互联网
首页  >  互联网  >  信息安全

智能终端漏洞与日俱增 修补管理混乱待规整

2017-08-17  来源:通信信息报  作者:姚一楠

随着移动智能终端的普及,用户在享受多种多样便利功能的同时也面临着越来越多的安全风险。应用的丰富增加了用户多维度的个人信息在终端的录入和存储,个人的信息安全也更加依赖于终端的安全。终端系统代码量的增加,引入的漏洞数量和攻击面也随之增加。不断出现的安全事件,使得智能终端操作系统漏洞修补越来越需要被重视。

移动智能终端漏洞威胁严重

近两年来我国移动智能终端快速发展,而终端操作系统主要以iOS和Android为主,市场份额超90%,可以说这两个操作系统的安全性决定了整个移动智能终端安全的发展。从公开数据可看到,2016年iOS系统一共收录161个漏洞;Android一共收录523个漏洞,位列各平台漏洞数量第一。这其中提权漏洞作为危害比较严重的类型,在16年新增250个,而15年这类漏洞只有17个。2017年截至到目前,iOS已出现243个漏洞,超去年全年水平;Android也已出现347个漏洞。

由数据可见,系统代码量越来越大势必会引入更多安全漏洞,而决定安全性的除了平台漏洞数量,重点取决于厂商对于漏洞的修补情况。泰尔终端实验室日前对市场上销售的77个厂商262款终端进行抽样发现,终端平均含有5个高危或严重漏洞,而所有终端中仅有2款对应修补的漏洞进行全面修补,其余终端未修补漏洞比例在19%左右。

漏洞修补管理混乱

移动智能终端漏洞现状并不乐观,大量终端存在严重漏洞,而造成这种现象的主要成因体现在以下几个方面。

其一,碎片化严重。iOS为苹果公司统一管理,在发现严重漏洞时可以统一系统升级,因此iOS漏洞产生的安全事件较少。Android的情况则要复杂很多,国内各大厂商都采用自己定制的Android系统,虽然Google推出了Android 8系统,但是中国市场依旧是Android 5和6为主,6月份的统计中Android 7的市场占有率甚至低于10%,而仍有18%左右的终端使用的是4.4的系统。除此以外不同终端所采用的硬件芯片也有很大区别,而这其中涉及到驱动层面的漏洞也会因为硬件不同而各有不同。

其二,积极性不高。目前市场上一家厂商同一时期会有多款终端在售,这其中高端机,中端机和低端机可能会同时出现。研究表明,低端机平均漏洞数量明显要高于高端机,同时漏洞修补的延迟时间也更长。由于很多厂商研发实力有限,无法维护所有的在售机型,更多的精力投入到高端机的研发当中。因此,很多低端机就会减缓甚至放弃漏洞修补。而修补漏洞本身对于终端厂商利益不高,并不能带来良好收益的同时还需要投入大量的成本,因此厂商本身对漏洞修补管理就存在重视程度的差异。

其三,管理混乱。目前终端漏洞修补并没有强制性要求,很多无自研能力的小厂商主要依赖操作系统厂商,芯片厂商发布的官方补丁,而这些补丁也会出现漏打,并不能完全涵盖所有产品版本,同时这些厂商往往也没有手段约束终端厂商及时打补丁,例如Google目前只能通过CTS测试去限制一些大厂商完成漏洞修补,而小厂商则处在监管的盲区。

多元共建安全生态

有效抵御智能终端安全漏洞,需市场各方全面介入,形成震慑。

其一,建立漏洞检测和监管体系。新出台的《网络安全法》规定发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。为配合《网络安全法》的落地实施,应从国家层面管理漏洞修补工作,加快漏洞库建设,配合检测同步执行,定期发布漏洞研究报告,促进行业自律。

其二,建立应急响应机制。目前行业内处理重大漏洞的应急响应机制还不健全。针对移动智能终端重大漏洞引起的安全事件,需要从制度层面建立快速响应机制,第一时间向用户发布安全公告,协调技术检测机构及时发布检测工具,推动操作系统供应商,芯片厂商,终端企业共同进行漏洞修补工作。

其三,建立长效合作机制。小厂商低端机所面临的漏洞威胁更为严重,而这一类厂商缺乏研发能力也是现实的困难。因此需要从政府角度带动整个行业,联合安全厂商,终端厂商,系统厂商,芯片厂商等多方建立合作共赢机制,通过技术分享,服务分享,最终达到技术提升,产品安全性提升的目的。

(本文系作者个人研究之观点,不代表本报立场。作者就职于中国信息通信研究院泰尔终端实验室)

关键词:智能终端 漏洞