中国信息通信研究院泰尔终端实验室 姚一楠
随着移动智能终端的普及,用户在享受多种多样的便利功能的同时也面临着越来越多的安全风险。应用的丰富增加了用户多维度的个人信息在终端的录入和存储,个人的信息安全也更加依赖于终端的安全。终端系统代码量的增加,漏洞数量和攻击面也随之增加。不断出现的安全事件,使得智能终端操作系统漏洞修补越来越需要被重视。
移动智能终端漏洞威胁严重
近两年来我国移动智能终端快速发展,终端操作系统主要以iOS和Android为主,市场份额超过90%,可以说这两个操作系统的安全性决定了移动智能终端整体的安全发展。从cvedetails.com上公开的数据可以看到,2016年iOS系统一共收录了161个漏洞;而Android则一共收录了523个漏洞,位列各平台漏洞数量之首。这其中“提权漏洞”作为危害比较严重的类型,在2016年新增了250个,而2015年这类漏洞只有17个,增长超过13倍。2017年截至目前,iOS已经出现了243个漏洞,超过了去年全年的水平;Android也已经出现347个漏洞。
由数据可见,随着系统功能越来越多,代码量越来越大,势必会增加更多的安全漏洞,而决定移动智能终端安全性的除了平台漏洞数量,还主要取决于厂商对于漏洞的修补情况。泰尔终端实验室在近期对市场上销售的77个厂商的262款终端进行了抽样测试发现,终端平均含有5个高危或者严重漏洞,而所有终端中仅有2款对应修补的漏洞进行了全面修补,其余终端未修补漏洞比例在19%左右。抛开iOS的特殊性不谈,Google每月会定期发布漏洞补丁供终端厂商去修补,而实际情况我们了解到,厂商并不是第一时间就将漏洞补丁集成到操作系统当中,大部分厂商会延迟1个月到半年的时间,有的甚至延迟了1年之久,而这期间终端就会暴露在漏洞威胁下。另外,终端厂商对于漏洞的修补也大多集中在高端机型,中端机和低端机甚至出厂后就无人维护。
漏洞修补管理混乱
移动智能终端的漏洞现状并不乐观,大量终端存在严重漏洞,而造成这种现象的主要原因体现在以下几个方面。
——碎片化严重。iOS由于只有苹果公司一家采用,且终端也是同一家生产,在进行漏洞修补的时候可以统一版本升级。同时,厂商对于漏洞的成因、危害和修补办法也更加清晰和明确,这就是iOS漏洞所引发的安全事件较少的原因。但是Android阵营的情况则要复杂很多,虽然Google推出了Android 8系统,但是中国市场依旧是以Android 5和6为主,6月份的统计中Android 7的市场占有率甚至低于10%,而仍有18%左右的终端使用的是4.4系统。除此以外不同终端所采用的硬件芯片也有很大区别,这其中涉及驱动层面的漏洞也会因为硬件不同而各有不同。厂商本身的销售策略也会使得同一厂商不同机型出现不同版本、不同硬件的情况。
——积极性不高。从实验室的研究中我们看到,目前市场上一家厂商同一时期会销售多款终端,这其中高端机、中端机和低端机可能会同时出现。我们的研究表明,低端机平均漏洞数量明显要高于高端机,同时漏洞修补的延迟时间也更长。由于很多厂商研发实力有限,无法维护其所有的机型,更多的人力物力均投入到高端机的研发当中,很多低端机就会减缓甚至放弃漏洞修补。而修补漏洞本身对于终端厂商而言好处不明显,在并不能带来良好收益的同时还需要投入大量的成本,因此厂商本身对漏洞修补管理就存在重视程度的差异。
——管理混乱。目前终端漏洞修补并没有强制性要求,很多无研发能力的小厂商主要依赖操作系统厂商、芯片厂商发布的官方补丁,而这些补丁也会出现遗漏,并不能完全涵盖所有产品版本,同时这些厂商往往也没有手段督促终端厂商及时打补丁,例如Google目前只能通过CTS测试去判断一些大厂商是否完成了漏洞修补,而小厂商则处在监管盲区。从终端厂商角度来讲,产品线很多,碎片化也很严重,因此并不能保证所有的版本都及时修补漏洞,这其中很多OEM、ODM产品的存在也使得终端厂商不能完全对其进行监管和要求。
进一步完善机制体制
——建立漏洞检测和监管体系。新出台的《网络安全法》规定网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。为配合《网络安全法》的落地实施,我们应及时关注移动智能终端漏洞问题,从国家层面管理漏洞修补工作,加快漏洞库建设,配合检测同步执行,定期发布漏洞研究报告,促进行业自律。
——建立应急响应机制。从最近PC端爆发的WannaCry勒索事件来看,行业内处理重大漏洞的应急响应机制还不健全。针对移动智能终端重大漏洞引起的安全事件,需要从制度层面建立快速响应机制,第一时间向用户发布安全公告,协调技术检测机构及时发布检测工具,推动操作系统供应商、芯片厂商和终端企业共同进行漏洞修补工作。
——建立长效合作机制。小厂商低端机所面临的漏洞威胁更为严重,而这一类厂商缺乏研发能力也是现实的困难。因此需要从政府角度带动整个行业,联合安全厂商、终端厂商、系统厂商和芯片厂商,多方建立合作共赢机制,通过技术分享、服务分享,最终达到技术升级、产品安全性提升的目的。