论文部分内容阅读
Android已经和Windows一样,由于自身的成功而成为恶意软件的攻击对象。攻击Android的恶意软件开始越来越多,而Google的月度安全补丁并不能阻止恶意软件的泛滥,恶意软件的威胁正日益严重。那么我们该怎么办?
几乎所有Windows用户都知道,针对Windows系统的恶意软件无处不在,互联网上每一个角落都潜伏着恶意软件。而目前Android已经成了智能手机上使用最广泛的系统,其地位与Windows在桌面电脑上的地位不遑多让,成为恶意软件的首要目标自然也就不足为奇。那么,Android是否也面临着同样的命运?
答案是肯定的,来自AV Test的数字证实了这一点,防病毒程序德国中心测试实验室的数据库至今已经记录了约1 200万的Android恶意软件样本,而2016年1月单月新样本超过了100万,这是历史上最糟糕的一个月,并且此后一直维持在这个水平。为了应对这种新的情况,Google开始和微软一样不断通过更新修补已知漏洞,在2015年,每月推出解决现有问题的安全补丁。
但遗憾的是,Google的努力未必能够阻止恶意软件的泛滥,因为到目前为止,Android的恶意软件利用系统漏洞的比较少,相反,它们大量地利用所谓的“社会工程”,通过诱使用户安装应用程序的方式入侵系统。因此,许多专家建议用户在Android系统上不必安装反恶意软件工具,只需要谨慎行事,避免安装GooglePlay商店以外其他来源的应用程序即可。但是,这种观点目前已经有些过时,因为用户并不是唯一的薄弱点,最新的恶意软件也利用系统漏洞,仅仅是谨慎行事已经不足以确保系统的安全,始终安装最新的安全补丁才是最重要的。
Google的困境
远程代码执行漏洞“Stagefright”的大爆发促使Google发布月度安全补丁,该漏洞由Zimperium安全公司的约舒亚·德雷克发现,在2015年4月报告给Google后,约舒亚在2015年8月5日美国黑帽大会上演示了该漏洞。该漏洞的触发机制使其备受关注,攻击者只需给攻击对象发送一条短信,就可导致Stagefright框架缓冲区溢出,恶意软件将可以运行在留给系统程序的主内存,并最终获得Root权限,可以完全控制操作系统。
版本是大问题
不像微软,Google的Android更新补丁并不能够自动分发,所有的操作系统Google只能够为自己的Nexus设备提供自动更新,而三星、索尼、LG和HTC等其他品牌的Android智能手机是否能够获得更新补丁需要由制造商自己决定。Google将向制造商提供更新补丁,而制造商通常对Android进行了二次开发,更新补丁不一定能够直接应用于它们的系统,为此,制造商需要对更新补丁进行修改和测试,因而,为所有机型提供更新成本将非常高昂,为此,智能手机制造商通常只会为顶级的机型和新的设备提供更新补丁。
即使是制造商提供更新补丁,但是Nexus以外的智能手机获得更新补丁的时间也会有一些延迟,绝大部分的设备将无法及时地修复已知的漏洞。而根据伯克利大学研究人员的统计,截至到2015年10月,87%的Android设备都没有获得最新的补丁。
Android老版本的安全问题更为严重,因为Google提供的月度更新补丁仅适用于Android 4.4及更高版本。这主要是由于Google的Android操作系统从4.4才开始部分采用增强安全的Linux(Security Enhanced Linux,简称SELinux)内核,从5.0开始才真正完全支持。SELinux可以确保每一个应用程序运行在受保护的环境中,而目前Google提供的Android安全更新全部是面向SELinux的。通过引入更新补丁,Google已经消除了164个漏洞,其中有70个是严重的漏洞。
需要特别注意的是,应用程序可以通过缓冲区溢出之类的漏洞提升权限,为此,安装最新的更新补丁是至关重要的。通过“系统|关于手机|Android的安全补丁程序级别”我们可以了解系统是否已经安装了近期最新的更新补丁。然而,通过检查系统更新得到“您的系统为最新版本”是没有意义的,因为如果制造商没有提供更新补丁,检查系统更新结果将会是一直提示当前是最新版本,但这只代表该系统已经是制造商为该设备提供的最后一个版本。
恶意软件攻击
以色列公司NorthBit的安全专家提供了一个如何能利用Stagefright 3.0漏洞的指南:当用户浏览网站遇到被感染的视频页面时将自动启动智能手机的播放器并使其崩溃,当用户尝试再次播放视频时,恶意软件将侵入系统并获得权限。该指南详细解释了如何突破Android的地址空间布局随机化(Address Space Layout Randomization,简称ASLR)达至目标缓冲区溢出的目的。为此,Google已经在2016年4月发布了一个更新补丁来修复该漏洞。
恶意软件与杀病毒软件
