BlackHat 專題 | Android 系統的安全性有救了？中國黑客祭出神器

Android 系統很安全。

以上是黑客們眼中最大的笑話。

夸張點說，甚至一個腳本小子都能輕松在網上找到成建制的方案，攻破你的手機防線。造成這種結果的原因，并不是谷歌在系統安全方面不作為，而是大部分存在于人間的 Android 手機，大都成了“迷途的羔羊”。由于系統碎片化、廠商更新流程繁瑣，這些手機根本找不到升級之門，只能如孤魂野鬼般徘徊在充斥豺狼虎豹的曠野之中。

百度首席安全科學家韋韜稱之為：“生態的安全漏洞”、“Android 系統的白血病”。

難以置信，在頂級黑客聚集的盛會 BlackHat USA 之上，這位黑客連續三年為 Android 系統安全奔走呼號。就在今天，他再一次登上這個全球黑客的最高舞臺。這一次，他祭出了一個“神器”。

演講結束，雷鋒網對韋韜進行了專訪，讓我們聽他講述一下，這個“神器”究竟是什么。

【百度首席安全科學家 X-Lab掌門人 韋韜】

Android 系統的白血病？

雷鋒網：

我們的 Android 手機究竟有多么不安全？

韋韜：

在前年的 BlackHat USA 上，我的演講內容就是定向攻擊 Android 手機的諸多方法，我們現場演示了遠程無感知攻擊Android手機進行現場錄像并上傳。這里給幾個小例子，例如在 Android 5.X 之前，存在一個嚴重的漏洞，任何 App 都可以擁有閱讀手機短信的權限；同樣，所有的 App 也都可以獲取用戶放在剪貼板上的內容。當然這些只是一小部分。大量的基礎漏洞至今沒有被修復，而用戶手機上運行的，大多都是這樣的系統。

雷鋒網：

如果我們不 Root 手機，是否會更安全一些？

韋韜：

并不是這樣。簡單來說：用戶不 Root 手機，攻擊者會幫你 Root。對于絕大多數正在使用的手機來說，地下黑產流傳著成熟的 Root 技術。甚至在用戶完全沒有感知的情況下，靜默獲取用戶的 Root 權限。例如誘導用戶下載一個游戲，僅僅通過閃現一個 Banner 條的方式，就能執行攻擊代碼。

這種不知情的 Root，甚至比用戶自己 Root 還可怕。黑客可以在后臺獲得最高權限，盜取用戶的銀行賬號密碼。甚至還有間諜集團盜竊員工手機上的工作密碼，盜取手機上的商業會議錄音。我講的這些事情不是假設，而是真實發生過的。

雷鋒網：

如此看來，圍繞 Android 手機，是否已經形成一條黑色產業？

韋韜：

并不是一條，而是很多條黑色產業交叉在里面。黑產分工的細致已經超出了想象，每個細分產業的產值都在幾億到幾十億之間。可以這么說，安卓的現狀對他們來說是樂園，經過長久的等待，現在他們（黑產）已經可以開始收割了。

【韋韜（左）和團隊成員張煜龍在 BlackHat 上演講】

雷鋒網：

造成 Android 系統漏洞百出的原因是神馬？

韋韜：

原因主要有三個。

產業鏈條長：從谷歌到用戶之間，要經過 Android 系統、手機廠商、運營商、應用開發者、應用開發工具生產者等等，這些環節中，一旦一個出現了問題，就會導致整個系統不安全。

手機碎片化：根據我們的統計，今年上半年，不同的廠家、不同的手機硬件搭配不同的系統版本，使得Andorid 的碎片達到了幾十萬個，很多手機的設計團隊甚至都已經解散，不可能對每種機型提供技術支持。所以沒有辦法把一個補丁用在不同的設備之上。

