防止Android被攻擊

Android已經(jīng)和Windows一樣，由于自身的成功而成為惡意軟件的攻擊對(duì)象。攻擊Android的惡意軟件開(kāi)始越來(lái)越多，而Google的月度安全補(bǔ)丁并不能阻止惡意軟件的泛濫，惡意軟件的威脅正日益嚴(yán)重。那么我們?cè)撛趺崔k？

幾乎所有Windows用戶(hù)都知道，針對(duì)Windows系統(tǒng)的惡意軟件無(wú)處不在，互聯(lián)網(wǎng)上每一個(gè)角落都潛伏著惡意軟件。而目前Android已經(jīng)成了智能手機(jī)上使用最廣泛的系統(tǒng)，其地位與Windows在桌面電腦上的地位不遑多讓?zhuān)蔀閻阂廛浖氖滓繕?biāo)自然也就不足為奇。那么，Android是否也面臨著同樣的命運(yùn)？

答案是肯定的，來(lái)自AV Test的數(shù)字證實(shí)了這一點(diǎn)，防病毒程序德國(guó)中心測(cè)試實(shí)驗(yàn)室的數(shù)據(jù)庫(kù)至今已經(jīng)記錄了約1 200萬(wàn)的Android惡意軟件樣本，而2016年1月單月新樣本超過(guò)了100萬(wàn)，這是歷史上最糟糕的一個(gè)月，并且此后一直維持在這個(gè)水平。為了應(yīng)對(duì)這種新的情況，Google開(kāi)始和微軟一樣不斷通過(guò)更新修補(bǔ)已知漏洞，在2015年，每月推出解決現(xiàn)有問(wèn)題的安全補(bǔ)丁。

但遺憾的是，Google的努力未必能夠阻止惡意軟件的泛濫，因?yàn)榈侥壳盀橹?，Android的惡意軟件利用系統(tǒng)漏洞的比較少，相反，它們大量地利用所謂的“社會(huì)工程”，通過(guò)誘使用戶(hù)安裝應(yīng)用程序的方式入侵系統(tǒng)。因此，許多專(zhuān)家建議用戶(hù)在Android系統(tǒng)上不必安裝反惡意軟件工具，只需要謹(jǐn)慎行事，避免安裝GooglePlay商店以外其他來(lái)源的應(yīng)用程序即可。但是，這種觀點(diǎn)目前已經(jīng)有些過(guò)時(shí)，因?yàn)橛脩?hù)并不是唯一的薄弱點(diǎn)，最新的惡意軟件也利用系統(tǒng)漏洞，僅僅是謹(jǐn)慎行事已經(jīng)不足以確保系統(tǒng)的安全，始終安裝最新的安全補(bǔ)丁才是最重要的。

Google的困境

遠(yuǎn)程代碼執(zhí)行漏洞“Stagefright”的大爆發(fā)促使Google發(fā)布月度安全補(bǔ)丁，該漏洞由Zimperium安全公司的約舒亞·德雷克發(fā)現(xiàn)，在2015年4月報(bào)告給Google后，約舒亞在2015年8月5日美國(guó)黑帽大會(huì)上演示了該漏洞。該漏洞的觸發(fā)機(jī)制使其備受關(guān)注，攻擊者只需給攻擊對(duì)象發(fā)送一條短信，就可導(dǎo)致Stagefright框架緩沖區(qū)溢出，惡意軟件將可以運(yùn)行在留給系統(tǒng)程序的主內(nèi)存，并最終獲得Root權(quán)限，可以完全控制操作系統(tǒng)。