对于系统版本低于4.3的Android的旧设备来说,以Root权限运行的恶意软件非常活跃。在2016年4月底,来自Blue Coat的安全专家首次发现了一个利用系统漏洞的勒索软件Dogspectus,该恶意软件通过受感染的广告横幅加载,感染后首先停止所有运行中的应用程序,防止反恶意软件工作,并确保自己是系统重新启动时首先被激活的一个。幸运的是该勒索软件不加密任何文件,只是锁定设备要求支付100美元。专家们可以在智能手机被感染之后,将手机连接到电脑并下载所有的数据。接下来,简单地恢复出厂设置,即可清除恶意软件,恢复系统的正常使用。
如果Dogspectus和Windows的勒索程序一样,控制系统后加密所有数据,那么用户将可能面临数据丢失的问题。幸运的是,大多数的Android恶意软件目前仍然不会采取过于复杂的工作方式。据AVTest的主管安德烈亚斯·马克思介绍,目前大部分恶意软件仍然是通过所谓的“社会工程”模式,利用用户的轻率传播和感染系统的。用户大部分是在搜索某些东西时,错误地下载安装或者选择了某些选项而被感染的。 而就像勒索软件Dogspectus的“精简版”那样,要利用用户的轻率锁定设备也并不那么容易,因为在一个用户没有Root权限的设备上,即使用户轻率地单击提升其权限的选项,但也无法完成操作。不过,只要恶意软件能够获得比普通应用程序更高的权限,那么恶意软件就能够防止自身在该系统上被禁用。接下来,Dogspectus将显示一个锁屏的界面并锁定设备。
防御恶意软件
不过,我们不应该因为Dogspectus个别的案例就以为恶意软件都是那么好对付的,认为没有必要安装防御恶意软件的工具。事实上,安装一个防病毒软件可以为系统提供更完善的保护,对于无法及时更新系统的设备更是非常有必要的。2016年3月,AV Test对知名的防病毒软件进行了测试,结果发现它们对于最新的恶意软件的识别率可以高达99%~100%。如果恶意软件活跃的时间超过一个月,那么几乎所有防病毒软件都能够捕获它。
大部分防病毒软件都提供多方位的安全保护功能,因此,它们经常会注册在“设置|安全|有权查看使用情况的应用”和“设置|系统|无障碍”中。这两个列表中包含一些用于完善系统功能,例如高对比度显示和文本语音输出之类的辅助程序以及应用程序商店。通过相关的权限,安全工具可以通过系统接口监视智能手机上的活动,在必要时进行干预。除此之外,防病毒软件还提供一些其他的安全辅助服务,例如用于监控浏览器和儿童安全的功能,获得足够的权限,防病毒软件可以在用户浏览带有恶意代码的网站时及时保护用户。
争夺系统权限
目前,Android有一个奇怪的现象,那就是恶意软件和反恶意软件正在争夺操作系统的权限。按照AVTest主管安德烈亚斯·马克思的说法,杀病毒软件必须拥有更高的权限才可以扫描所有的应用软件。因而,如何管理系统权限防止恶意软件尝试通过系统漏洞获得Root权限是一个问题。许多反病毒工具都集成了Root权限检测功能,但这并不代表它们能够自动防止这种事情的发生,因为用户也可能执行尝试获取Root权限的操作,因而,最终需要交给用户确定当前尝试获取权限的操作是用户所为还是恶意软件所为。
在应用程序方面,杀毒软件会时刻注意着应用程序的安装,安德烈亚斯·马克思认为,这完全可以有效地阻止恶意软件的安装。
Android的中国综合症
毫无疑问,将来利用“社会工程”实施的攻击方式将继续在Android上发挥重要的作用,而Google如果仍然只能依靠更新补丁来防止攻击,那么Android将继续面临困境。特别是在中国:由于Play商店在中国无法正常访问,中国人需要从网上通过第三方的应用商店或者直接下载APK文件安装应用程序。这意味着需要在“设置”中允许安装其他来源的应用程序。对于Android来说这是很不安全的,无论是第三方的应用程序还是从其他网站下载的APK文件,都缺少Play商店中必要的应用程序检查步骤。按照Google的安全报告,2015年的统计数字表明:如果不是通过Play商店安装应用程序,那么恶意软件攻击的概率增加10倍。
如果设备被感染,那么用户在无法通过安全防御工具清除的情况下,Android可以提供一个类似Windows安全模式的启动方式,在按下电源开关显示“关闭”按钮后,按住“关闭”按钮即可选择安全模式启动,在只加载Google应用程序的情况下开机。
不过,只有那些未能够获得管理员权限的恶意软件才可以通过这种方式清除,而对于其他的恶意软件,我们首先想到的应该是备份我们的数据,例如在受到上面介绍的勒索软件感染的情况下,由于数据没有被加密,我们可以赶快备份数据并重置系统。实际上,安德烈亚斯·马克思建议所有Android用户都要定期备份自己的数据。
几乎所有Windows用户都知道,针对Windows系统的恶意软件无处不在,互联网上每一个角落都潜伏着恶意软件。而目前Android已经成了智能手机上使用最广泛的系统,其地位与Windows在桌面电脑上的地位不遑多让,成为恶意软件的首要目标自然也就不足为奇。那么,Android是否也面临着同样的命运?