安全廠商沒有位置：谷歌顯然不歡迎安全廠商進入 Android 系統的內核。所有帶有 Root 性質的應用一律不允許上架。安全廠商的積極性被嚴重打擊，而谷歌自身卻有沒有能力保護自己的系統內核，這就造成了現在安卓系統安全的真空。導致很多漏洞在行業里流傳，研究人員報告給谷歌的動力不足，黑產就更不會了。

拯救 Android 的神器

雷鋒網：

所以你在 BlackHat 上祭出的神器究竟是什么呢？

韋韜：

我們提出并實現了自適應內核熱補丁技術。同時開發了一個名為 AdaptKPatch 的工具，專門為系統內核注入補丁。這種工具的優勢在于，可以實現對不同手機自適應地打補丁。經過我們對自己掌握的幾百臺手機的測試，都可以自動為系統打補丁。在整個打補丁的過程中，系統甚至不需要重啟，甚至沒有卡頓。

【BlackHat 現場，百度 X-Lab 展示“內核熱補丁”技術】

雷鋒網：

這種熱補丁技術是如何實現的呢？

韋韜：

第一步，引擎會收集用戶的內核信息和手機軟硬件信息，然后根據關鍵的參數已經安全機制選項給出模板，這些“自適應”的過程在手機之上就可以自動完成。

第二步，引擎會把生成好的補丁注入內核。如果我們和廠家有合作，就可以正常修補；如果沒有合作，也可以用 Root 技術進去打補丁。

第三步，打內核熱補丁。在打補丁的過程中，會保持系統地流暢。針對沒有在調用的參數，可以直接替換，針對正在調用的參數，會進行短暫的暫停。由于 Android 不是“硬實時系統”（完全的實時交互系統），所以用戶對這種停頓根本感受不到。

雷鋒網：

這個內核熱補丁對于所有 Android 機型都通用嗎？

韋韜：

我們對身邊的幾百臺手機進行了測試，都能很好地打補丁。但是，我們的手機只是市場上很小的一部分。不排除有些特殊的例子，例如：有些廠商提供了自己特殊的安全機制。還有些收集的 CPU 本身存在 bug，雖然這類手機比例很小。但是我們有六七億用戶，即使是1%的手機有問題，仍然數額很大。所以讓安卓系統變得這件事并不是一個人能夠做到的。我們需要手機廠家、安全廠商、谷歌、高通和我們相配合。

雷鋒網：

對系統內核打補丁，理論上來說有可能形成新的攻擊面，如何讓谷歌來信任百度呢？

韋韜：

正是因為這個原因，我們今天在全球首次推出了另一個熱補丁引擎 LuaKpatch。Lua 是一種非常小巧的腳本語言，它的代碼非常簡單，可以實現的功能也受限制。但是它的優點是，谷歌或手機生產廠商可以簡單地審計代碼的安全性。不過，它的缺點是，有些補丁無法通過 Lua 語言修補，還要使用 AdaptKpatch。這兩種引擎需要配合使用，才能完整地為系統內核打補丁。

雷鋒網：

AdaptKpatch 引擎會出現碎片化的問題嗎？

韋韜：

如果我們完全無限制的開放技術，真的有可能造成另一次碎片化的過程。所以我們選擇為核心技術申請了幾個專利，但是這些專利對于生態合作伙伴是開放的。我們希望通過建立聯盟的方式，避免 AdaptKpatch/LuaKpatch再次出現碎片化的問題。

小結

在 BlackHat 現場，韋韜和同事向全世界展示了這個工具。

根據現場的演示視頻，原本可以被 Root 工具 Root 的手機，經過 AdaptKPatch 和 LuaKPatch打補丁之后，完全無法 Root。而且，整個的內核升級過程中，手機并沒有重啟，甚至沒有卡頓，完全正常使用。

BlackHat 一直作為安全技術發展趨勢的標桿，從這一點上看，飽受“免疫疾病”折磨的 Android 系統，也許會在中國黑客的努力之下，走出泥潭。

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。