百度科学家韦韬：安卓生态患上安全白血病，如何治疗？

　　5月24日至26日，2016中国网络安全年会在四川省成都市世纪城国际会议中心举行。本次会议邀请了政府部门、重要信息系统单位、基础电信企业、非经营性互连单位、科研和产业机构的领导和专家700余人参会，围绕“聚网络英才·筑安全生态”的主题进行深入交流和探讨。国际著名安全专家，百度首席安全科学家、百度安全实验室负责人韦韬博士，在25日的会议上，深刻的揭示了目前消费者广泛使用的安卓系统在生态上面临的严峻安全威胁;并呼吁手机厂商和安全厂商紧密协作，共同改变当前安卓生态上的安全错位。

　　安卓生态的安全白血病

　　安卓系统免费开源，已经在智能手机产业中占据主导地位。安卓系统也在高速演进，版本不断迭代，谷歌和各个安全公司也投入了大量资源对安卓的安全进行改善和监控，每年谷歌安卓安全团队的安卓安全报告都表示安卓安全情况令人乐观，但安全公司经常表达不同观点。韦韬及其团队在多个国际安全会议上展示过安卓的高危安全问题。比如，2014年Blackhat安全大会上，韦韬和张煜龙演示了如何通过安卓系统上广泛使用的各个主流广告平台在用户毫无知觉的情况下远程控制安卓手机，获得包括录音、录像等隐私信息;2015年Blackhat安全大会上，他们再次展示了如何攻破安卓手机上包括TrustZone在内的层层防御获取用户指纹。

　　在本次大会上，韦韬从安卓内核漏洞出发，系统的阐述了安卓生态中的安全错位导致了整个生态进入了一种长期以来难以治愈的安全重症，韦韬将其称为生态安全白血病。安卓的生态安全白血病重要表现为，在用户实际使用的安卓设备中始终有很高比例(超过50%)可以被攻击者通过公开的内核漏洞利用(N-Day Exploit)获得内核控制权。

　　安卓绝大部分的安全机制依赖于内核的完整性。如果有内核漏洞，那么基础性的安全机制就会崩溃。当攻击者获得内核控制权时，可以轻易绕过App隔离机制以及绝大多数安卓系统安全机制，对用户的支付安全、指纹隐私等造成严重威胁。这使得应用开发厂商，特别是移动支付和移动金融厂商，面临着来自黑产盗号刷卡的严峻威胁。目前产业用于抵抗这种安全威胁的方式是TrustZone(ARM处理器的一种安全隔离环境)，但其实TrustZone有一个致命弱点：大部分TrustZone逻辑相信来自于内核的输入，而且无法区分输入源发自于真正的移动应用程序，还是获得了内核权限的恶意代码。而且随着厂商把越来越多的功能放进TrustZone，也会将越来愈多的漏洞引入TrustZone，这个后果甚至比内核漏洞更加严重。

　　安卓生态陷入安全白血病的缘由

　　安卓的开源政策，使得全世界不计其数的厂商自由定制ROM，加剧了安卓平台的风险。虽然安卓内核的漏洞较多，但这是引起安卓长期不安全的主要原因吗?

　　韦韬展示了iOS和安卓内核漏洞统计的对比数字。令人惊讶的是，iOS 的系统内核漏洞长期高于安卓。但大家普遍认为iPhone比安卓安全很多。这是为什么?是因为苹果修复漏洞采用的是快速强制升级的方式，用户无法选择升级中间版本，只能是最新的，这样版本碎片的情况非常小。这样的后果是留给攻击者利用已知漏洞的时间窗口也很短，从而很好的保护了普通消费者用户的安全。而安卓出现系统漏洞时，整个产业链往往需要花很长的时间才能把修复补丁推送到用户手上的设备，甚至不少设备根本没有厂商提供的补丁。

　　韦韬分析指出，这种现象不是单纯的因为安卓产业链不想修复内核漏洞，而是很多复杂的原因造成的。主要原因有如下三条：

　　一、 安卓的产业链过长。安卓生态系统产业链非常长，从硬件厂商，到谷歌，到手机厂商，再到运营商。每一个环节都有自己的开发、质控、验证等复杂流程，有时候还会相互冲突。这样要消耗大量的时间和人力，而且有时甚至导致安全补丁无法下发给用户;

　　二、 安卓系统碎片化过于严重。安卓系统的碎片化是指世界上所有安卓用户实际使用的安卓版本、配置、驱动等等有着非常显著的差异。安卓系统碎片化已经成为了业界共识，由于系统的开源性，用户、开发者、OEM厂商、运营商都可以按照自己的想法对这只绿色机器人进行改造，这种“碎片化”的程度异常严重。在这种情况下，大多数手机设备厂商已经失去了为所有用户使用的安卓系统提供安全补丁的能力;

　　三、 生态职能不匹配。其实最容易推进修复的是手机厂商，但大部分手机厂商自身的碎片化现象非常严重，导致了手机厂商没有足够的资源和精力去修复漏洞。而对于安全厂商来讲，修复漏洞也是一件很尴尬的事情。在正常情况下，安全厂商是没有系统授权的，除非先进行ROOT。即使ROOT，安全厂商仍然要面临不同手机品牌更加严重的碎片化挑战。

　　生态重症如何治疗？

　　公开内核漏洞利用已经成为安卓生态的白血病，破坏着整个生态的安全基础。那么面对病入膏肓的生态安全，该如何有效保护用户?生态病患如何治疗?

　　韦韬认为，生态病患必须要进行生态治疗，改变错位的生态格局。然而要改变生态，必须首先要有颠覆性技术变革，来支撑新的生态布局。

　　为此，韦韬带领百度安全实验室的移动安全专家们研究开发出了革命性的自适应内核热修复技术，并且已经为该技术申请了五项专利。这种技术无需实际内核编译所用的源码和配置，能够自动匹配目标安卓系统的漏洞进行在线热修复。这种技术极大的提升了厂商面对安卓高度碎片化的应对能力，而且也大大缩短了厂商推送内核安全补丁到最终用户的过程。根据统计，目前采用此技术可以修复市场中99.4%的安卓产品的内核漏洞。

　　在自适应内核热修复技术的支撑下，韦韬进一步建议手机厂商和安全厂商紧密合作，进行协同受控防护，重构安卓生态。这种合作是双方受益的，手机厂商可以为用户提供更加安全的产品，而安全厂商则可以为企业和行业用户提供更加专业的安全服务。设备厂商在安全可控的情况下，赋予安全厂商能够进行有效防御的权限，充分发挥安全厂商的能力和作用，双方共同合作有效应对安卓生态面临的严峻安全威胁。

　　最后，韦韬认为，目前安卓生态的安全问题非常严峻，传统的解决方案已经很难为安卓生态提供安全防护，自适应内核热修复技术可以提供一种技术上的解决方案，协同受控防护则提供一个生态联防的方向。但即使如此，业界仍然面对着巨大的工作量来修复安卓生态中海量的各色漏洞。韦韬呼吁，目前安全形势非常险峻，需要安卓产业界的同仁们一起努力，建立起健康的安卓新生态。百度也将开放自适应内核热修复技术专利给合作伙伴，共同建设一个安全的安卓新生态。