防止Android被攻擊

Android已經(jīng)和Windows一樣，由于自身的成功而成為惡意軟件的攻擊對象。攻擊Android的惡意軟件開始越來越多，而Google的月度安全補丁并不能阻止惡意軟件的泛濫，惡意軟件的威脅正日益嚴重。那么我們該怎么辦？

幾乎所有Windows用戶都知道，針對Windows系統(tǒng)的惡意軟件無處不在，互聯(lián)網(wǎng)上每一個角落都潛伏著惡意軟件。而目前Android已經(jīng)成了智能手機上使用最廣泛的系統(tǒng)，其地位與Windows在桌面電腦上的地位不遑多讓，成為惡意軟件的首要目標自然也就不足為奇。那么，Android是否也面臨著同樣的命運？

答案是肯定的，來自AV Test的數(shù)字證實了這一點，防病毒程序德國中心測試實驗室的數(shù)據(jù)庫至今已經(jīng)記錄了約1 200萬的Android惡意軟件樣本，而2016年1月單月新樣本超過了100萬，這是歷史上最糟糕的一個月，并且此后一直維持在這個水平。為了應(yīng)對這種新的情況，Google開始和微軟一樣不斷通過更新修補已知漏洞，在2015年，每月推出解決現(xiàn)有問題的安全補丁。

但遺憾的是，Google的努力未必能夠阻止惡意軟件的泛濫，因為到目前為止，Android的惡意軟件利用系統(tǒng)漏洞的比較少，相反，它們大量地利用所謂的“社會工程”，通過誘使用戶安裝應(yīng)用程序的方式入侵系統(tǒng)。因此，許多專家建議用戶在Android系統(tǒng)上不必安裝反惡意軟件工具，只需要謹慎行事，避免安裝GooglePlay商店以外其他來源的應(yīng)用程序即可。但是，這種觀點目前已經(jīng)有些過時，因為用戶并不是唯一的薄弱點，最新的惡意軟件也利用系統(tǒng)漏洞，僅僅是謹慎行事已經(jīng)不足以確保系統(tǒng)的安全，始終安裝最新的安全補丁才是最重要的。

Google的困境

遠程代碼執(zhí)行漏洞“Stagefright”的大爆發(fā)促使Google發(fā)布月度安全補丁，該漏洞由Zimperium安全公司的約舒亞·德雷克發(fā)現(xiàn)，在2015年4月報告給Google后，約舒亞在2015年8月5日美國黑帽大會上演示了該漏洞。該漏洞的觸發(fā)機制使其備受關(guān)注，攻擊者只需給攻擊對象發(fā)送一條短信，就可導(dǎo)致Stagefright框架緩沖區(qū)溢出，惡意軟件將可以運行在留給系統(tǒng)程序的主內(nèi)存，并最終獲得Root權(quán)限，可以完全控制操作系統(tǒng)。

版本是大問題

不像微軟，Google的Android更新補丁并不能夠自動分發(fā)，所有的操作系統(tǒng)Google只能夠為自己的Nexus設(shè)備提供自動更新，而三星、索尼、LG和HTC等其他品牌的Android智能手機是否能夠獲得更新補丁需要由制造商自己決定。Google將向制造商提供更新補丁，而制造商通常對Android進行了二次開發(fā)，更新補丁不一定能夠直接應(yīng)用于它們的系統(tǒng)，為此，制造商需要對更新補丁進行修改和測試，因而，為所有機型提供更新成本將非常高昂，為此，智能手機制造商通常只會為頂級的機型和新的設(shè)備提供更新補丁。

即使是制造商提供更新補丁，但是Nexus以外的智能手機獲得更新補丁的時間也會有一些延遲，絕大部分的設(shè)備將無法及時地修復(fù)已知的漏洞。而根據(jù)伯克利大學(xué)研究人員的統(tǒng)計，截至到2015年10月，87%的Android設(shè)備都沒有獲得最新的補丁。

