Google I/O大會終於重視Android安全性,避免惡意軟體登上Google Play

在今年的 Google I/O大會上, Android 平台安全負責人 David Kleidermacher 在推銷 Project Treble 時透露, Google 將把安全補丁更新納入 OEM 協議當中,以此讓更多的設備,更多的使用者獲得定期的安全補丁。這是一個積極的行為,但細究下就並不值得表揚了,因為之所以提出這一方案全因之前被人揭了短。
評論
評論

本篇來自合作媒體 PINGWEST,INSIDE 授權轉載。

二十六個字母都數到 P 了,然而 Android 生態的安全依然是一個讓人堪憂的狀況,而最近,這個情況更是集中爆發。

在今年的 Google I/O 大會上, Android 平台安全負責人 David Kleidermacher 在推銷 Project Treble 時透露, Google 將把安全補丁更新納入 OEM 協議當中,以此讓更多的設備,更多的使用者獲得定期的安全補丁。

這是一個積極的行為,但細究下就並不值得表揚了,因為之所以提出這一方案全因之前被人揭了短。

就在今年四月,Security 安全研究實驗室在測試了 1200 台不同品牌、不同渠道的手機後表示,安全補丁的安裝狀況並不盡人意,有些廠商甚至至少漏掉了 4 個月的安全補丁。

而就在這份報告發布前一個月,Kleidermacher 在接受 CNET 的採訪中剛說完「Android 現在和競爭對手一樣安全」。

用過 Google Pixel 的人都會注意到, Google 每個在月都有一次安全推送的,而且不管你是否想要更新,但其實這個安全補丁 Google 並不僅僅推送給自家手機。

對於安全問題, Google 現在會在每個月的第一個週一發布一份安全補丁公告,公告中會列出已知漏洞的補丁。而同樣是這份補丁,各大廠商一般會提前一個月收到,目的是讓 OEM 和供應商——比如晶片廠——能夠在公告之前好修補漏洞。

這個設想是好的,並且如果友軍認真執行的話效果也不錯,比如 Essential 手機,雖然銷量不好,但是它可以與 Google Pixel 同一天推送安全更新。

然而前面提到了,其他廠商並不都這麼幹的,具體各家差多少直接看圖吧:

Security 還指出,這一結果的背後晶片供應商有很大責任,因為採用聯發科晶片的手機在獲得安全更新方面更顯糟糕:

這裡更新和晶片供應商的關係不是絕對的,比如 PingWest 品玩這就有一台高通驍龍 835 的手機,目前 Android 安全更新還停留在 2017 年 12 月 1 日。

在這一現像被揭露之後, Google 迅速就做出了回應,承認了這項研究的重要性,並表示將會進行核實。而最終的結果,就是這次 Google I/O 上宣布的事情了。並且 Google 這兩年一直在推行的 Project Treble 正好能夠用上,利用這一機制,廠商製作安全補丁更容易,成本更低。

一邊用政策來約束廠商,另一邊又許拉低抵觸心理,可以說是個非常棒的套路。但估計 Kleidermacher 怎麼也想不到,在扶友軍的同時,自家陣腳亂了。

據老牌安全軟體賽門鐵克研究發現,有一些曾經被發現過的惡意應用重登 Google Play 了,而且使用的方法非常簡單:改名。

這次發現的惡意應用程式有 7 個,它們早在去年就被匯報給 Google 並下架過了,但現在,它們通過更改包名稱重新以表情符號鍵盤、空間清理、計算機等類型登錄 Google Play 。

這裡簡單介紹下這些惡意應用的表現,大家注意下:

  • 安裝後會進入幾小時靜默期,以此避免被注意
  • 頂著 Google Play 圖標來索要管理員權限
  • 把自己的圖標改成 Google Play、 Google 地圖這些常見應用
  • 通過提供內容來獲利——比如重定向網站——並且這個形式是雲端可控的

相對來說,這一次惡意軟體的行為其實並不重要,更危險的是這次登錄 Google Play 的形式, Google Play 安全流程中的問題。

首先, Google Play 的審核機制可以說是漏洞百出。在應用上架 Google Play 前的過程中,安全測試成了擺設,自動檢測算法根本沒起作用,人工審核就像個宣傳稱號——據賽門鐵克表示,這些應用根本不能提供正常功能,所以人工審了什麼?

