用一個(gè)漏洞利用工具拿下10億設(shè)備這種事,絕不可能發(fā)生在安卓世界。
移動(dòng)支付機(jī)構(gòu)Square安全主管,著名安全研究員迪諾·戴·佐維(Dino Dai Zovi)在亞洲黑帽大會(huì)上表示,安卓的多樣性及其漏洞滿布的生態(tài)系統(tǒng),不僅不是弱點(diǎn),反而是其強(qiáng)項(xiàng)。因?yàn)?,正是其多樣性,?dǎo)致黑客罪犯?jìng)兏y以下手。
迪諾·戴·佐維
由于要在各種各樣的手機(jī)和平板上安裝使用,安卓的變種簡(jiǎn)直數(shù)不勝數(shù)。
所有調(diào)查的設(shè)備中,大約1/3跑的是2013年發(fā)布的安卓4.4(KitKat),還有1/3則是2014年發(fā)布的安卓5(Lollipop)。
這就有問(wèn)題了:這些老舊操作系統(tǒng)都有幾十個(gè)危險(xiǎn)漏洞沒(méi)補(bǔ)上,且大多數(shù)制造商都疏于更新或直接拒絕更新他們的安卓系統(tǒng)。
不過(guò),佐維倒是認(rèn)為,這一分散的異構(gòu)的生態(tài)系統(tǒng),為數(shù)量龐大的未修復(fù)設(shè)備帶來(lái)了安全——因?yàn)橄肜妙愃芐tagefright一類的高危漏洞就得針對(duì)每一款設(shè)備定制工具和策略。
安卓“碎片”
“App驗(yàn)證之類的安卓安全特性,還有谷歌Play商店的應(yīng)用檢測(cè),都讓安卓成為一個(gè)更加安全的系統(tǒng)。”
安卓漏洞常被發(fā)現(xiàn)是影響甚廣的類型。反復(fù)出現(xiàn)的StageFright威脅是首個(gè)以影響范圍高達(dá)10億臺(tái)設(shè)備而著稱的漏洞,其攻擊手段簡(jiǎn)單而后果極其嚴(yán)重,以至于谷歌迅速展開(kāi)了修復(fù)工作。
佐維并沒(méi)有讓那些說(shuō)Stagefright愛(ài)好者面臨世界末日的人收回前言,但他強(qiáng)烈建議視漏洞為猛虎的人需要考量一下,為那么多種”安卓平臺(tái)”開(kāi)發(fā)”漏洞利用工具包”的高昂代價(jià),然后再放出漏洞威脅論。
安卓最新版本Lollipop和Marshmallow里已經(jīng)包含了最佳安卓安全特性,且對(duì)載入的應(yīng)用增加了安全核查,通過(guò)產(chǎn)生警告標(biāo)志來(lái)避免用戶無(wú)意中破壞了自己設(shè)備的安全性。這些警告能幫助那些意外使用了盜版App或從非谷歌Play源下載的代碼的人。
佐維在大會(huì)上引用了喬治亞科技大學(xué)2013年發(fā)布的一份研究報(bào)告,其中指出,安卓設(shè)備只有0.0009%宿有惡意軟件。
真正被感染的設(shè)備數(shù)量真的是超級(jí)少!