答案是肯定的,来自AV Test的数字证实了这一点,防病毒程序德国中心测试实验室的数据库至今已经记录了约1 200万的Android恶意软件样本,而2016年1月单月新样本超过了100万,这是历史上最糟糕的一个月,并且此后一直维持在这个水平。为了应对这种新的情况,Google开始和微软一样不断通过更新修补已知漏洞,在2015年,每月推出解决现有问题的安全补丁。
但遗憾的是,Google的努力未必能够阻止恶意软件的泛滥,因为到目前为止,Android的恶意软件利用系统漏洞的比较少,相反,它们大量地利用所谓的“社会工程”,通过诱使用户安装应用程序的方式入侵系统。因此,许多专家建议用户在Android系统上不必安装反恶意软件工具,只需要谨慎行事,避免安装GooglePlay商店以外其他来源的应用程序即可。但是,这种观点目前已经有些过时,因为用户并不是唯一的薄弱点,最新的恶意软件也利用系统漏洞,仅仅是谨慎行事已经不足以确保系统的安全,始终安装最新的安全补丁才是最重要的。
Google的困境
远程代码执行漏洞“Stagefright”的大爆发促使Google发布月度安全补丁,该漏洞由Zimperium安全公司的约舒亚·德雷克发现,在2015年4月报告给Google后,约舒亚在2015年8月5日美国黑帽大会上演示了该漏洞。该漏洞的触发机制使其备受关注,攻击者只需给攻击对象发送一条短信,就可导致Stagefright框架缓冲区溢出,恶意软件将可以运行在留给系统程序的主内存,并最终获得Root权限,可以完全控制操作系统。
版本是大问题
不像微软,Google的Android更新补丁并不能够自动分发,所有的操作系统Google只能够为自己的Nexus设备提供自动更新,而三星、索尼、LG和HTC等其他品牌的Android智能手机是否能够获得更新补丁需要由制造商自己决定。Google将向制造商提供更新补丁,而制造商通常对Android进行了二次开发,更新补丁不一定能够直接应用于它们的系统,为此,制造商需要对更新补丁进行修改和测试,因而,为所有机型提供更新成本将非常高昂,为此,智能手机制造商通常只会为顶级的机型和新的设备提供更新补丁。
即使是制造商提供更新补丁,但是Nexus以外的智能手机获得更新补丁的时间也会有一些延迟,绝大部分的设备将无法及时地修复已知的漏洞。而根据伯克利大学研究人员的统计,截至到2015年10月,87%的Android设备都没有获得最新的补丁。
Android老版本的安全问题更为严重,因为Google提供的月度更新补丁仅适用于Android 4.4及更高版本。这主要是由于Google的Android操作系统从4.4才开始部分采用增强安全的Linux(Security Enhanced Linux,简称SELinux)内核,从5.0开始才真正完全支持。SELinux可以确保每一个应用程序运行在受保护的环境中,而目前Google提供的Android安全更新全部是面向SELinux的。通过引入更新补丁,Google已经消除了164个漏洞,其中有70个是严重的漏洞。
需要特别注意的是,应用程序可以通过缓冲区溢出之类的漏洞提升权限,为此,安装最新的更新补丁是至关重要的。通过“系统|关于手机|Android的安全补丁程序级别”我们可以了解系统是否已经安装了近期最新的更新补丁。然而,通过检查系统更新得到“您的系统为最新版本”是没有意义的,因为如果制造商没有提供更新补丁,检查系统更新结果将会是一直提示当前是最新版本,但这只代表该系统已经是制造商为该设备提供的最后一个版本。
恶意软件攻击
以色列公司NorthBit的安全专家提供了一个如何能利用Stagefright 3.0漏洞的指南:当用户浏览网站遇到被感染的视频页面时将自动启动智能手机的播放器并使其崩溃,当用户尝试再次播放视频时,恶意软件将侵入系统并获得权限。该指南详细解释了如何突破Android的地址空间布局随机化(Address Space Layout Randomization,简称ASLR)达至目标缓冲区溢出的目的。为此,Google已经在2016年4月发布了一个更新补丁来修复该漏洞。
恶意软件与杀病毒软件