其次,在上架及使用者安裝後 Google 宣傳的防護也沒起作用。基於機器學習技術識別流氓軟體的 Google Play Protect,據稱每天會掃描數十億應用,一樣被繞過了。

最讓人無法接受的是,這些體系還是被繞過兩次,而第二次僅僅是通過改名就饒過了。這難免不讓人聯想到 Google Play 的安全流程中是不是沒有「總結經驗」這一行為,所謂的機器學習是不是學和做分開了。

而相對系統漏洞來說,惡意應用要讓使用者更加不適一些。畢竟大多數人的設備被蓄意利用漏洞攻擊的可能性近乎為 0,但是裝錯個應用就直接中招了。

提到惡意應用,很多人自然而然的就會聯想到流氓應用,然後就會想到「全家桶」,進而就會想到 Google 這幾年更新了幾個管理措施,更進一步還會想到為什麼還壓制不住他們。

其實,這事還得怨 Google ,因為 Google 一直沒想明白問題重點。

以 Android 8.0 為例, Google 雖然推出了一個後台控制特性,但是這個特性如果想完全正常使用有一個前提條件,應用程式的封包 SDK 要達到 API 26(一個不面向使用者的開發設定,和 Android 版本同步更新,目前正式版最高 API 27, Android P 是 API 28),直白點說就是應用是針對 Android 8.0 開發的。如果應用沒這麼做,那麼結果就是新特性最多只能發揮一小部分作用,但並不會影響 App 的正常使用和濫用。

所以,控制權在應用開發者手裡。如果他們認為 Android 新機制非常棒,應該遵守,那就上新的 API。而如果產品部、推送服務商覺得組成全家桶賣相好,那麼就保持原樣。

PingWest 品玩測試了幾個 Google Play 中的應用後發現,其中最低的居然可以低到 API 18,甚至 Google 自家的某些應用也還停留在 API 24。而在 Google Play 之外,騰訊新推的 TIM,現在還在用 Android 4.0.3 時期的 API 15 玩的不亦樂乎。

可見,在這種近乎君子協議的前提下,想指望廠商跟上腳步、自我約束,這在短期內無異於癡人說夢。

至於這種情況什麼時候能更進一步的改善,還要看 Google 什麼時候想明白強權的重要性。


【一圖看懂】民生基礎建設的資安防禦為何重中之重?ACW SOUTH 沙崙基地打造天然氣、石化、變電所三大測試場域為大眾保駕護航

這幾年的新冠疫情、俄烏戰事奪走許多寶貴生命,讓網路流行一句「你的歲月靜好,是有人為你負重前行。」當我們能夠安居樂業過著恬靜生活,其實是仰賴一群人在社會各個角落堅守崗位,多數人才能享受無虞的生活及安全的家園。
評論
Photo Credit:TNL Brand Studio
評論

我們在食衣住行許多方面皆與水、電、天然氣等資源息息相關,在高度數位化的現代,臺灣在面對這些資源的基礎建設時,網路安全的防禦為何比其他國家更需謹慎面對?這件事可以從俄烏戰爭獲得啟發。

Photo Credit:TNL Brand Studio

從俄烏戰爭居安思危,臺灣每月面臨 4000 萬次的網路攻擊

有人說如果有一天真的發生第三次世界大戰,那一定會發生在網路上。從近期的俄烏戰爭來看,除了使用傳統槍砲坦克,更值得注意的是雙方都派出大量 IT 駭客,攻擊對方的油水電重要基礎建設的伺服器、通訊設施,企圖阻斷即時資訊,藉此癱瘓敵方的民生設備運作。

事實上,一般駭客不會主動攻擊一個國家的基礎建設,大多是鎖定企業等級為目標,像是美國燃油管線營運公司,受到來自東歐的勒索病毒攻擊,被迫暫停營運同時還要支付新台幣 1 億 4,000 萬元的贖金,造成當地民眾恐慌,發生一波搶購燃油熱潮。

而臺灣因為政治戰略的因素,外部駭客總是虎視眈眈,想要癱瘓我國的民生關鍵基礎設施。過去幾年間臺灣每月平均受到 2,000 萬到 4,000 萬次外來攻擊,甚至懷疑一起大型惡意軟體攻擊,幕後的駭客是有國家力量在撐腰。