版本是大問(wèn)題

不像微軟，Google的Android更新補(bǔ)丁并不能夠自動(dòng)分發(fā)，所有的操作系統(tǒng)Google只能夠?yàn)樽约旱腘exus設(shè)備提供自動(dòng)更新，而三星、索尼、LG和HTC等其他品牌的Android智能手機(jī)是否能夠獲得更新補(bǔ)丁需要由制造商自己決定。Google將向制造商提供更新補(bǔ)丁，而制造商通常對(duì)Android進(jìn)行了二次開(kāi)發(fā)，更新補(bǔ)丁不一定能夠直接應(yīng)用于它們的系統(tǒng)，為此，制造商需要對(duì)更新補(bǔ)丁進(jìn)行修改和測(cè)試，因而，為所有機(jī)型提供更新成本將非常高昂，為此，智能手機(jī)制造商通常只會(huì)為頂級(jí)的機(jī)型和新的設(shè)備提供更新補(bǔ)丁。

即使是制造商提供更新補(bǔ)丁，但是Nexus以外的智能手機(jī)獲得更新補(bǔ)丁的時(shí)間也會(huì)有一些延遲，絕大部分的設(shè)備將無(wú)法及時(shí)地修復(fù)已知的漏洞。而根據(jù)伯克利大學(xué)研究人員的統(tǒng)計(jì)，截至到2015年10月，87%的Android設(shè)備都沒(méi)有獲得最新的補(bǔ)丁。

Android老版本的安全問(wèn)題更為嚴(yán)重，因?yàn)镚oogle提供的月度更新補(bǔ)丁僅適用于Android 4.4及更高版本。這主要是由于Google的Android操作系統(tǒng)從4.4才開(kāi)始部分采用增強(qiáng)安全的Linux（Security Enhanced Linux，簡(jiǎn)稱(chēng)SELinux）內(nèi)核，從5.0開(kāi)始才真正完全支持。SELinux可以確保每一個(gè)應(yīng)用程序運(yùn)行在受保護(hù)的環(huán)境中，而目前Google提供的Android安全更新全部是面向SELinux的。通過(guò)引入更新補(bǔ)丁，Google已經(jīng)消除了164個(gè)漏洞，其中有70個(gè)是嚴(yán)重的漏洞。

需要特別注意的是，應(yīng)用程序可以通過(guò)緩沖區(qū)溢出之類(lèi)的漏洞提升權(quán)限，為此，安裝最新的更新補(bǔ)丁是至關(guān)重要的。通過(guò)“系統(tǒng)|關(guān)于手機(jī)|Android的安全補(bǔ)丁程序級(jí)別”我們可以了解系統(tǒng)是否已經(jīng)安裝了近期最新的更新補(bǔ)丁。然而，通過(guò)檢查系統(tǒng)更新得到“您的系統(tǒng)為最新版本”是沒(méi)有意義的，因?yàn)槿绻圃焐虥](méi)有提供更新補(bǔ)丁，檢查系統(tǒng)更新結(jié)果將會(huì)是一直提示當(dāng)前是最新版本，但這只代表該系統(tǒng)已經(jīng)是制造商為該設(shè)備提供的最后一個(gè)版本。

惡意軟件攻擊

以色列公司NorthBit的安全專(zhuān)家提供了一個(gè)如何能利用Stagefright 3.0漏洞的指南：當(dāng)用戶(hù)瀏覽網(wǎng)站遇到被感染的視頻頁(yè)面時(shí)將自動(dòng)啟動(dòng)智能手機(jī)的播放器并使其崩潰，當(dāng)用戶(hù)嘗試再次播放視頻時(shí)，惡意軟件將侵入系統(tǒng)并獲得權(quán)限。該指南詳細(xì)解釋了如何突破Android的地址空間布局隨機(jī)化（Address Space Layout Randomization，簡(jiǎn)稱(chēng)ASLR）達(dá)至目標(biāo)緩沖區(qū)溢出的目的。為此，Google已經(jīng)在2016年4月發(fā)布了一個(gè)更新補(bǔ)丁來(lái)修復(fù)該漏洞。