对于系统版本低于4.3的Android的旧设备来说,以Root权限运行的恶意软件非常活跃。在2016年4月底,来自Blue Coat的安全专家首次发现了一个利用系统漏洞的勒索软件Dogspectus,该恶意软件通过受感染的广告横幅加载,感染后首先停止所有运行中的应用程序,防止反恶意软件工作,并确保自己是系统重新启动时首先被激活的一个。幸运的是该勒索软件不加密任何文件,只是锁定设备要求支付100美元。专家们可以在智能手机被感染之后,将手机连接到电脑并下载所有的数据。接下来,简单地恢复出厂设置,即可清除恶意软件,恢复系统的正常使用。
如果Dogspectus和Windows的勒索程序一样,控制系统后加密所有数据,那么用户将可能面临数据丢失的问题。幸运的是,大多数的Android恶意软件目前仍然不会采取过于复杂的工作方式。据AVTest的主管安德烈亚斯·马克思介绍,目前大部分恶意软件仍然是通过所谓的“社会工程”模式,利用用户的轻率传播和感染系统的。用户大部分是在搜索某些东西时,错误地下载安装或者选择了某些选项而被感染的。 而就像勒索软件Dogspectus的“精简版”那样,要利用用户的轻率锁定设备也并不那么容易,因为在一个用户没有Root权限的设备上,即使用户轻率地单击提升其权限的选项,但也无法完成操作。不过,只要恶意软件能够获得比普通应用程序更高的权限,那么恶意软件就能够防止自身在该系统上被禁用。接下来,Dogspectus将显示一个锁屏的界面并锁定设备。
防御恶意软件
不过,我们不应该因为Dogspectus个别的案例就以为恶意软件都是那么好对付的,认为没有必要安装防御恶意软件的工具。事实上,安装一个防病毒软件可以为系统提供更完善的保护,对于无法及时更新系统的设备更是非常有必要的。2016年3月,AV Test对知名的防病毒软件进行了测试,结果发现它们对于最新的恶意软件的识别率可以高达99%~100%。如果恶意软件活跃的时间超过一个月,那么几乎所有防病毒软件都能够捕获它。
大部分防病毒软件都提供多方位的安全保护功能,因此,它们经常会注册在“设置|安全|有权查看使用情况的应用”和“设置|系统|无障碍”中。这两个列表中包含一些用于完善系统功能,例如高对比度显示和文本语音输出之类的辅助程序以及应用程序商店。通过相关的权限,安全工具可以通过系统接口监视智能手机上的活动,在必要时进行干预。除此之外,防病毒软件还提供一些其他的安全辅助服务,例如用于监控浏览器和儿童安全的功能,获得足够的权限,防病毒软件可以在用户浏览带有恶意代码的网站时及时保护用户。
争夺系统权限
目前,Android有一个奇怪的现象,那就是恶意软件和反恶意软件正在争夺操作系统的权限。按照AVTest主管安德烈亚斯·马克思的说法,杀病毒软件必须拥有更高的权限才可以扫描所有的应用软件。因而,如何管理系统权限防止恶意软件尝试通过系统漏洞获得Root权限是一个问题。许多反病毒工具都集成了Root权限检测功能,但这并不代表它们能够自动防止这种事情的发生,因为用户也可能执行尝试获取Root权限的操作,因而,最终需要交给用户确定当前尝试获取权限的操作是用户所为还是恶意软件所为。
在应用程序方面,杀毒软件会时刻注意着应用程序的安装,安德烈亚斯·马克思认为,这完全可以有效地阻止恶意软件的安装。
Android的中国综合症
毫无疑问,将来利用“社会工程”实施的攻击方式将继续在Android上发挥重要的作用,而Google如果仍然只能依靠更新补丁来防止攻击,那么Android将继续面临困境。特别是在中国:由于Play商店在中国无法正常访问,中国人需要从网上通过第三方的应用商店或者直接下载APK文件安装应用程序。这意味着需要在“设置”中允许安装其他来源的应用程序。对于Android来说这是很不安全的,无论是第三方的应用程序还是从其他网站下载的APK文件,都缺少Play商店中必要的应用程序检查步骤。按照Google的安全报告,2015年的统计数字表明:如果不是通过Play商店安装应用程序,那么恶意软件攻击的概率增加10倍。
如果设备被感染,那么用户在无法通过安全防御工具清除的情况下,Android可以提供一个类似Windows安全模式的启动方式,在按下电源开关显示“关闭”按钮后,按住“关闭”按钮即可选择安全模式启动,在只加载Google应用程序的情况下开机。
不过,只有那些未能够获得管理员权限的恶意软件才可以通过这种方式清除,而对于其他的恶意软件,我们首先想到的应该是备份我们的数据,例如在受到上面介绍的勒索软件感染的情况下,由于数据没有被加密,我们可以赶快备份数据并重置系统。实际上,安德烈亚斯·马克思建议所有Android用户都要定期备份自己的数据。