Android 缺陷一年多没修正,因供应链太复杂
科技网站TechCrunch今天刊文称,Android存在迟迟不能发布补丁软件修正安全缺陷的问题,这与其生态链过于庞大,有大量第三方设备、元器件厂商存在有关。第三方设备、元器件厂商也可能引入安全缺陷。不过好在谷歌已经开始加强与第三方厂商的合作,以提高Android安全性。
以下为文章全文:
上周,一名安全研究人员在Android全盘加密功能中发现一处缺陷,利用它可以对设备解密。但高通声称,它曾在2014年11月和2015年2月向谷歌通报相关缺陷,谷歌在今年1月和5月发布了补丁软件,这意味着,在获悉存在缺陷一年多后,谷歌才发布了补丁软件。
谷歌这次发布补丁软件,正值美国联邦贸易委员会、美国联邦通信委员会(以下简称“FCC”)宣布对谷歌和其他智能手机厂商发布补丁软件的速度展开调查之际。FCC称,Android中的Stagefright缺陷是促使它展开这次调查的缺陷之一。
由于美国上下对加密的关注,谷歌一年多后才发布补丁软件似乎是个令人瞩目的问题。要搞清楚用户5月份才获得补丁软件的原因,读者需要对Android设备复杂的供应链和Android确保庞大供应链安全的方法有所了解。
供应链的复杂性
Android是一款开放源代码平台,因此有大量智能手机厂商生产Android手机。这些Android手机采用来自不同厂商的芯片、相机和其他元器件。
Android经常被拿来与其最大对手iPhone进行比较,但这种比较是不恰当的。iPhone基本上就只是一款设备,苹果牢牢控制着其生产过程,Android运行在数千款设备上,谷歌对Android设备生产几乎没有任何控制力。
供 应链的多样性是造成Android全盘加密功能缺陷的一个原因。安全研究人员盖尔·本尼亚米尼(Gal Beniamini)在Android全盘加密功能实现中发现数个问题,它们使黑客能解密配置高通芯片的Android设备。利用该缺陷对设备解密是一个 复杂过程,但问题的核心在于,配置高通芯片的Android设备在软件而非硬件中存储密钥。
硬件-软件差别成为苹果与FBI(美国联邦调查局)大战解密iPhone的关键部分。由于苹果把密钥存储在硬件中,调查人员无法绕过苹果用来保护其设备安全的特性。如果苹果把密钥存储在软件中,调查人员能从设备中获取密码,而不用担心丢失设备上的所有数据。
新被发现的老缺陷
本尼亚米尼本周发表博文阐述了破解Android全盘加密功能的过程。他利用高通安全技术中的数个缺陷,获取了Android设备密码。本尼亚米尼向谷歌Android团队和高通通报了这一问题,并通过谷歌缺陷奖励项目获得一定报酬。
谷歌发言人表示,“我们对本尼亚米尼的发现表示感谢,并通过我们的相关项目向他支付了报酬。我们今年早些时候发布了修正这些缺陷的补丁软件。”谷歌今年早些时候发布了两款补丁软件,修正本尼亚米尼发现的缺陷。
但据高通称,自2014年以来,谷歌就应当知道该缺陷的存在。高通发言人表示,该公司早在2014年8月就发现了本尼亚米尼利用的缺陷,并于2014年11月和2015年2月向谷歌提供了补丁软件。但是,该缺陷却在Android中长期存在,直到被本尼亚米尼发现。
本尼亚米尼向TechCrunch表示,“很显然,虽然谷歌在内部修正了该缺陷,但设备厂商没有修正缺陷(它们可能是忘记了或错过了补丁软件)。”
这一缺陷迟迟没有得到修正的原因尚不十分清楚。一种可能是,在本尼亚米尼之前,Android团队没有意识到这一缺陷能被黑客所利用;另外一种可能性是,这是由Android安全机制所决定的。
谷歌应加强与设备厂商协调
不 同于苹果在安全方面以硬件为中心的策略,Android安全策略契合谷歌在人工智能领域领头羊的地位:谷歌希望利用机器学习提高Android安全性。由 于市场上Android设备类型众多,安全缺陷领域肯定会有漏网之鱼——因此Android希望强化对这些缺陷的发现,而非完全消除它们。
但本尼亚米尼指出,在特定条件下,黑客利用他发现的缺陷仍然能兴风作浪。不过这些条件相当苛刻,这意味着普通用户不会受到影响。安全公司Duo Security估计,由于没有安装更新包,大量Android设备都会因该缺陷面临危险。
