Android 缺陷一年多没修正,因供应链太复杂

科技网站TechCrunch今天刊文称,Android存在迟迟不能发布补丁软件修正安全缺陷的问题,这与其生态链过于庞大,有大量第三方设备、元器件厂商存在有关。第三方设备、元器件厂商也可能引入安全缺陷。不过好在谷歌已经开始加强与第三方厂商的合作,以提高Android安全性。

以下为文章全文:

上周,一名安全研究人员在Android全盘加密功能中发现一处缺陷,利用它可以对设备解密。但高通声称,它曾在2014年11月和2015年2月向谷歌通报相关缺陷,谷歌在今年1月和5月发布了补丁软件,这意味着,在获悉存在缺陷一年多后,谷歌才发布了补丁软件。

谷歌这次发布补丁软件,正值美国联邦贸易委员会、美国联邦通信委员会(以下简称“FCC”)宣布对谷歌和其他智能手机厂商发布补丁软件的速度展开调查之际。FCC称,Android中的Stagefright缺陷是促使它展开这次调查的缺陷之一。

由于美国上下对加密的关注,谷歌一年多后才发布补丁软件似乎是个令人瞩目的问题。要搞清楚用户5月份才获得补丁软件的原因,读者需要对Android设备复杂的供应链和Android确保庞大供应链安全的方法有所了解。

供应链的复杂性

Android是一款开放源代码平台,因此有大量智能手机厂商生产Android手机。这些Android手机采用来自不同厂商的芯片、相机和其他元器件。

Android经常被拿来与其最大对手iPhone进行比较,但这种比较是不恰当的。iPhone基本上就只是一款设备,苹果牢牢控制着其生产过程,Android运行在数千款设备上,谷歌对Android设备生产几乎没有任何控制力。

供 应链的多样性是造成Android全盘加密功能缺陷的一个原因。安全研究人员盖尔·本尼亚米尼(Gal Beniamini)在Android全盘加密功能实现中发现数个问题,它们使黑客能解密配置高通芯片的Android设备。利用该缺陷对设备解密是一个 复杂过程,但问题的核心在于,配置高通芯片的Android设备在软件而非硬件中存储密钥。

硬件-软件差别成为苹果与FBI(美国联邦调查局)大战解密iPhone的关键部分。由于苹果把密钥存储在硬件中,调查人员无法绕过苹果用来保护其设备安全的特性。如果苹果把密钥存储在软件中,调查人员能从设备中获取密码,而不用担心丢失设备上的所有数据。

新被发现的老缺陷

本尼亚米尼本周发表博文阐述了破解Android全盘加密功能的过程。他利用高通安全技术中的数个缺陷,获取了Android设备密码。本尼亚米尼向谷歌Android团队和高通通报了这一问题,并通过谷歌缺陷奖励项目获得一定报酬。

谷歌发言人表示,“我们对本尼亚米尼的发现表示感谢,并通过我们的相关项目向他支付了报酬。我们今年早些时候发布了修正这些缺陷的补丁软件。”谷歌今年早些时候发布了两款补丁软件,修正本尼亚米尼发现的缺陷。

但据高通称,自2014年以来,谷歌就应当知道该缺陷的存在。高通发言人表示,该公司早在2014年8月就发现了本尼亚米尼利用的缺陷,并于2014年11月和2015年2月向谷歌提供了补丁软件。但是,该缺陷却在Android中长期存在,直到被本尼亚米尼发现。

本尼亚米尼向TechCrunch表示,“很显然,虽然谷歌在内部修正了该缺陷,但设备厂商没有修正缺陷(它们可能是忘记了或错过了补丁软件)。”

这一缺陷迟迟没有得到修正的原因尚不十分清楚。一种可能是,在本尼亚米尼之前,Android团队没有意识到这一缺陷能被黑客所利用;另外一种可能性是,这是由Android安全机制所决定的。

谷歌应加强与设备厂商协调

不 同于苹果在安全方面以硬件为中心的策略,Android安全策略契合谷歌在人工智能领域领头羊的地位:谷歌希望利用机器学习提高Android安全性。由 于市场上Android设备类型众多,安全缺陷领域肯定会有漏网之鱼——因此Android希望强化对这些缺陷的发现,而非完全消除它们。

但本尼亚米尼指出,在特定条件下,黑客利用他发现的缺陷仍然能兴风作浪。不过这些条件相当苛刻,这意味着普通用户不会受到影响。安全公司Duo Security估计,由于没有安装更新包,大量Android设备都会因该缺陷面临危险。

由于谷歌没有牢牢控制着Android设备中所有元器件的生产,设备厂商可能无意间给Android设备引入安全缺陷。正如本尼亚米尼指出,这可能导致执法 机构绕开谷歌,要求设备厂商破解一款设备,“我认为,谷歌与设备厂商更密切的合作,有助于预防未来出现这类问题。我认为各方做得都很好,但协调存在问 题”。

