世界超市世界超市

ISC 2017中国互联网安全大会聚焦Android漏洞安全

扫码购物、团购订餐、软件叫车、信用租房……我国的移动互联网已经十分普及,工信部显示,截至2017年7月末,我国移动用户已达12亿,位居世界第一。但是,移动互联网高速发展,在给用户带来便利的同时,利用漏洞针对移动端的攻击却从未减少,并且呈现出愈演愈烈之势,给移动互联网用户的财产乃至人身造成严重威胁。9月13日召开的ISC 2017中国互联网安全精英峰会上,移动端安全成为大会关注的焦点, 360集团首席安全官谭晓生专门对移动端安全的现状进行了分析,指出Android漏洞利用愈发严峻,主流手机漏洞修复严重滞后等问题,并提出了360针对安卓手机打热补丁的解决方案。而作为今年ISC大会新增项目的移动终端安全论坛更是邀请了中国移动、华为、泰尔实验室、盘古实验室、360等电信运营商、手机厂商和安全研究机构的代表,对移动端漏洞的挖掘、攻防、管理控制、修复等进行了全程化的深度剖析,并呼吁各方联合构筑移动端全链条的安全防御。360谭晓生:Android漏洞利用愈发严峻,主流手机漏洞修复严重滞后大安全时代,人是网络安全核心。手机作为个人身份、资产、关系网络等的集合,已经成为黑客们重点攻击的目标。手机漏洞正是黑客们获取用户手机权限,执行操作的门户,一旦被成功利用,用户个人身份信息、银行账户密码信息乃至存储的隐私文件等都可能遭到盗取泄露。谭晓生表示,国产手机用户已占了非常高的比重,但在Android手机市场越来越碎片化的情况下,厂商过于分散、漏洞修复机制乏力等原因,主流手机的漏洞修复严重滞后,新发现的漏洞用户根本无法修复。他指出,有55.5%的手机存在20个以上的漏洞,而99.99%的手机都存在已知 漏洞。在Android漏洞利用愈发严峻的情况下,用户面临着非常高的被攻击风险。对此,谭晓生表示,360联合多家手机厂商推出了专门给Android手机打热补丁的引擎360女娲平台,一旦发现高危漏洞,它就会自动给用户推送热补丁修复漏洞,降低用户被攻击的风险。他表示,手机厂商和安全厂商的分工合作形成了一个产业形态,通过安全厂商提供SDK,或一些模块,手机厂商采用,形成一定的利益分配机制,在这样一条价值链中,手机厂商和安全厂商可以做自己比较擅长的工作,形成健康的产业链条。泰尔实验室杨正军:手机漏洞修复平均滞后100多天事实上,移动发互联网的高速发展,漏洞给包括手机在内的移动端智能设备带来的安全风险远非能直接看到的威胁。泰尔实验室信息安全部杨正军副主任指出:随着手机等移动端安全威胁日益严重,攻击技术的不断更新,手机等移动端安全抵御的效果显得十分被动。特别是手机等移动设备漏洞频出,芯片厂商、ODME厂商、手机系统厂商等复杂的产业链都可能产生安全威胁。泰尔实验室抽取2017年上市的217款移动智能设备进行漏洞检测,平均检测出漏洞数量为35个,其中严重漏洞16个,高危11个,中危漏洞8个。存在小于10个漏洞的终端仅有83款,占比38%;10-30个漏洞的终端为100款,占比46%;大于30个漏洞的终端为34款,占比16%。与此相对应的却是厂商修复能力的不足,用户面临的安全风险持续增加。泰尔实验室数据显示,手机厂商总体漏洞未修复比例在21.2%,严重、高危、中危漏洞未修复比例分别在20.8%、20.5%、23.4%。并且厂商打补丁很不及时,平均延迟时间在165天,即使是Top20的厂商,打补丁的延迟时间也为148天,其他厂商则为191天。360女娲平台:携手厂商,共筑Android安全新长城面对移动端严峻的安全形势,必须进行整体安全管控,从硬件制造厂商、软件开发公司、安全企业等各个环节解决漏洞问题,从根源上降低用户遭受攻击的风险。360携手多家安全厂商,推出的热补丁漏洞修补平台女娲,支持高通、海思、MTK等多个平台,同时支持安卓所有版本的漏洞修复。对于Google已经公开的Android漏洞,平台可以自动完成针对不同机型、不同系统版本研发通用方案,同步进行修复,避免由于修复滞后导致的时间差攻击。对于Google未公开的漏洞,女娲也可以通过360安全研究人员的漏洞挖掘,及时修补,进行预先防御。而在0day事件爆发时,360女娲平台还会启动应急响应机制,第一时间将安全补丁推送至厂商,再由厂商安装到用户终端。此外,360女娲平台经过规范化严格测试和安全校验,对手机性能无损耗,系统的整体修复流程也会经过手机厂商严格把控,所有代码及修复方案全透明。并且无需ROOT权限,整体框架依托Android系统原生安全策略,利用SELinux保证过程安全,不破坏原有校验机制,安全又无风险,真正做到稳定、高效、透明、可靠,用户可以放心使用。

上一条:海迷最爱! 魅蓝Note6“航海王”限定版惊喜亮相

相关推荐