由于谷歌没有牢牢控制着Android设备中所有元器件的生产,设备厂商可能无意间给Android设备引入安全缺陷。正如本尼亚米尼指出,这可能导致执法 机构绕开谷歌,要求设备厂商破解一款设备,“我认为,谷歌与设备厂商更密切的合作,有助于预防未来出现这类问题。我认为各方做得都很好,但协调存在问 题”。
开放性是使Android独具特色和让用户满意的原因。本尼亚米尼称,“当然,如果谷歌制造自己的硬件,安全问题能得到更好的解决,但还会有大量第三方Android设备厂商存在。我的观点是,Android能发展到今天的部分原因是大量第三方设备和厂商。”
谷 歌在与第三方设备厂商合作,提高Android安全性。昨天,谷歌发布了Nexus设备更新包,修正了数家第三方设备厂商存在的安全缺陷。研究人员在高 通、英伟达和联发科提供的硬件中发现多处权限提升缺陷。但在谷歌发现更迅速地为众多类型设备发布补丁软件的方法前,Android在安全性方面将仍然稍逊 风骚。
文章转载自 开源中国社区[http://www.oschina.net]

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
苹果要求所有应用到 2016 年底必须使用 HTTPS
在WWDC 2016开发者大会上,苹果宣布了一个最后期限:到2017年1月1日 App Store中的所有应用都必须启用 App Transport Security安全功能。App Transport Security(ATS)是苹果在iOS 9中引入的一项隐私保护功能,屏蔽明文HTTP资源加载,连接必须经过更安全的HTTPS。苹果目前允许开发者暂时关闭ATS,可以继续使用HTTP连接,但到年底所有官方商店的应用都必须强制性使用ATS。 文章转载自 开源中国社区[http://www.oschina.net]
- 下一篇
让你变懒的 Android Studio Live Templates
俗话说,不想偷懒的程序员不是好程序员!那么今天就教大家偷懒下! 先举个例子,我们在 Android 开发中输入 Toast ,然后会有如下如下的快速操作: 是不是很方便? 有同学问,这不就是自动补全么?错了,乍一看是自动补全,其实不然。自动补全是对一个方法或类名的补全,比如你输入 find 然后就会有 findViewById 方法提示你,你可以快速定位,但是我们实际开发中一般还需要对它强制转型,然后加上 R.id.xx 来声明它的 id,但是你可以试着输入 fbc ,然后按 tab 或者 enter 键,你会发现比自动补全还要更方便。 这个就叫做 Live Template ,如果真要翻译姑且就叫做实时模板吧,在 AS 中有两种模板,一种就是你在新建一个 Activity 的时候可以选择 Empty Activity、FullScreen Activity 之类的,这个一般是对你整个文件而言的,还有一种就是本篇要介绍的 Live Template ,这个会在一些常用到的代码片段会非常有用。 打开 设置 -> Editor -> Live Templates ,可以看到默认...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- CentOS7安装Docker,走上虚拟化容器引擎之路
- Docker安装Oracle12C,快速搭建Oracle学习环境
- SpringBoot2全家桶,快速入门学习开发网站教程
- CentOS7设置SWAP分区,小内存服务器的救世主
- CentOS7,CentOS8安装Elasticsearch6.8.6
- Hadoop3单机部署,实现最简伪集群
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- SpringBoot2配置默认Tomcat设置,开启更多高级功能