BlackHat 专题 | Android 系统的安全性有救了？中国黑客祭出神器

Android 系统很安全。

以上是黑客们眼中最大的笑话。

夸张点说，甚至一个脚本小子都能轻松在网上找到成建制的方案，攻破你的手机防线。造成这种结果的原因，并不是谷歌在系统安全方面不作为，而是大部分存在于人间的 Android 手机，大都成了“迷途的羔羊”。由于系统碎片化、厂商更新流程繁琐，这些手机根本找不到升级之门，只能如孤魂野鬼般徘徊在充斥豺狼虎豹的旷野之中。

百度首席安全科学家韦韬称之为：“生态的安全漏洞”、“Android 系统的白血病”。

难以置信，在顶级黑客聚集的盛会 BlackHat USA 之上，这位黑客连续三年为 Android 系统安全奔走呼号。就在今天，他再一次登上这个全球黑客的最高舞台。这一次，他祭出了一个“神器”。

演讲结束，雷锋网对韦韬进行了专访，让我们听他讲述一下，这个“神器”究竟是什么。

【百度首席安全科学家 X-Lab掌门人 韦韬】

Android 系统的白血病？

雷锋网：

我们的 Android 手机究竟有多么不安全？

韦韬：

在前年的 BlackHat USA 上，我的演讲内容就是定向攻击 Android 手机的诸多方法，我们现场演示了远程无感知攻击Android手机进行现场录像并上传。这里给几个小例子，例如在 Android 5.X 之前，存在一个严重的漏洞，任何 App 都可以拥有阅读手机短信的权限；同样，所有的 App 也都可以获取用户放在剪贴板上的内容。当然这些只是一小部分。大量的基础漏洞至今没有被修复，而用户手机上运行的，大多都是这样的系统。

雷锋网：

如果我们不 Root 手机，是否会更安全一些？

韦韬：

并不是这样。简单来说：用户不 Root 手机，攻击者会帮你 Root。对于绝大多数正在使用的手机来说，地下黑产流传着成熟的 Root 技术。甚至在用户完全没有感知的情况下，静默获取用户的 Root 权限。例如诱导用户下载一个游戏，仅仅通过闪现一个 Banner 条的方式，就能执行攻击代码。

这种不知情的 Root，甚至比用户自己 Root 还可怕。黑客可以在后台获得最高权限，盗取用户的银行账号密码。甚至还有间谍集团盗窃员工手机上的工作密码，盗取手机上的商业会议录音。我讲的这些事情不是假设，而是真实发生过的。

雷锋网：

如此看来，围绕 Android 手机，是否已经形成一条黑色产业？

韦韬：

并不是一条，而是很多条黑色产业交叉在里面。黑产分工的细致已经超出了想象，每个细分产业的产值都在几亿到几十亿之间。可以这么说，安卓的现状对他们来说是乐园，经过长久的等待，现在他们（黑产）已经可以开始收割了。

【韦韬（左）和团队成员张煜龙在 BlackHat 上演讲】

雷锋网：

造成 Android 系统漏洞百出的原因是神马？

韦韬：

原因主要有三个。

产业链条长：从谷歌到用户之间，要经过 Android 系统、手机厂商、运营商、应用开发者、应用开发工具生产者等等，这些环节中，一旦一个出现了问题，就会导致整个系统不安全。

手机碎片化：根据我们的统计，今年上半年，不同的厂家、不同的手机硬件搭配不同的系统版本，使得Andorid 的碎片达到了几十万个，很多手机的设计团队甚至都已经解散，不可能对每种机型提供技术支持。所以没有办法把一个补丁用在不同的设备之上。

安全厂商没有位置：谷歌显然不欢迎安全厂商进入 Android 系统的内核。所有带有 Root 性质的应用一律不允许上架。安全厂商的积极性被严重打击，而谷歌自身却有没有能力保护自己的系统内核，这就造成了现在安卓系统安全的真空。导致很多漏洞在行业里流传，研究人员报告给谷歌的动力不足，黑产就更不会了。

拯救 Android 的神器

雷锋网：

所以你在 BlackHat 上祭出的神器究竟是什么呢？

韦韬：

我们提出并实现了自适应内核热补丁技术。同时开发了一个名为 AdaptKPatch 的工具，专门为系统内核注入补丁。这种工具的优势在于，可以实现对不同手机自适应地打补丁。经过我们对自己掌握的几百台手机的测试，都可以自动为系统打补丁。在整个打补丁的过程中，系统甚至不需要重启，甚至没有卡顿。

【BlackHat 现场，百度 X-Lab 展示“内核热补丁”技术】

雷锋网：

这种热补丁技术是如何实现的呢？

韦韬：

第一步，引擎会收集用户的内核信息和手机软硬件信息，然后根据关键的参数已经安全机制选项给出模板，这些“自适应”的过程在手机之上就可以自动完成。

第二步，引擎会把生成好的补丁注入内核。如果我们和厂家有合作，就可以正常修补；如果没有合作，也可以用 Root 技术进去打补丁。

第三步，打内核热补丁。在打补丁的过程中，会保持系统地流畅。针对没有在调用的参数，可以直接替换，针对正在调用的参数，会进行短暂的暂停。由于 Android 不是“硬实时系统”（完全的实时交互系统），所以用户对这种停顿根本感受不到。

雷锋网：

这个内核热补丁对于所有 Android 机型都通用吗？

韦韬：

我们对身边的几百台手机进行了测试，都能很好地打补丁。但是，我们的手机只是市场上很小的一部分。不排除有些特殊的例子，例如：有些厂商提供了自己特殊的安全机制。还有些收集的 CPU 本身存在 bug，虽然这类手机比例很小。但是我们有六七亿用户，即使是1%的手机有问题，仍然数额很大。所以让安卓系统变得这件事并不是一个人能够做到的。我们需要手机厂家、安全厂商、谷歌、高通和我们相配合。

雷锋网：

对系统内核打补丁，理论上来说有可能形成新的攻击面，如何让谷歌来信任百度呢？

韦韬：

正是因为这个原因，我们今天在全球首次推出了另一个热补丁引擎 LuaKpatch。Lua 是一种非常小巧的脚本语言，它的代码非常简单，可以实现的功能也受限制。但是它的优点是，谷歌或手机生产厂商可以简单地审计代码的安全性。不过，它的缺点是，有些补丁无法通过 Lua 语言修补，还要使用 AdaptKpatch。这两种引擎需要配合使用，才能完整地为系统内核打补丁。

雷锋网：

AdaptKpatch 引擎会出现碎片化的问题吗？

韦韬：

如果我们完全无限制的开放技术，真的有可能造成另一次碎片化的过程。所以我们选择为核心技术申请了几个专利，但是这些专利对于生态合作伙伴是开放的。我们希望通过建立联盟的方式，避免 AdaptKpatch/LuaKpatch再次出现碎片化的问题。

小结

在 BlackHat 现场，韦韬和同事向全世界展示了这个工具。

根据现场的演示视频，原本可以被 Root 工具 Root 的手机，经过 AdaptKPatch 和 LuaKPatch打补丁之后，完全无法 Root。而且，整个的内核升级过程中，手机并没有重启，甚至没有卡顿，完全正常使用。

BlackHat 一直作为安全技术发展趋势的标杆，从这一点上看，饱受“免疫疾病”折磨的 Android 系统，也许会在中国黑客的努力之下，走出泥潭。

雷峰网原创文章，未经授权禁止转载。详情见转载须知。