ISC 2017中国互联网安全大会聚焦Android漏洞安全

　　9月13日召开的ISC 2017中国互联网安全精英峰会上，移动端安全成为大会关心的焦点， 360集团首席安全官谭晓生专门对移动端安全的现状进行了分析，指出Android漏洞利用愈发严峻，主流手机漏洞修复严重滞后等问题，并提出了360针对安卓手机打热补丁的搞定方案。

　　而作为今年ISC大会新增项目的移动终端安全论坛更是邀请了中国移动、华为、泰尔实验室、盘古实验室、360等电信运营商、手机厂商和安全研究机构的代表，对移动端漏洞的挖掘、攻防、管理控制、修复等进行了全程化的深度剖析，并呼吁各方联合构筑移动端全链条的安全防御。

　　“大安全”时代，人是网络安全核心。手机作为个人身份、资产、关系网络等信息的集合，已经成为黑客们重点攻击的目标。手机漏洞正是黑客们获得用户手机权限，执行操作的门户，一旦被成功利用，用户个人身份信息、银行账户密码信息乃至储存的隐私文件等都可能遭到盗取泄露。

　　谭晓生表示，国产手机用户已占了非常高的比重，但在安卓手机市场越来越碎片化的情况下，厂商过于分散、漏洞修复机制乏力等原因，主流手机的漏洞修复严重滞后，新发现的漏洞用户根本无法修复。他指出，有55.5%的手机存在20个以上的漏洞，而99.99%的手机都存在已知 漏洞。在Android漏洞利用愈发严峻的情况下，用户面临着非常高的被攻击风险。

　　对此，谭晓生表示，360联合多家手机厂商推出了专门给安卓手机打热补丁的引擎360女娲平台，一旦发现高危漏洞，它就会自动给用户推送热补丁修复漏洞，降低用户被攻击的风险。

　　他表示，手机厂商和安全厂商的分工合作形成了一个产业形态，通过安全厂商提供SDK，或一些模块，手机厂商采用，形成一定的利益分配机制，在这样一条价值链中，手机厂商和安全厂商可以做自己比较擅长的工作，形成健康的产业链条。

　　事实上，移动发互联网的高速发展，漏洞给包括手机在内的移动端智能设备带来的安全风险远非能直接看到的威胁。

　　泰尔实验室信息安所有杨正军副主任指出：随着手机等移动端安全威胁日益严重，攻击技术的不断更新，手机等移动端安全抵御的效果显得十分被动。特别是手机等移动设备漏洞频出，芯片厂商、ODME厂商、手机系统厂商等复杂的产业链都可能产生安全威胁。

　　泰尔实验室抽取2017年上市的217款移动智能设备进行漏洞检测，平均检测出漏洞数量为35个，其中严重漏洞16个，高危11个，中危漏洞8个。存在小于10个漏洞的终端仅有83款，占比38%；10-30个漏洞的终端为100款，占比46%；大于30个漏洞的终端为34款，占比16%。

　　与此相对应的却是厂商修复能力的不够，用户面临的安全风险连续增加。泰尔实验室数据显示，手机厂商总体漏洞未修复比例在21.2%，严重、高危、中危漏洞未修复比例分别在20.8%、20.5%、23.4%。并且厂商打补丁很不及时，平均延迟时间在165天，即使是Top20的厂商，打补丁的延迟时间也为148天，其他厂商则为191天。

　　面对移动端严峻的安全形势，必须进行整体安全管控，从硬件制造厂商、软件开发公司、安全企业等各个环节搞定漏洞问题，从根源上降低用户遭受攻击的风险。

　　360携手多家安全厂商，推出的热补丁漏洞修补平台“女娲”，支持高通、海思、MTK等多个平台，同时支持安卓所有版本的漏洞修复。对于Google已经公开的Android漏洞，平台可以自动完成针对不一样机型、不一样系统版本研究通用方案，同步进行修复，避免由于修复滞后导致的时间差攻击。

　　对于Google未公开的漏洞，“女娲”也可以通过360安全研究人员的漏洞挖掘，及时修补，进行预先防御。而在0day事件爆发时，360女娲平台还会启动应急响应机制，第一时间将安全补丁推送至厂商，再由厂商安装到用户终端。

　　此外，360女娲平台经过规范化严格测验和安全校验，对手机性能无损耗，系统的整体修复流程也会经过手机厂商严格把控，所有代码及修复方案全透明。并且无需ROOT权限，整体框架依托Android系统原生安全策略，利用SELinux保证过程安全，不破坏原有校验机制，安全又无风险，真正做到稳定、高效、透明、可靠，用户可以放心运用。