發(fā)現(xiàn)其網(wǎng)絡(luò)產(chǎn)品、服務(wù)存在安全缺陷���、漏洞等風(fēng)險時���,應(yīng)當(dāng)立即采取補救措施,按照規(guī)定及時告知用戶并向有關(guān)主管部門報告����。為配合《網(wǎng)絡(luò)安全法》的落地實施,我們應(yīng)及時關(guān)注移動智能終端漏洞問題��,從國家層面管理漏洞修補工作���,加快漏洞庫建設(shè)��,配合檢測同步執(zhí)行���,定期發(fā)布漏洞研究報告,促進(jìn)行業(yè)自律����。
——建立應(yīng)急響應(yīng)機制。從最近PC端爆發(fā)的WannaCry勒索事件來看����,行業(yè)內(nèi)處理重大漏洞的應(yīng)急響應(yīng)機制還不健全。針對移動智能終端重大漏洞引起的安全事件����,需要從制度層面建立快速響應(yīng)機制,第一時間向用戶發(fā)布安全公告����,協(xié)調(diào)技術(shù)檢測機構(gòu)及時發(fā)布檢測工具,推動操作系統(tǒng)供應(yīng)商��、芯片廠商和終端企業(yè)共同進(jìn)行漏洞修補工作����。
——建立長效合作機制。小廠商低端機所面臨的漏洞威脅更為嚴(yán)重����,而這一類廠商缺乏研發(fā)能力也是現(xiàn)實的困難��。因此需要從政府角度帶動整個行業(yè)����,聯(lián)合安全廠商���、終端廠商���、系統(tǒng)廠商和芯片廠商,多方建立合作共贏機制���,通過技術(shù)分享��、服務(wù)分享���,最終達(dá)到技術(shù)升級、產(chǎn)品安全性提升的目的���。
