標題: 「誰都能當製造商」時代的安卓安全問題 [打印本頁]
【日經BP社報導】隨著硬體的統包化和平台化,如今已經進入了任何人都能製造資訊家電的時代。技術人員介紹說,只要到深圳,就可以小批量訂製平板電腦、機上盒(STB)、電視、智慧手機等商品。
既然硬體可以輕鬆入手,在硬體上運行的OS、中介軟體、應用運行環境也就同樣需要統包化。在大多數情況下,估計安卓都是第一候選。這是因為安卓開源、可更改,而且可以免費使用。原始碼中包含了整套資訊家電需要的軟體,因此,「完全不需要為OS、中介軟體、日語環境、用戶界面的組合而費心」(某技術人員)。除此之外,多數面向資訊家電的SoC和LSI都針對安卓提供了器件驅動和開發環境,開發非常容易。
利用這些優點,採用安卓作為自主產品軟體平台的事例不勝枚舉,其中包括亞馬遜的「Kindle」系列、Barns&Noble的「Nook」系列、KDDI開發的STB「Smart TV Box」、Ubiquitous Entertainment的「enchantMOON」等。車載導航儀也出現了配備安卓系統的趨勢。今後,隨著硬體的開放化,肯定還會有更多種類的資訊家電出現配備安卓的產品。
出現多品種的產品雖說是件好事,但另一方面,安全問題也令人擔憂。即便是售後服務體制比較完善的通信系統業者和大企業銷售的安卓智慧手機和平板電腦,也存在對於幾年前上市的產品不再提供安全補丁和升級,置危險漏洞于不顧的情況。一旦進入眾多企業推出多品種產品的時代。沒有安全補丁、存在漏洞的產品估計將更多地充斥在網路之中。
而且,得不到或不接受谷歌提供的「Google Mobile Services」(GMS)的產品無法使用谷歌的應用市場「Google Play」,安裝軟體需要通過其他的「通路」。Google Play採用了檢測惡意軟體的機制,某種程度上排除了危險應用。然而,如果產品企業各自籌建應用市場,能在多大程度上排除惡意軟體不禁令人擔憂。用戶在不經意之間安裝惡意軟體的情況很可能頻繁出現。
大量存在危險漏洞的產品接入網路,而且產品中安裝了惡意軟體——為了防止這種情況的發生,不只是用戶,製作產品的技術人員也必須留意以下幾個方面:(1)在設計和開發時極力避免留下漏洞;(2)事先在安卓系統中加入防範機制,使系統在危險漏洞被發現的情況下,也不洩露個人資訊以及與非法利用網路服務相關的資訊;(3)提供自主應用市場時嚴格審查應用。尤其是對於(1),不只是安卓本身的原始碼,包括周邊裝置使用的器件、驅動在內,每件產品追加的代碼存留漏洞的情況很多,因此需要加以注意。(記者:中道 理,《日經電子》)
http://big5.nikkeibp.com.cn/news/digi/64331-20130121.html
你知道SEAndroid嗎?
【日經BP社報導】繼上篇部落格文章之後,筆者再來談談Android(安卓)安全問題。為終端配備Android後,要想確保安全,就必須要防止利用root許可權以及System許可權運行惡意程式及指令的root化。如果惡意程式在root及System許可權下運行,就可能非法複製應用,或盜取用來連接各種網際網路服務的帳號,而且還有可能使受智慧財產保護的程式外洩。最嚴重時,會導致終端本身處於犯罪者的控制之下。
防止root化的最有效手段就是在包括硬體驅動程式在內的Android系統中不留一絲有助於root化的漏洞。但是,Android由龐大的程式代碼構成,要想使其不留一絲漏洞,是很難做到的。曾發現多個Android漏洞的Ierae Security公司技術顧問佐藤勝彥(以goroh_kun的暱稱而聞名)表示,即使是最新版本的Android,也存在能夠被root化的漏洞。
因此業內認為,第二有效的手段是事先準備好漏洞即使被突破也不會導致嚴重事態的機制。比如,導入即便惡意程式得以在root許可權下運行,也要使操控Android核心部分的系統區域不會被改寫的機制。目前,日本的智慧手機廠商大多都採用名為LSM(Linux Security Modules)的安全機制,防禦因root許可權被篡奪而引發的惡意行為。當有程式運行以及文件及I/O被訪問時,LSM就會對其進行審查,檢測相關運行及調取是否正當。
Android作為內核採用的Linux本身就帶有LSM,但Android採用的文件系統不支援LSM,因此在Android 4.1以前的版本,原始碼中均不含LSM。由於存在這種情況,日本智慧手機廠商都是單獨安裝LSM功能。
從Android 4.1起併入原始碼
不過,Android從4.1版本起整合了使用LSM的名為「SEAndroid」的功能原始碼。SEAndroid由美國國家安全局(NSA)開發,是將NSA開發的Linux安全OS功能SELinux針對Android環境訂製而來。SEAndroid對哪一程式能夠訪問哪一文件進行了定義,可排除違反定義的訪問。這樣,即使是擁有root許可權及System許可權的程式,只要不在這樣的定義中,就無法發出指令或是變更文件。當然,是否使用SEAndroid功能要由安裝Android系統的廠商來決定,但這也使得各廠商無需再單獨安裝安全功能,有望使Android配備統一的防root化機制。
而另一方面,業內也存在SEAndroid「性能過剩」的觀點。作為SEAndroid源頭的SELinux是NSA開發的,從這一點也可看出,SEAndroid設想達到國防級別的安全性。因此,SEAndroid的設計思路是不執行未經許可的任何操作。開放式系統需要反覆嘗試許可的風險來製作,這樣一來設定會變得繁雜,制定安全策略時負擔會很重。而進行過於嚴格的安全檢測,又存在運行變得緩慢,耗電增大的擔憂。認為SEAndroid性能過剩的人士指出,現在需要安裝的並不是國防級別的複雜機制,而是採用了為民用產品量身訂製的最低限度的必要的防root化措施的LSM。(記者:中道理,《日經電子》)
http://big5.nikkeibp.com.cn/news/mobi/64741-20130218.html?ref=ML
小心情報機構安裝後門好過{:sowhat:}