臺灣民生建設資安防禦迫在眉睫,ACW SOUTH 沙崙基地扮演關鍵角色

身為島國的臺灣,電力、石油、天然氣及水利等資源設備,是供應國內經濟發展及民生需求的重要資產。面對各項能源設備資安的防護,我國經濟部長王美花過去就曾公開表示,「油電水等關鍵設施假使被破壞,後果不堪設想,所以資安是重要基本功,一定要發展做好防護措施。

身為國內首屈一指的「ACW SOUTH 沙崙資安服務基地」(以下簡稱 ACW SOUTH 資安基地),承接起重責大任,提供資安實驗場域,模擬攻防演訓及產品驗測服務;也會邀請資安服務廠商與工控營運業者到沙崙場域,進行實作的技術交流。

ACW SOUTH 資安基地計畫團隊表示,「透過資安服務商與工控營運業者的交流分享,有助促進產業對於工控資安了解與場域運用;同時我們也會辦理工控資安等相關課程、研討會及交流會,鏈結資安與工控業者幫助雙方有更深入的技術合作。」

目前 ACW SOUTH 資安基地的「關鍵基礎設施工控場域」主要有「石化/化工、天然氣及變電所」三套系統,模擬五套攻擊劇本,協助相關基礎設備的管理者,在受到攻擊當下知道該如何反應,及早因應強化資安防禦實力。萬一遭遇偽造工作站監看數據、偽造命令操控電磁閥和空壓機、電驛傳輸通訊中斷等攻擊事件,就能立刻啟動應變流程。

走訪 ACW SOUTH 資安基地關鍵基礎設施,了解三大測試場域功能有多強

場域一、石化基礎設施
2020 年臺灣兩大石化公司接連傳出資安攻擊事件,部分資訊系統感染勒索軟體病毒,造成加油站的支付系統停擺,導致消費者付款機制受到影響。

ACW SOUTH 資安基地提供的化工模擬製程實體運作機櫃,是全台首座「石化/化工製程水位控制平台」,模擬情境為一般化工反應槽連續式循環水流水位控制,以水為循環流體模擬,可提供研究測試與訓練使用、自主開發攻防情境。來現場測試的業者,可透過視覺式監控介面與 DCS 收集現場監測儀表的即時資訊,做到收集完整數據紀錄及警報,具體測試資安防護設備與解決方案。

場域二、天然氣基礎設施
美國一家天然氣壓縮公司曾經受到勒索軟體攻擊,駭客透過魚叉式網釣攻擊入侵 IT 網路,再找機會滲透到 OT 網路,並在這兩個網路部署勒索軟體,導致人機介面、伺服器完全失能,公司業務被迫停擺兩天。

ACW SOUTH 資安基地的儲槽氣體壓力監控系統,模擬情境為天然氣廠氣體儲槽壓力,使用空壓機模擬天然氣體,當氣體壓力高於或低於警報值時,系統畫面警示工作站主機,並同時記錄數據變化、警報和事件。

場域三、變電所基礎設施
2021 年台電董事長說台電遭駭客攻擊幾乎每天發生;俄烏戰爭過程,俄羅斯駭客也曾嘗試對烏克蘭發電廠下手,利用資料破壞軟體發動攻擊,藉此癱瘓高壓變電所,讓烏克蘭當地無電可用。

電力系統無論在發電、輸電及配電的任一部分發生故障,都有可能影響整個供電系統異常,因此保護電驛的作用就在及早隔離故障,避免影響到後續的相關設備。ACW SOUTH 資安基地的保護電驛監控系統採用 IEC61850 標準來進行網路通訊,可用來監視、記錄電驛突發事件,藉此模擬變電所遭受攻擊的危機處理。

要讓臺灣關鍵基礎設施免於駭客襲擊,可說是天方夜譚,但我們能做的是提升資安、強化防禦韌性,更有餘裕時間來防禦或補救攻擊。ACW SOUTH 資安基地的關鍵基礎設施,目前打造了三大測試場域,擁有可實際演練的攻防腳本,並進行資安產品的驗測。

ACW SOUTH 資安基地深知臺灣以製造業起家,尤其近年半導體領域成為舉世聞名的護國神山;另外因應全球淨零碳排議題,綠能也是前景可期的重要產業。因此在 ACW SOUTH 資安基地除了有關鍵基礎設施,還設計智慧製造、智慧綠能、半導體及物聯網等主題,可為相關業者做攻防演訓及產品驗測,有助提升我國整體資安防禦力。

「經濟部工業局 廣告」