移动终端漏洞现状严峻,海云安提醒及早自查

【安全观点】 2017-12-06 10:39:00

数据显示,中国已超过美国成为世界上智能手机和平板设备数量最多的国家。分析公司 Flurry Analytic 估计截至今年,中国的智能移动设备规模达到了13.7亿台,远超其他国家。

而随着移动智能终端不断普及,数量的快速爆发增长,智能终端上的各类漏洞风险也与日俱增,随之而来的是安全事件不断爆发,为移动智能终端的安全管理敲响了警钟。

图片1.png

研究发现,终端操作系统主要以iOS和Android为主,市场份额超过90%,可以说这两个操作系统的安全性决定了移动智能终端整体的安全发展。从cvedetails.com上公开的数据可以看到,2016年iOS系统一共收录了161个漏洞;而Android则一共收录了523个漏洞,位列各平台漏洞数量之首。这其中“提权漏洞”作为危害比较严重的类型,在2016年新增了250个,而2015年这类漏洞只有17个,增长超过13倍。2017年截至目前,iOS已经出现了243个漏洞,超过了去年全年的水平;Android也已经出现347个漏洞。

移动智能终端漏洞将带来巨大威胁

用户在享受多种多样的便利功能的同时也面临着越来越多的安全风险。应用的丰富增加了用户多维度的个人信息在终端的录入和存储,个人的信息安全也更加依赖于终端的安全。同时随着终端系统代码量的增加,漏洞数量和攻击面也随之增加,不断出现的安全事件,使得智能终端操作系统漏洞修补越来越需要被重视。

图片2.png

而决定移动智能终端安全性的除了平台漏洞数量,还主要取决于厂商对于漏洞的修补情况。泰尔终端实验室在近期对市场上销售的77个厂商的262款终端进行了抽样测试发现,终端平均含有5个高危或者严重漏洞,而所有终端中仅有2款对应修补的漏洞进行了全面修补,其余终端未修补漏洞比例在19%左右。移动智能终端的漏洞现状并不乐观,大量终端存在严重漏洞,而造成这种现象的主要原因体现在以下几个方面。

第一,操作系统碎片化严重。与iOS由苹果公司一家采用、终端由同一厂家生产、漏洞修补可以统一版本不同的是,Android版本较多,目前Google推出了Android 8,而在中国市场上还有大量的Android 5和6,甚至4.4的系统。此外,不同终端所采用的硬件芯片也有很大区别,这其中驱动层面的漏洞也会因为硬件不同而有所不同。从终端厂商角度来看,产品线很多、碎片化也很严重,并不能保证所有版本都能够及时进行漏洞修补。

第二,厂商管理混乱。目前终端漏洞修补并没有强制性要求,很多无研发能力的小厂商主要依赖操作系统厂商、芯片厂商发布的官方补丁,而这些补丁也会出现漏打,并不能完全涵盖所有产品版本,同时这些厂商往往也没有手段强制要求终端厂商及时打补丁。

第三,积极性不高。一般而言,同一手机厂商的产品会同时覆盖高、中、低共3档,由于研发实力有限,并且漏洞修补不仅不能带来良好收益反而需要投入大量成本,因此很多厂商无法维护所有的在售机型,只有将主要精力投入到高端机型,使得低端机的漏洞修补成为空白地带。

积极改善需加强检测技术,进一步完善机制体制

新出台的《网络安全法》规定网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。为配合《网络安全法》的落地实施,我们应及时关注移动智能终端漏洞问题,从国家层面管理漏洞修补工作,加快漏洞库建设,配合检测同步执行,定期发布漏洞研究报告,促进行业自律。

图片3.png

海云安移动应用安全风险评估系统(MARS)可以有效进行安全漏洞的移动应用检测,快速应对潜在风险。MARS工具支持对目前大部分移动智能终端系统的深度检测评估(安卓、iOS、H5、微信程序等),全面评估系统漏洞,运行安全,敏感数据泄漏风险等等诸多风险威胁,操作便捷,同步输出近百页的详尽分析报告,帮助技术团队第一时间洞悉安全症结,进行精准修复完善,避免因系统漏洞引发的信息安全事件。同时还推出了国内首款智能移动应用防火墙产品,有效保护移动业务系统安全。

图片4.png

除了积极使用有效的检测工具进行漏洞的有效发现外,厂商应积极建立应急响应机制。一旦出现移动智能终端重大漏洞引起的安全事件,需要从制度层面建立快速响应机制,第一时间向用户发布安全公告,推动操作系统供应商、芯片厂商和终端企业共同进行漏洞修补工作,将社会影响及风险损失最小化。

上一篇:海云安:立体防御,守护移动应用开发者利益下一篇:新西兰遭网络安全损失超190万美元

立即体验,让移动世界更安全 免费注册

深圳海云安网络安全技术有限公司

  • 邮箱:service@secidea.com
  • 市场合作:marketing@secidea.com
  • 总部:深圳市福田区沙头街道天安社区泰然五路天展大厦5D508室
  • 分支机构:北京商务中心
  • 上海办事处
  • 广州办事处
  • 武汉办事处
  • 成都办事处

粤ICP备16031313号-2 深圳海云安网络安全技术有限公司 www.secidea.com

粤公网安备 44030402002166号