开放性是使Android独具特色和让用户满意的原因。本尼亚米尼称,“当然,如果谷歌制造自己的硬件,安全问题能得到更好的解决,但还会有大量第三方Android设备厂商存在。我的观点是,Android能发展到今天的部分原因是大量第三方设备和厂商。”

谷 歌在与第三方设备厂商合作,提高Android安全性。昨天,谷歌发布了Nexus设备更新包,修正了数家第三方设备厂商存在的安全缺陷。研究人员在高 通、英伟达和联发科提供的硬件中发现多处权限提升缺陷。但在谷歌发现更迅速地为众多类型设备发布补丁软件的方法前,Android在安全性方面将仍然稍逊 风骚。

文章转载自 开源中国社区[http://www.oschina.net]

时间: 2024-09-23 09:10:49

Android 缺陷一年多没修正,因供应链太复杂的相关文章

Android缺陷一年多没修正 原因在于供应链太过复杂

Android安全性令人担忧  北京时间7月8日消息,科技网站TechCrunch今天刊文称,Android存在迟迟不能发布补丁软件修正安全缺陷的问题,这与其生态链过于庞大,有大量第三方设备.元器件厂商存在有关.第三方设备.元器件厂商也可能引入安全缺陷.不过好在谷歌已经开始加强与第三方厂商的合作,以提高Android安全性.以下为文章全文: 上周,一名安全研究人员在Android全盘加密功能中发现一处缺陷,利用它可以对设备解密.但高通声称,它曾在2014年11月和2015年2月向谷歌通报相关缺陷

sdk- eclipse preferences Android APPLY 点击了没反应

问题描述 eclipse preferences Android APPLY 点击了没反应 SDK最新版本,ADT也是最新版本了,但是PREFERENCES APPLY 的时候没反应 也没报错 求大神解决.

android 运行报错,没有见过,求大神指导

问题描述 android 运行报错,没有见过,求大神指导 解决方案 你截一下最先报错的代码吧 解决方案二: 这个代码看不出来,你可以设置断点调试,或者将错误信息打印一下. 解决方案三: adb把错误打印出来看看 解决方案四: 这种日志看不出来什么结果的,贴出核心的log 解决方案五: 这个不是报错的代码吧?看异常信息 解决方案六: 截取报错信息中含有当前项目文件名的错误信息 解决方案七: 系统初始化有问题了~哈哈~参见http://blog.csdn.net/lansefeiyang08/art

布局-Android中的GridView中的Item之间空白太大

问题描述 Android中的GridView中的Item之间空白太大 adapter中的getView方法如下 public View getView(int position View convertView ViewGroup parent) { ImageView imageView=new ImageView(context); imageView.setImageBitmap(list.get(position).getBitmap()); imageView.setLayoutPar

Android高配置手机为何没iOS流畅

  在今年的手机市场上,我们动辄就可以看到1.2G CPU双核的手机,而且售价越来越大众了.在众多国内外手机厂商大拼手机硬件的时候,为什么苹果坐拥着512RAM 1GCPU的iphone4却还是可以大获全胜呢? 不过相信大家用过之后也发现了,Android手机往往配置要高于iOS设备,但是大部分Android手机却没有后者的流畅性.在当今智能手机大步迈入双核CPU的年份,而如无意外,明年的手机市场将会进入四核CPU大战的状态. 其中的原因可能有很多,而一位软件工程师兼前Google实习生Andr

eclipse preferences Android APPLY 点击了没反应

问题描述 ADT是23.0.0跟SDK包也是最新的了点击APPLY的时候没反应求大神指教.. 解决方案

乌云曝联通沃邮箱等部分Android客户端存漏洞:没密码可登录

1月21日消息,今日下午,乌云漏洞报告平台官方微博公布了中国联通沃邮箱等部分Android客户端存在的一个漏洞,这些客户端没有密码也可登录. 据漏洞作者"恶人毛"透露,联通的沃流量.沃邮箱等Android客户端有个一键登录功能,无需输入密码,验证手机是否有有效sim卡号即可.用xposed+改号软件,修改后就能通过验证. "恶人毛"称,更改成任意手机号都可以直接免密码登录,包括18577777777.18566666666这样的超级靓号,而且还能同步收到邮箱里的邮件

android 自定义 View 中 onKeyDown 没反应

我写了一个自定义的view,里面用handler做了一个循环,在循环的过程中,我点击左右键怎么没有反应 我想要的结果是:循环打印 begin 和 handler, 当按下左右键是打印:Left 和 Right 我把我的工程附件上来了 请兄弟们指出原因,给出解决办法 下面是我的代码: TestHandler 是一个activity package cn.com.android; import android.app.Activity; import android.os.Bundle; publi

Android 监听联系人变化没作用,获取不到数据

问题描述 登录成功 注册了EMContactManager.getInstance().setContactListener(new MyContactListener());//监听联系人变化还是监听不到 解决方案 注:最后要通知sdk,UI 已经初始化完毕,注册了相应的receiver和listener, 可以接受broadcast了EMChat.getInstance().setAppInited();这句代码有没有写解决方案二:忘记写了  现在可以了