例2:Android操作系统
截至本文撰写之时,安全研究人员发现,自Android操作系统发行之初到现在,该系统所有版本存在18种不同漏洞,但绝大部分的漏洞问题并不大。此类漏洞若被利用,攻击者也只能够控制单个的程序——如网络浏览器程序,但无法实现对设备的管理员级控制。而少数漏洞存在的问题却非常严重,如果被利用,攻击者可以实现对设备的根级别控制,几乎能访问设备内的所有数据。
根据我们的统计数据,截至本文撰写之时,谷歌每8天就要对其新发现的系统漏洞进行修复。
总体而言,相对于传统桌面操作系统及服务器操作系统所使用的安全模式来说,Android的安全模式已有了很大的改进,但同时它也存在两大缺陷。首先,它的源系统可以让攻击者在匿名状态下创建和散布恶意软件;其次,其权限系统虽然功能极其强大,但最终却需要用户作出重要的安全决策,然而绝大多数的用户技术能力有限,无法作出此类决策,这个问题已经引发了针对Android操作系统的社会工程学攻击。总体而言,有以下几方面。
● Android系统原理确保只有附带数字签名的应用程序才能在附带Android操作平台的设备当中安装。但是,攻击者在未得到谷歌认证的情况下,可以利用匿名的数字证书注册其恶意程序并散布到网络当中。攻击者还可以轻易地通过新的匿名证书使用“木马”或植入恶意代码,进而通过互联网进行二次传播。从积极的一面来看,谷歌确实要求那些想通过Android官方应用平台传播其程序的作者付费并在谷歌进行注册(与谷歌共享程序开发者的数字签名)。就像苹果公司的注册方法一样,这种做法可以有效抵御缺乏组织的攻击者。
● Android默认隔离策略能有效地在应用程序之间形成隔离,同时也让设备当中安装的绝大多数系统之间形成隔离,包括Android操作系统内核。但也会有一些例外情况,如应用程序可以不受限制地读取SD卡上存储的所有数据。
● Android系统权限模式确保应用程序独立于设备中几乎所有的主要系统,除非这些应用程序明确要访问这些系统。但不尽如人意的是,Android操作系统最终需要用户自己决定是否允许某种程序运行,这样一来,这个系统就有可能遭受社会工程学攻击。因为绝大部分用户技术水平有限,无法作出此类关于安全性的决策,恶意软件以及恶意软件二次攻击(如Dos攻击、数据丢失型攻击等)也就有了可乘之机。
● 目前,Android系统没有提供内置、默认的加密功能,而是依赖上述隔离方式和权限模式来确保数据安全。因此,只要让Android手机进行“越狱”或盗取手机SD卡就可能导致大量数据的丢失。
● 跟iOS操作系统一样,Android操作系统对于社会工程学攻击如网络钓鱼或其它基于网络(不针对设备本身)进行诈骗的方式也束手无策。