惡意軟件與殺病毒軟件

對(duì)于系統(tǒng)版本低于4.3的Android的舊設(shè)備來(lái)說(shuō)，以Root權(quán)限運(yùn)行的惡意軟件非?；钴S。在2016年4月底，來(lái)自Blue Coat的安全專(zhuān)家首次發(fā)現(xiàn)了一個(gè)利用系統(tǒng)漏洞的勒索軟件Dogspectus，該惡意軟件通過(guò)受感染的廣告橫幅加載，感染后首先停止所有運(yùn)行中的應(yīng)用程序，防止反惡意軟件工作，并確保自己是系統(tǒng)重新啟動(dòng)時(shí)首先被激活的一個(gè)。幸運(yùn)的是該勒索軟件不加密任何文件，只是鎖定設(shè)備要求支付100美元。專(zhuān)家們可以在智能手機(jī)被感染之后，將手機(jī)連接到電腦并下載所有的數(shù)據(jù)。接下來(lái)，簡(jiǎn)單地恢復(fù)出廠設(shè)置，即可清除惡意軟件，恢復(fù)系統(tǒng)的正常使用。

如果Dogspectus和Windows的勒索程序一樣，控制系統(tǒng)后加密所有數(shù)據(jù)，那么用戶(hù)將可能面臨數(shù)據(jù)丟失的問(wèn)題。幸運(yùn)的是，大多數(shù)的Android惡意軟件目前仍然不會(huì)采取過(guò)于復(fù)雜的工作方式。據(jù)AVTest的主管安德烈亞斯·馬克思介紹，目前大部分惡意軟件仍然是通過(guò)所謂的“社會(huì)工程”模式，利用用戶(hù)的輕率傳播和感染系統(tǒng)的。用戶(hù)大部分是在搜索某些東西時(shí)，錯(cuò)誤地下載安裝或者選擇了某些選項(xiàng)而被感染的。

而就像勒索軟件Dogspectus的“精簡(jiǎn)版”那樣，要利用用戶(hù)的輕率鎖定設(shè)備也并不那么容易，因?yàn)樵谝粋€(gè)用戶(hù)沒(méi)有Root權(quán)限的設(shè)備上，即使用戶(hù)輕率地單擊提升其權(quán)限的選項(xiàng)，但也無(wú)法完成操作。不過(guò)，只要惡意軟件能夠獲得比普通應(yīng)用程序更高的權(quán)限，那么惡意軟件就能夠防止自身在該系統(tǒng)上被禁用。接下來(lái)，Dogspectus將顯示一個(gè)鎖屏的界面并鎖定設(shè)備。

防御惡意軟件

不過(guò)，我們不應(yīng)該因?yàn)镈ogspectus個(gè)別的案例就以為惡意軟件都是那么好對(duì)付的，認(rèn)為沒(méi)有必要安裝防御惡意軟件的工具。事實(shí)上，安裝一個(gè)防病毒軟件可以為系統(tǒng)提供更完善的保護(hù)，對(duì)于無(wú)法及時(shí)更新系統(tǒng)的設(shè)備更是非常有必要的。2016年3月，AV Test對(duì)知名的防病毒軟件進(jìn)行了測(cè)試，結(jié)果發(fā)現(xiàn)它們對(duì)于最新的惡意軟件的識(shí)別率可以高達(dá)99%～100%。如果惡意軟件活躍的時(shí)間超過(guò)一個(gè)月，那么幾乎所有防病毒軟件都能夠捕獲它。

大部分防病毒軟件都提供多方位的安全保護(hù)功能，因此，它們經(jīng)常會(huì)注冊(cè)在“設(shè)置|安全|有權(quán)查看使用情況的應(yīng)用”和“設(shè)置|系統(tǒng)|無(wú)障礙”中。這兩個(gè)列表中包含一些用于完善系統(tǒng)功能，例如高對(duì)比度顯示和文本語(yǔ)音輸出之類(lèi)的輔助程序以及應(yīng)用程序商店。通過(guò)相關(guān)的權(quán)限，安全工具可以通過(guò)系統(tǒng)接口監(jiān)視智能手機(jī)上的活動(dòng)，在必要時(shí)進(jìn)行干預(yù)。除此之外，防病毒軟件還提供一些其他的安全輔助服務(wù)，例如用于監(jiān)控瀏覽器和兒童安全的功能，獲得足夠的權(quán)限，防病毒軟件可以在用戶(hù)瀏覽帶有惡意代碼的網(wǎng)站時(shí)及時(shí)保護(hù)用戶(hù)。

