當前位置: 首頁 >> 機械泵

在專業人員的眼中安卓係統的安全補丁同樣漏

2019-09-15 0人讀過

  當你以為你的移動電子設備已經做好了所有的安全防護措施,萬無一失的時候,在黑客以及技術安全人員的眼中,漏洞仍然無處不在。

  來自德國柏林安全研究實驗室(Security Research Labs)的首席科學家 Karsten Nohl應當對這一點深有體會。大部分用戶日常使用的安卓係統,在他看來,安全性始終不能得到很好的保證。

  這是由於,大部分用戶對於安卓係統的特性依然不熟悉,因此自然沒有辦法很自在地使用。各種條件的作用下,相比於封閉性更高的ioses係統,安卓係統更容易遭到外來的攻擊。

  比如說,2015年,安卓平台上Chrome瀏覽器的一個安全漏洞就被發現,會允許攻擊者取得受害者的全部管理員訪問權限;今年年初,一個名為“應用克隆”的攻擊威脅模型以短信、二維碼、頁麵等方式引誘用戶進行消費行為,安卓平台上的支付寶、餓了麽等應用都遭到了攻擊。

  在這樣的基礎上,用戶對於安卓係統的安全補丁了解不多,也就隻能夠使用不同軟件廠商提供的安全補丁,但這些補釘的防護能力並不完善。

  廠商們也似乎並沒有試圖改良這1局麵。Karsten Nohl發現,部分廠商並不會為用戶提供及時的補釘更新,讓用戶的固件升級到最新版本;更有甚者,一些廠商還會屏蔽軟件更新的提醒。這對的係統安全始終是一個隱患。

  這是在香港舉行的AsiaSecWest 國際安全技術峰會的其中一個論壇內容。AsiSecWest由在加拿大舉行的CanSecWest發展而來,後者被視為是全球範圍內最老牌的安全技術會議之一。這一屆的AsiaSecWest,也是會議第一次在中國國內舉行。

  和一般的黑客大賽不同的是,AsiaSecWest的競賽色彩其實不濃厚,這更像是一場黑客和安全專家之間的技術交流論壇。平常我們最頻繁使用的一些軟件,雖然看起來萬無一失,但實際上,隻要這些專家願意的話,幾行代碼的加入,就可以完全獲取對這些軟件的控製權。

  除了上麵提到的安卓係統之外,我們平常使用的瀏覽器也存在著一些難以發覺的技術缺點。而安全技術人員們也在這次會議上進行了相幹的展示。

  騰訊安全玄武實驗室發現,微軟為頁瀏覽器開發的JavaScript引擎中,依然有部份漏洞;這些漏洞可能會被不法人士使用,從而繞過現有的瀏覽器防護,從而掌控對設備的控製權。

  如果說安卓係統和頁瀏覽器本身對外交互頻率高的屬性提升了它們的受攻擊概率的話, Adobe Flash易受攻擊,則是因為這款軟件的強工具屬性。

  來自荷蘭埃因霍溫科技大學的Bjorn Ruytenberg在會議上介紹稱,由於Flash是操作係統和包括Office、PDF閱讀器、頁瀏覽器等各種軟件之間的連接器,這讓它也成為了攻擊的對象。他於去年在Adobe Flash中找到了兩個沙盒漏洞,這些漏洞使得黑客能夠獲取用戶貯存在電腦中的本地數據。

  除展示各自找到的技術漏洞以外,在AsiaSecWest上,來自全球各地的專家也會針對目前行業內的新趨勢,探討可能出現的安全技術趨向。包括物聯、AI等,都是這次會議上討論的主題。

  無論是AI技術,還是物聯,它們的落地在很大程度上都要建立在大數據之上。因此,對於數據的保護也成為了重中之重。

  對此,CanSecWest創始人Dragos Ruiu表示,AI技術的發展目前還在比較初始的階段;隨著智能程度愈來愈高;技術人員對安全性會提出相應程度的重視。

  但在最近,圍繞數據安全出現的爭議卻屢見不鮮。 月底,Facebook的“數據泄密門”事件大規模爆發,超過8700萬名Facebook用戶的個人資料被盜取。

  而在國內,百度CEO李彥宏在“中國高層發展論壇”上則表示:“我想中國人可以更加開放,對隱私問題沒有那末敏感,如果他們願意用隱私交換便捷性,很多情況下他們是願意的,那我們就可以用數據做一些事情。”這句話也引發了軒然 。

  技術的進步也因此意味著,安全技術人員們在未來將會麵比較如今複雜得多的數據保護環境。騰訊安全聯合實驗室玄武實驗室負責人於暘在這次會議上就提到,在萬物互聯以後,技術人員要麵對的聯設備數量將會出現倍數級增長。

  “當聯的裝備數量達到10億級別的時候,安全問題就不能僅僅依賴工作人員,而是要借助技術本身的氣力。”他表示。

  換言之,在未來針對AI等技術的安全防護上,技術人員可能還要引入這些新技術來作為防禦手段。於暘就認為,在未來,信息安全和AI等技術之間的關係一定會非常緊密。可以說,技術不僅僅會成為人們解決絡問題的工具,也有可能會成為解決自身缺陷的工具。

燈盞細辛膠囊主治什麽
小孩眼屎多
小孩營養不良怎麽補