對移動智能終端漏洞不得不防

隨著移動智能終端的普及，用戶在享受多種多樣的便利功能的同時也面臨著越來越多的安全風險。應用的豐富增加了用戶多維度的個人信息在終端的錄入和存儲，個人的信息安全也更加依賴於終端的安全。終端系統代碼量的增加，漏洞數量和攻擊面也隨之增加。不斷出現的安全事件，使得智能終端操作系統漏洞修補越來越需要被重視。

移動智能終端漏洞威脅嚴重

近兩年來我國移動智能終端快速發展，終端操作系統主要以iOS和Android為主，市場份額超過90%，可以說這兩個操作系統的安全性決定了移動智能終端整體的安全發展。從cvedetails.com上公開的數據可以看到，2016年iOS系統一共收錄了161個漏洞；而Android則一共收錄了523個漏洞，位列各平台漏洞數量之首。這其中「提權漏洞」作為危害比較嚴重的類型，在2016年新增了250個，而2015年這類漏洞只有17個，增長超過13倍。2017年截至目前，iOS已經出現了243個漏洞，超過了去年全年的水平；Android也已經出現347個漏洞。

由數據可見，隨著系統功能越來越多，代碼量越來越大，勢必會增加更多的安全漏洞，而決定移動智能終端安全性的除了平台漏洞數量，還主要取決於廠商對於漏洞的修補情況。泰爾終端實驗室在近期對市場上銷售的77個廠商的262款終端進行了抽樣測試發現，終端平均含有5個高危或者嚴重漏洞，而所有終端中僅有2款對應修補的漏洞進行了全面修補，其餘終端未修補漏洞比例在19%左右。拋開iOS的特殊性不談，Google每月會定期發布漏洞補丁供終端廠商去修補，而實際情況我們了解到，廠商並不是第一時間就將漏洞補丁集成到操作系統當中，大部分廠商會延遲1個月到半年的時間，有的甚至延遲了1年之久，而這期間終端就會暴露在漏洞威脅下。另外，終端廠商對於漏洞的修補也大多集中在高端機型，中端機和低端機甚至出廠後就無人維護。

漏洞修補管理混亂

移動智能終端的漏洞現狀並不樂觀，大量終端存在嚴重漏洞，而造成這種現象的主要原因體現在以下幾個方面。

——碎片化嚴重。iOS由於只有蘋果公司一家採用，且終端也是同一家生產，在進行漏洞修補的時候可以統一版本升級。同時，廠商對於漏洞的成因、危害和修補辦法也更加清晰和明確，這就是iOS漏洞所引發的安全事件較少的原因。但是Android陣營的情況則要複雜很多，雖然Google推出了Android 8系統，但是中國市場依舊是以Android 5和6為主，6月份的統計中Android 7的市場佔有率甚至低於10%，而仍有18%左右的終端使用的是4.4系統。除此以外不同終端所採用的硬體晶元也有很大區別，這其中涉及驅動層面的漏洞也會因為硬體不同而各有不同。廠商本身的銷售策略也會使得同一廠商不同機型出現不同版本、不同硬體的情況。

——積極性不高。從實驗室的研究中我們看到，目前市場上一家廠商同一時期會銷售多款終端，這其中高端機、中端機和低端機可能會同時出現。我們的研究表明，低端機平均漏洞數量明顯要高於高端機，同時漏洞修補的延遲時間也更長。由於很多廠商研發實力有限，無法維護其所有的機型，更多的人力物力均投入到高端機的研發當中，很多低端機就會減緩甚至放棄漏洞修補。而修補漏洞本身對於終端廠商而言好處不明顯，在並不能帶來良好收益的同時還需要投入大量的成本，因此廠商本身對漏洞修補管理就存在重視程度的差異。

——管理混亂。目前終端漏洞修補並沒有強制性要求，很多無研發能力的小廠商主要依賴操作系統廠商、晶元廠商發布的官方補丁，而這些補丁也會出現遺漏，並不能完全涵蓋所有產品版本，同時這些廠商往往也沒有手段督促終端廠商及時打補丁，例如Google目前只能通過CTS測試去判斷一些大廠商是否完成了漏洞修補，而小廠商則處在監管盲區。從終端廠商角度來講，產品線很多，碎片化也很嚴重，因此並不能保證所有的版本都及時修補漏洞，這其中很多OEM、ODM產品的存在也使得終端廠商不能完全對其進行監管和要求。

進一步完善機制體制

——建立漏洞檢測和監管體系。新出台的《網路安全法》規定網路產品、服務的提供者不得設置惡意程序；發現其網路產品、服務存在安全缺陷、漏洞等風險時，應當立即採取補救措施，按照規定及時告知用戶並向有關主管部門報告。為配合《網路安全法》的落地實施，我們應及時關注移動智能終端漏洞問題，從國家層面管理漏洞修補工作，加快漏洞庫建設，配合檢測同步執行，定期發布漏洞研究報告，促進行業自律。

——建立應急響應機制。從最近PC端爆發的WannaCry勒索事件來看，行業內處理重大漏洞的應急響應機制還不健全。針對移動智能終端重大漏洞引起的安全事件，需要從制度層面建立快速響應機制，第一時間向用戶發布安全公告，協調技術檢測機構及時發布檢測工具，推動操作系統供應商、晶元廠商和終端企業共同進行漏洞修補工作。

——建立長效合作機制。小廠商低端機所面臨的漏洞威脅更為嚴重，而這一類廠商缺乏研發能力也是現實的困難。因此需要從政府角度帶動整個行業，聯合安全廠商、終端廠商、系統廠商和晶元廠商，多方建立合作共贏機制，通過技術分享、服務分享，最終達到技術升級、產品安全性提升的目的。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！