※ iOS 與 Windows Phone 系統是封閉式安全
由於蘋果 iOS 裝置軟硬體整合掌控,微軟 Windows Phone 雖開放授權廠商但限制特定硬體且禁止客製化系統,而且都採用封閉原始碼,流程類似於傳統電腦的作業系統更新機制,因此通常系統安全性更新發佈至手機的時程較快。
不過也因此作業系統重大安全更新,往往只能等待官方儘速釋出,若是漏洞已經曝光,惡意駭客極可能利用這尚未更新的時間發動攻擊(零時差攻擊)。
以蘋果為例,前陣子極為嚴重的系統漏洞而導致網路傳輸加密失效(又以其成因命名為 goto fail),蘋果於 2014/2/21 首先發佈了 iOS 修補更新,卻遲至 2014/2/25 才發佈 Mac 端的更新(OS X 10.9.2),中間這四天使得 Mac 使用網路不再安全,卻也無可奈何。
※ Android 系統是開放式危險
Android 手機出廠時,原生的作業系統(Android Open Source Project, AOSP)往往由經手的軟硬體廠商多方修改,因此安全性責任其實分散於 Google、手機生產廠商(Samsung、htc等)甚至是電信商內建軟體,並非 Google 單方面能掌控!尤其根據過往研究報導指出,手機廠商用以取代原生軟體的自製軟體(譬如簡訊),經常未正確實作 Android 原生安全權限機制,甚至引入更多軟體漏洞!
由於手機廠商發佈系統更新,時程往往拖得很長,而且經常不會更新到最新版本的 Android,然而 Android 作業系統各版本的漏洞皆已公開至 CSV Details 網頁上,再加上手機廠商引入的漏洞,導致 Android 手機的普遍危機是漏洞不僅多,還經常沒有修補!
此外,由於 Android 出廠內容版本眾多而嚴重碎片化,使得民間要能全面性修補這些漏洞也極為困難!所幸仍有研究單位先針對 Android 系統原生漏洞提供可行的解法,來自 Northeastern University 與 Duo Security 的團隊首先推出了 《X-Ray》(偵測作業系統是否有已知漏洞),並進一步發表論文闡述《PatchDroid》計劃偵測各家 Android 手機上的系統漏洞並即時修補的機制!這項成果不但將能主動地治療根本,更勝過被動防禦性的一般防毒軟體,目前已針對其中一項最嚴重的漏洞「Master Key」(任何軟體皆可能不被發現地注入惡意程式碼,最嚴重可導致整支手機資訊與控制權遭竊奪!)先行推出《ReKey》(已於 Google Play 上架),讀者不妨下載一試!不過想即時修補漏洞需要 root 權限,而取得 root 權限則又需要先利用安全漏洞,說來真是諷刺啊。
當然,只從 Google Play 下載 App 即可避免大多數濫用這些漏洞的惡意軟體,而最治本的方法是要求手機廠商儘速提供安全性更新,不過讀者以為更新系統就安全了嗎?根據研究報導指出,將 Android 升級至下一版號的動作(例如:4.3升級到4.4),反而出現惡意軟體得以濫用的漏洞(Pileup flaws)!所幸目前也提供了偵測這些惡意軟體的程式《Secure Update Scanner》並已在 Google Play 上架,假若讀者近期要更新 Android 系統前,別忘了安裝這款 App 先行掃描一下!
由這些研究報告與過往經驗,我們會發現 Google 出品的原生手機不但漏洞最少,而且修補速度也最快!不過 Android 手機世界最迷人的也是各家手機發展出自己的軟硬體特色,如何能割捨呢?本系列的最終篇,將初步介紹在優先考慮手機的安全性狀況下,建議如何選擇手機或 JB/root 手機。
本文參考文獻:
- The Impact of Vendor Customizations on Android Security(pdf)
- Systematic Detection of Capability Leaks in Stock Android Smartphones(pdf)
- PatchDroid: Scalable Third-Party Security Patches for Android Devices(pdf)
- Pileup Flaws: Vulnerabilities in Android Update Make All Android Devices Vulnerable
編註:筆者並非手機安全專家,對於相關文獻難以全面深入,有鑑於這類報導甚少,還祈拋磚引玉。