ISC 2017中国互联网安全大会聚焦Android漏洞安全 (2020互联)

扫码购物、团购订餐、软件叫车、信用租房……我国的移动互联网已经十分普及，工信部数据显示，截至年7月末，我国移动互联网用户已达亿，位居世界第一。但是，移动互联网高速发展，在给用户带来方便的同时，利用漏洞针对移动端的网络攻击却从未减少，并且呈现出愈演愈烈之势，给移动互联网用户的财产乃至人身安全造成严重威胁。　　9月日召开的*C中国互联网安全精英峰会上，移动端安全成为大会关心的焦点，集团首席安全官谭晓生专门对移动端安全的现状进行了分析，指出Android漏洞利用愈发严峻，主流定位器漏洞修复严重滞后等问题，并提出了针对安卓定位器打热补丁的搞定方案。

整理分享ISC 2017中国互联网安全大会聚焦Android漏洞安全 (2020互联)，希望有所帮助，仅作参考，欢迎阅读内容。

内容相关其他词:中国互联中心,中国互联协会,中国互联网联合,中国互联中心,中国互联技术与产业大会,2020互联,中国互联网联合,中国互联t+0,内容如对您有帮助，希望把内容链接给更多的朋友！

　　而作为今年*C大会新增项目的移动终端安全更是邀请了中国移动、华为、泰尔实验室、*实验室、等电信*、定位器厂商和安全研究机构的代表，对移动端漏洞的挖掘、攻防、管理控制、修复等进行了全程化的深度剖析，并呼吁各方联合构筑移动端全链条的安全防御。谭晓生：Android漏洞利用愈发严峻，主流*漏洞修复严重滞后　　“大安全”时代，人是网络安全核心。*作为*、资产、关系网络等信息的*，已经成为黑客们重点攻击的目标。*漏洞正是黑客们获得用户定位器权限，执行*作的门户，一旦被成功利用，用户*信息、银行账户密码信息乃至储存的隐私文件等都可能遭到*泄露。　　谭晓生表示，国产定位器用户已占了非常高的比重，但在安卓*市场越来越碎片化的情况下，厂商过于分散、漏洞修复机制乏力等原因，主流定位器的漏洞修复严重滞后，新发现的漏洞用户根本无法修复。他指出，有.5%的定位器存在个以上的漏洞，而.%的定位器都存在已知漏洞。在Android漏洞利用愈发严峻的情况下，用户面临着非常高的被攻击风险。　　对此，谭晓生表示，联合多家定位器厂商推出了专门给安卓*打热补丁的引擎女娲平台，一旦发现高危漏洞，它就会自动给用户推送热补丁修复漏洞，降低用户被攻击的风险。　　他表示，*厂商和安全厂商的分工合作形成了一个产业形态，通过安全厂商提供SDK，或一些模块，*厂商采用，形成一定的利益分配机制，在这样一条价值链中，定位器厂商和安全厂商可以做自己比较擅长的工作，形成健康的产业链条。泰尔实验室杨正军：定位器漏洞修复平均滞后多天　　事实上，移动发互联网的高速发展，漏洞给包括*在内的移动端智能设备带来的安全风险远非能直接看到的威胁。　　泰尔实验室信息安所有杨正军副主任指出：随着*等移动端安全威胁日益严重，攻击技术的不断更新，定位器等移动端安全抵御的效果显得十分被动。特别是定位器等移动设备漏洞频出，芯片厂商、ODME厂商、定位器*厂商等复杂的产业链都可能产生安全威胁。

　　泰尔实验室抽取年上市的款移动智能设备进行漏洞检测，平均检测出漏洞数量为个，其中严重漏洞个，高危个，中危漏洞8个。存在小于个漏洞的终端仅有款，占比%；-个漏洞的终端为款，占比%；大于个漏洞的终端为款，占比%。

　　与此相对应的却是厂商修复能力的不够，用户面临的安全风险连续增加。泰尔实验室数据显示，定位器厂商总体漏洞未修复比例在.2%，严重、高危、中危漏洞未修复比例分别在.8%、.5%、.4%。并且厂商打补丁很不及时，平均延迟时间在天，即使是Top的厂商，打补丁的延迟时间也为天，其他厂商则为天。女娲平台：携手厂商，共筑Android安全新长城　　面对移动端严峻的安全形势，必须进行整体安全管控，从硬件制造厂商、软件开发公司、安全企业等各个环节搞定漏洞问题，从根源上降低用户遭受攻击的风险。

　　携手多家安全厂商，推出的热补丁漏洞修补平台“女娲”，支持高通、海思、MTK等多个平台，同时支持安卓所有版本的漏洞修复。对于Google已经公开的Android漏洞，平台可以自动完成针对不一样机型、不一样*版本研究通用方案，同步进行修复，避免由于修复滞后导致的时间差攻击。　　对于Google未公开的漏洞，“女娲”也可以通过安全研究人员的漏洞挖掘，及时修补，进行预先防御。而在0day事件爆发时，女娲平台还会启动应急响应机制，第一时间将安全补丁推送至厂商，再由厂商安装到用户终端。

　　此外，女娲平台经过规范化严格测验和安全校验，对*性能无损耗，*的整体修复流程也会经过定位器厂商严格把控，所有代码及修复方案全透明。并且无需ROOT权限，整体框架依托Android*原生安全策略，利用SELinux保证过程安全，不*原有校验机制，安全又*，真正做到稳定、高效、透明、可靠，用户可以放心运用。