爭(zhēng)奪系統(tǒng)權(quán)限

目前，Android有一個(gè)奇怪的現(xiàn)象，那就是惡意軟件和反惡意軟件正在爭(zhēng)奪操作系統(tǒng)的權(quán)限。按照AVTest主管安德烈亞斯·馬克思的說(shuō)法，殺病毒軟件必須擁有更高的權(quán)限才可以掃描所有的應(yīng)用軟件。因而，如何管理系統(tǒng)權(quán)限防止惡意軟件嘗試通過(guò)系統(tǒng)漏洞獲得Root權(quán)限是一個(gè)問(wèn)題。許多反病毒工具都集成了Root權(quán)限檢測(cè)功能，但這并不代表它們能夠自動(dòng)防止這種事情的發(fā)生，因?yàn)橛脩?hù)也可能執(zhí)行嘗試獲取Root權(quán)限的操作，因而，最終需要交給用戶(hù)確定當(dāng)前嘗試獲取權(quán)限的操作是用戶(hù)所為還是惡意軟件所為。

在應(yīng)用程序方面，殺毒軟件會(huì)時(shí)刻注意著應(yīng)用程序的安裝，安德烈亞斯·馬克思認(rèn)為，這完全可以有效地阻止惡意軟件的安裝。

Android的中國(guó)綜合癥

毫無(wú)疑問(wèn)，將來(lái)利用“社會(huì)工程”實(shí)施的攻擊方式將繼續(xù)在Android上發(fā)揮重要的作用，而Google如果仍然只能依靠更新補(bǔ)丁來(lái)防止攻擊，那么Android將繼續(xù)面臨困境。特別是在中國(guó)：由于Play商店在中國(guó)無(wú)法正常訪問(wèn)，中國(guó)人需要從網(wǎng)上通過(guò)第三方的應(yīng)用商店或者直接下載APK文件安裝應(yīng)用程序。這意味著需要在“設(shè)置”中允許安裝其他來(lái)源的應(yīng)用程序。對(duì)于Android來(lái)說(shuō)這是很不安全的，無(wú)論是第三方的應(yīng)用程序還是從其他網(wǎng)站下載的APK文件，都缺少Play商店中必要的應(yīng)用程序檢查步驟。按照Google的安全報(bào)告，2015年的統(tǒng)計(jì)數(shù)字表明：如果不是通過(guò)Play商店安裝應(yīng)用程序，那么惡意軟件攻擊的概率增加10倍。

如果設(shè)備被感染，那么用戶(hù)在無(wú)法通過(guò)安全防御工具清除的情況下，Android可以提供一個(gè)類(lèi)似Windows安全模式的啟動(dòng)方式，在按下電源開(kāi)關(guān)顯示“關(guān)閉”按鈕后，按住“關(guān)閉”按鈕即可選擇安全模式啟動(dòng)，在只加載Google應(yīng)用程序的情況下開(kāi)機(jī)。

不過(guò)，只有那些未能夠獲得管理員權(quán)限的惡意軟件才可以通過(guò)這種方式清除，而對(duì)于其他的惡意軟件，我們首先想到的應(yīng)該是備份我們的數(shù)據(jù)，例如在受到上面介紹的勒索軟件感染的情況下，由于數(shù)據(jù)沒(méi)有被加密，我們可以趕快備份數(shù)據(jù)并重置系統(tǒng)。實(shí)際上，安德烈亞斯·馬克思建議所有Android用戶(hù)都要定期備份自己的數(shù)據(jù)。