日前,谷歌发布5月份的安全公告,宣布这一轮修复的漏洞,包括本地提权、远程代码执行和蓝牙协议等方面的高危漏洞,并提供相应的补丁。在本次公告中,包括360 OS产品安全评估团队360Vulpecker Team和IceSword Lab在内的名字被5次提及,表达了谷歌对这几支团队的敬意。鉴于目前谷歌产品在普通用户的日常生活中被普遍使用,占有较大市场的Android系统自然成了黑客攻击的目标,这就意味着Android系统的安全性成为全球关注的焦点,其中尤以手机安全为最。
系统漏洞会带来什么?
漏洞的危害很大,黑客会利用漏洞植入木马,窃取电脑中的资料信息甚至账户密码,给普通用户的个人隐私和财产安全带来极大的隐患。而一些使用谷歌软件办公的企业甚至会因为漏洞被黑客入侵导致商业机密泄露,引发更大网络灾难。
目前,大多数木马利用的Android漏洞主要集中在两个点上:“代码执行”和“提权”。有了这两个点,黑客可以轻松地操控远端服务器下发指令,实现用户本地手机上的代码执行,从而达到让木马侵入的目的。这次谷歌报告提及的漏洞就包括本地提权和远程代码执行。
普通用户应如何避免为漏洞所累?
为了及时修补漏洞,避免给黑客可乘之机,目前谷歌每个月都会发布安全报告并给出相应的补丁让用户及时更新。同样,为了确保用户用机安全,国内一些手机厂商也会实时地在自己的手机OS中提供这些补丁,普通用户如果能在第一时间更新系统,可以在很大程度上阻止黑客、木马和病毒入侵。
比如此次谷歌在公告中提到的360Vulpecker Team 团队,他们的工作是负责360手机及360 OS的安全性评估。
360 Vulpecker Team称,针对谷歌发布的漏洞通知,360 OS已经在同步修复,用户在修复完毕后,可以放心使用360手机。同时该团队表示:近期被发现的安全漏洞和危险程度首先会在360 OS公告里公示,同时会提供最新的漏洞补丁供用户下载更新。除了同步谷歌官方补丁外,360 OS漏洞技术团队还会对最新的漏洞时行分析,360 OS的补丁包含了谷歌不提供而需要手机厂商自行修补的补丁——例如某些特定型号硬件的驱动修复。去年Android平台的核心组成部分Stagefright中发现了多处危急漏洞。这些都会在360 OS安全补丁公告中进行公示。
漏洞之外,用户在用机过程还容易受到哪些侵害?
实际上,系统漏洞只是造成用户损害的一条重要途径,除此之外,用户在用机过程中还可能因为防范意识不强而引起一些“主动”侵害,比如,用户很容易通过安装一些看上去极具诱惑力的APP,将木马引进自己的家门。
对此,业内人士表示:用户一定要在APP官方网站或手机中的应用商城中下载手机应用,而不要去陌生网站下载。此外,为确保个人隐私和财产安全,应在手机中安装360手机卫士等防护软件。
目前,为了确保用户隐私和财产,一些手机厂商已在安全性方面做出有益尝试。比如与360同系一门的360手机,就秉承了360安全的特点,在手机中内置了“财产隔离系统”和“隐私安全”两大功能。其中前者可以在用户进行网银支付时切断一切无关APP和木马的侵扰,而后者提供了一个高级模式,可以隐藏桌面上的“隐私空间”图标,用户需要时,必须凭指纹或在拨号盘中输入正确的密码才能调出。