Android老版本的安全問題更為嚴重，因為Google提供的月度更新補丁僅適用于Android 4.4及更高版本。這主要是由于Google的Android操作系統(tǒng)從4.4才開始部分采用增強安全的Linux（Security Enhanced Linux，簡稱SELinux）內(nèi)核，從5.0開始才真正完全支持。SELinux可以確保每一個應(yīng)用程序運行在受保護的環(huán)境中，而目前Google提供的Android安全更新全部是面向SELinux的。通過引入更新補丁，Google已經(jīng)消除了164個漏洞，其中有70個是嚴重的漏洞。

需要特別注意的是，應(yīng)用程序可以通過緩沖區(qū)溢出之類的漏洞提升權(quán)限，為此，安裝最新的更新補丁是至關(guān)重要的。通過“系統(tǒng)|關(guān)于手機|Android的安全補丁程序級別”我們可以了解系統(tǒng)是否已經(jīng)安裝了近期最新的更新補丁。然而，通過檢查系統(tǒng)更新得到“您的系統(tǒng)為最新版本”是沒有意義的，因為如果制造商沒有提供更新補丁，檢查系統(tǒng)更新結(jié)果將會是一直提示當前是最新版本，但這只代表該系統(tǒng)已經(jīng)是制造商為該設(shè)備提供的最后一個版本。

惡意軟件攻擊

以色列公司NorthBit的安全專家提供了一個如何能利用Stagefright 3.0漏洞的指南：當用戶瀏覽網(wǎng)站遇到被感染的視頻頁面時將自動啟動智能手機的播放器并使其崩潰，當用戶嘗試再次播放視頻時，惡意軟件將侵入系統(tǒng)并獲得權(quán)限。該指南詳細解釋了如何突破Android的地址空間布局隨機化（Address Space Layout Randomization，簡稱ASLR）達至目標緩沖區(qū)溢出的目的。為此，Google已經(jīng)在2016年4月發(fā)布了一個更新補丁來修復(fù)該漏洞。

惡意軟件與殺病毒軟件

對于系統(tǒng)版本低于4.3的Android的舊設(shè)備來說，以Root權(quán)限運行的惡意軟件非常活躍。在2016年4月底，來自Blue Coat的安全專家首次發(fā)現(xiàn)了一個利用系統(tǒng)漏洞的勒索軟件Dogspectus，該惡意軟件通過受感染的廣告橫幅加載，感染后首先停止所有運行中的應(yīng)用程序，防止反惡意軟件工作，并確保自己是系統(tǒng)重新啟動時首先被激活的一個。幸運的是該勒索軟件不加密任何文件，只是鎖定設(shè)備要求支付100美元。專家們可以在智能手機被感染之后，將手機連接到電腦并下載所有的數(shù)據(jù)。接下來，簡單地恢復(fù)出廠設(shè)置，即可清除惡意軟件，恢復(fù)系統(tǒng)的正常使用。

如果Dogspectus和Windows的勒索程序一樣，控制系統(tǒng)后加密所有數(shù)據(jù)，那么用戶將可能面臨數(shù)據(jù)丟失的問題。幸運的是，大多數(shù)的Android惡意軟件目前仍然不會采取過于復(fù)雜的工作方式。據(jù)AVTest的主管安德烈亞斯·馬克思介紹，目前大部分惡意軟件仍然是通過所謂的“社會工程”模式，利用用戶的輕率傳播和感染系統(tǒng)的。用戶大部分是在搜索某些東西時，錯誤地下載安裝或者選擇了某些選項而被感染的。

而就像勒索軟件Dogspectus的“精簡版”那樣，要利用用戶的輕率鎖定設(shè)備也并不那么容易，因為在一個用戶沒有Root權(quán)限的設(shè)備上，即使用戶輕率地單擊提升其權(quán)限的選項，但也無法完成操作。不過，只要惡意軟件能夠獲得比普通應(yīng)用程序更高的權(quán)限，那么惡意軟件就能夠防止自身在該系統(tǒng)上被禁用。接下來，Dogspectus將顯示一個鎖屏的界面并鎖定設(shè)備。

