科学研究 RESEARCH
权威发布
caict观点
专家团队
研究领域
科研奖项
CAICT观点
 
您的位置:科学研究>CAICT观点
移动智能终端漏洞问题综述
0

  随着移动智能终端的普及,用户在享受多种多样的便利功能的同时也面临着越来越多的安全风险。应用的丰富增加了用户多维度的个人信息在终端的录入和存储,个人的信息安全也更加依赖于终端的安全。终端系统代码量的增加,引入的漏洞数量和攻击面也随之增加。不断出现的安全事件,使得智能终端操作系统漏洞修补越来越需要被重视。本文将重点阐述移动智能终端漏洞问题产业现状,现象成因,以及未来监管的思路。

  1.      移动智能终端漏洞威胁严重

  近两年来我国移动智能终端快速发展,而终端操作系统主要以iOS和Android为主,市场份额超过90%,可以说这两个操作系统的安全性决定了整个移动智能终端安全的发展。从cvedetails.com上公开的数据可以看到,2016年iOS系统一共收录了161个漏洞;而Android则一共收录了523个漏洞,位列各平台漏洞数量第一。这其中提权漏洞作为危害比较严重的类型,在16年新增了250个,而15年这类漏洞只有17个,增长超过13倍。2017年截至到目前为止,iOS已经出现了243个漏洞,超过了去年全年的水平;Android也已经出现347个漏洞。

  图1 Android漏洞类型

  由数据可见,随着系统功能越来越多,代码量越来越大,势必会引入更多的安全漏洞,而决定移动智能终端安全性的除了平台漏洞数量,重点取决于厂商对于漏洞的修补情况。泰尔终端实验室在近期对市场上销售的77个厂商262款终端进行了抽样测试发现,终端平均含有5个高危或者严重漏洞,而所有终端中仅有2款对应修补的漏洞进行了全面修补,而其余终端未修补漏洞比例在19%左右。刨去iOS的特殊性不谈,Google每月会定期发布漏洞补丁供终端厂商去修补,而实际情况我们了解到,厂商并不是第一时间就将漏洞补丁集成到操作系统当中,大部分的厂商会延迟1个月到半年的时间,有的甚至延迟了1年之久,而这期间终端就会暴露在漏洞威胁下。另外,终端厂商对于漏洞修补也是集中在高端机型较多,中端机和低端机甚至出厂后就无人维护。

  2.      漏洞修补管理混乱

  综合第一节可以看到,移动智能终端漏洞现状并不乐观,大量终端存在严重漏洞,而造成这种现象的主要成因体现在以下几个方面。

  (1)碎片化严重。iOS由于只有苹果公司一家采用,且终端也是同一家生产,因此在进行漏洞修补的时候可以统一版本升级。同时,厂商对于漏洞的成因,危害和修补办法也更加清晰和明确,这也就形成了iOS漏洞所产生的安全事件较少。但是Android的情况则要复杂很多,虽然Google推出了Android 8系统,但是中国市场依旧是Android 5和6为主,6月份的统计中Android 7的市场占有率甚至低于10%,而仍有18%左右的终端使用的是4.4的系统。除此以外不同终端所采用的硬件芯片也有很大区别,而这其中涉及到驱动层面的漏洞也会因为硬件不同而各有不同。厂商本身的销售策略也会使得同一厂商不同机型出现不同版本,不同硬件的情况。

  (2)积极性不高。从实验室的研究中我们看到,目前市场上一家厂商同一时期会有多款终端在售,这其中高端机,中端机和低端机可能会同时出现。而我们的研究表明,低端机平均漏洞数量明显要高于高端机,同时漏洞修补的延迟时间也更长。由于很多厂商研发实力有限,无法维护所有的在售机型,更多的人力物力均投入到高端机的研发当中。因此,很多低端机就会减缓甚至放弃漏洞修补。而修补漏洞本身对于终端厂商利益不高,并不能带来良好收益的同时还需要投入大量的成本,因此厂商本身对漏洞修补管理就存在重视程度的差异。

  (3)管理混乱。目前终端漏洞修补并没有强制性要求,很多无研发能力的小厂商主要依赖操作系统厂商,芯片厂商发布的官方补丁,而这些补丁也会出现漏打,并不能完全涵盖所有产品版本,同时这些厂商往往也没有手段限制终端厂商是否及时打补丁,例如Google目前只能通过CTS测试去限制一些大厂商完成漏洞修补,而小厂商则处在监管的盲区。从终端厂商角度来讲,产品线很多,碎片化也很严重,因此并不能完全控制所有的版本都进行及时漏洞修补,而这其中很多OEM,ODM的存在也是终端厂商不能完全监管和要求的。

  3.      措施建议

  (1)建立漏洞检测和监管体系。新出台的《网络安全法》规定网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。为配合《网络安全法》的落地实施,应及时关注移动智能终端漏洞问题,从国家层面管理漏洞修补工作,加快漏洞库建设,配合检测同步执行,定期发布漏洞研究报告,促进行业自律。

  (2)建立应急响应机制。从最近PC端爆发的WannaCry勒索事件来看,行业内处理重大漏洞的应急响应机制还不健全。那么针对移动智能终端重大漏洞引起的安全事件,需要从制度层面建立快速响应机制,第一时间向用户发布安全公告,协调技术检测机构及时发布检测工具,推动操作系统供应商,芯片厂商,终端企业共同进行漏洞修补工作。

  (3)建立长效合作机制。从以上的分析可以看出,小厂商低端机所面临的漏洞威胁更为严重,而这一类厂商缺乏研发能力也是现实的困难。因此需要从政府角度带动整个行业,联合安全厂商,终端厂商,系统厂商,芯片厂商,多方建立合作共赢机制,通过技术分享,服务分享,最终达到技术提升,产品安全性提升的目的。


  作者简介:姚一楠,就职于中国信息通信研究院泰尔终端实验室,工学硕士,主要从事移动智能终端、应用软件相关安全技术研究及标准制定工作。

  联系地址:北京市海淀区花园北路52号科研楼B座

  邮箱:yaoyinan@caict.ac.cn


国家高端专业智库 行业创新发展平台
欢迎关注中国信息通信研究院(工信部电信研究院)公众账号!
微信号:工信部电信研究院CATR

Copyright © 2008-2013 中国信息通信研究院(工业和信息化部电信研究院)版权所有

京ICP备09013372号 京公网安备11010802010351号       网站声明       联系我们