防御惡意軟件

不過，我們不應(yīng)該因為Dogspectus個別的案例就以為惡意軟件都是那么好對付的，認為沒有必要安裝防御惡意軟件的工具。事實上，安裝一個防病毒軟件可以為系統(tǒng)提供更完善的保護，對于無法及時更新系統(tǒng)的設(shè)備更是非常有必要的。2016年3月，AV Test對知名的防病毒軟件進行了測試，結(jié)果發(fā)現(xiàn)它們對于最新的惡意軟件的識別率可以高達99%～100%。如果惡意軟件活躍的時間超過一個月，那么幾乎所有防病毒軟件都能夠捕獲它。

大部分防病毒軟件都提供多方位的安全保護功能，因此，它們經(jīng)常會注冊在“設(shè)置|安全|有權(quán)查看使用情況的應(yīng)用”和“設(shè)置|系統(tǒng)|無障礙”中。這兩個列表中包含一些用于完善系統(tǒng)功能，例如高對比度顯示和文本語音輸出之類的輔助程序以及應(yīng)用程序商店。通過相關(guān)的權(quán)限，安全工具可以通過系統(tǒng)接口監(jiān)視智能手機上的活動，在必要時進行干預(yù)。除此之外，防病毒軟件還提供一些其他的安全輔助服務(wù)，例如用于監(jiān)控瀏覽器和兒童安全的功能，獲得足夠的權(quán)限，防病毒軟件可以在用戶瀏覽帶有惡意代碼的網(wǎng)站時及時保護用戶。

爭奪系統(tǒng)權(quán)限

目前，Android有一個奇怪的現(xiàn)象，那就是惡意軟件和反惡意軟件正在爭奪操作系統(tǒng)的權(quán)限。按照AVTest主管安德烈亞斯·馬克思的說法，殺病毒軟件必須擁有更高的權(quán)限才可以掃描所有的應(yīng)用軟件。因而，如何管理系統(tǒng)權(quán)限防止惡意軟件嘗試通過系統(tǒng)漏洞獲得Root權(quán)限是一個問題。許多反病毒工具都集成了Root權(quán)限檢測功能，但這并不代表它們能夠自動防止這種事情的發(fā)生，因為用戶也可能執(zhí)行嘗試獲取Root權(quán)限的操作，因而，最終需要交給用戶確定當前嘗試獲取權(quán)限的操作是用戶所為還是惡意軟件所為。

在應(yīng)用程序方面，殺毒軟件會時刻注意著應(yīng)用程序的安裝，安德烈亞斯·馬克思認為，這完全可以有效地阻止惡意軟件的安裝。

Android的中國綜合癥

毫無疑問，將來利用“社會工程”實施的攻擊方式將繼續(xù)在Android上發(fā)揮重要的作用，而Google如果仍然只能依靠更新補丁來防止攻擊，那么Android將繼續(xù)面臨困境。特別是在中國：由于Play商店在中國無法正常訪問，中國人需要從網(wǎng)上通過第三方的應(yīng)用商店或者直接下載APK文件安裝應(yīng)用程序。這意味著需要在“設(shè)置”中允許安裝其他來源的應(yīng)用程序。對于Android來說這是很不安全的，無論是第三方的應(yīng)用程序還是從其他網(wǎng)站下載的APK文件，都缺少Play商店中必要的應(yīng)用程序檢查步驟。按照Google的安全報告，2015年的統(tǒng)計數(shù)字表明：如果不是通過Play商店安裝應(yīng)用程序，那么惡意軟件攻擊的概率增加10倍。

如果設(shè)備被感染，那么用戶在無法通過安全防御工具清除的情況下，Android可以提供一個類似Windows安全模式的啟動方式，在按下電源開關(guān)顯示“關(guān)閉”按鈕后，按住“關(guān)閉”按鈕即可選擇安全模式啟動，在只加載Google應(yīng)用程序的情況下開機。

不過，只有那些未能夠獲得管理員權(quán)限的惡意軟件才可以通過這種方式清除，而對于其他的惡意軟件，我們首先想到的應(yīng)該是備份我們的數(shù)據(jù)，例如在受到上面介紹的勒索軟件感染的情況下，由于數(shù)據(jù)沒有被加密，我們可以趕快備份數(shù)據(jù)并重置系統(tǒng)。實際上，安德烈亞斯·馬克思建議所有Android用戶都要定期備份自己的數(shù)據(jù)。