热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

Android安卓的CVE(共漏洞和暴露)

在刚刚过去的一月份,与往年相同,媒体们又在忙着报导过去一年的漏洞统计。同样,CVEDetails的小伙伴们也精心准备了基于CVE(CommonVulnerabiliti

在刚刚过去的一月份,与往年相同,媒体们又在忙着报导过去一年的漏洞统计。同样,CVE
Details的小伙伴们也精心准备了基于CVE(Common Vulnerabilities &
Exposures,公共漏洞和暴露)统计的大把夸张数据。媒体朋友们也照例频频赏光咬饵,发布的都是诸如“安卓当选2016漏洞之王”一类吸引眼球的头条。

尽管每年都会看到类似的文章标题,但是我们也会在思考着一个问题,就是安卓和苹果之间,到底谁更安全,其实这些统计数字几乎毫无意义,也没能就不同产品间的安全性做出任何比较。

Steve Cristey和Brian Martin在2013年Black Hat大会上的讲话“Buying into the Bias: Why Vulnerability Statistics Suck”点击观看



数据来源有限的CVE统计
??我们可以这样认为:漏洞统计为产品安全提供了最直观的指示。但同时我们也应该意识到:从来就没有,将来也不会存在一个真正意义上既综合又完整的安全漏洞索引。CVE或其他漏洞数据库只能记录他们所知的漏洞,通常这些资料来自于厂商报告或由安全研究者提交。
??遗憾的是,许多安全研究者往往并不会把他们发现的漏洞一个不剩地提交;厂商对于将漏洞公之于众这种事也是习惯能躲就躲。(这种做法在学界有个称呼:Publicatioin Bias——发表偏倚)。而那些未被发现的漏洞,和已确认但易受黑客恶意攻击的漏洞,在公布之前都不会被列入任何漏洞统计。这导致了某些厂商和软件的漏洞统计数量虚高,这些厂商通常更愿意披露软件的漏洞细节——比如说谷歌和Android。
当CVE涉及产品面过宽时
??同时,当一个漏洞影响产品数量众多时,CVE——尤其是CVE Details——对于漏洞的统计实际上不够科学。之所以这么说,与一条CVE究竟如何命名,以及MITRE和CVE Details所掌握的有限资源是相关的。比如,不同产品可能会共享组件或代码库,但是CVE Details却并不总是能把一个漏洞关联到使用了问题代码的全部产品上。
??就拿WebKit来说,我们经常会发现在审查Chrome时发现的漏洞(当Chrome还在使用Webkit时)也会影响到Safari浏览器,CVE Details很少会把这样的漏洞条目也关联到Safari上。比如说CVE-2013-0912(点击查看)——苹果提供的报告已经关联到该CVE条目,但CVE Details却并没有把这个CVE绑定到任何版本的Safari上。这样一来,2013年Chrome漏洞统计数上去了一个, Safari漏洞统计数却差了一个。
??再举个例子:有些东西,像OpenSSL和Linux内核使用得非常广泛,一旦这两者存在漏洞,则波及的产品也将非常广泛——但实际情况是要将所有受影响的产品列举出来是不现实的。那么现实又是如何呢?目前的做法一般是把上报的漏洞跟最先发现存在此漏洞的产品关联起来。
忙不过来的MITRE
??CVE的另一个问题在近几年尤为突出:MITRE有些处理不过来海量的漏洞提交——详情可回顾CVE命名申请遭大量延误(点击查看)和CVE-assign邮件地址的最终停用(点击查看)。而且要让CVE条目最终公布,必须满足某些条件,比如你得提交相关报告的URL或者发布关于此漏洞的博客文章。
??针对不同漏洞报告,MITRE花费的反应时间也各不相同。有些几小时内就会处理好,有些则要花上几周甚至几个月——前提是MITRE理你的话。而且他们针对不同漏洞投入的时间,似乎与漏洞严重程度或软件流行程度也没什么关系。笔者曾在2015年末提交过一票CVE漏洞,但由于积卷如山,这些漏洞没有得到任何反馈。而且笔者提交的CVE条目,有上百个从未被MITRE公布——厂商还没有公开承认这些漏洞,笔者表示也没有时间把每一条漏洞都在博客里详细阐明。
??这些因素加在一起构成了对处理安全问题认真负责的厂商的抽样偏差,也导致那些开源和有漏洞奖励计划的产品,在CVE-Details中的漏洞数量无端膨胀。


中枪的Android
??开源就意味着运用数据分析和Fuzzing工具(如American Fuzzy Lop)审查安全漏洞变得格外简单。(这就要谈到选择偏见了,安全工作者更倾向于研究开源软件或具有金钱激励的产品)这使得开源软件天生就在安全问题上显得更加透明,因为更改代码通常是有据可查的,而且研究者也没有那么多的法律顾虑。
??Bug赏金也扮演着重要角色,不仅是因为这使得研究者有仔细检查产品,挖掘更多漏洞的动机,也是因为通用平台上存在的漏洞往往会与第一个曝出此问题的产品关联起来。
这些因素加起来,使得大众可能对像Android这样一个开源,拥有bug赏金项目的系统产生了极度不靠谱的印象。此外,由于Android开源的本质,有许多手机厂商生产了各种定制程序来支持某些特定硬件或提供某些全新功能。这些程序甚至都不一定包含在安卓官方的开源计划中,但其中的漏洞却仍然被算到CVE Details里Android系统的统计数据中去。
??比如,三星Galaxy系列智能手机曾被曝出自家代码的一系列漏洞,这些漏洞最终都被归结为Android系统的问题。但事实上它们除了Galaxy手机之外没有影响到任何安卓设备。与此类似,有些Android系统中同样可被利用的Linux内核漏洞(如CVE-2016-7917),也被CVE Details归类到Linux内核问题而不是Android或其他任何Linux问题。
??技术分享


思考
??假设有两个相当复杂的软件包,有没有一种方法能够科学地比较两者哪个安全性更高?有没有一种方法能令人信服地衡量系统的安全程度?

结论:信息安全通常被看做是计算机科学的一个分支,但信息安全在实操中缺少基本的科学论证方法。



推荐阅读
  • 本文内容为asp.net微信公众平台开发的目录汇总,包括数据库设计、多层架构框架搭建和入口实现、微信消息封装及反射赋值、关注事件、用户记录、回复文本消息、图文消息、服务搭建(接入)、自定义菜单等。同时提供了示例代码和相关的后台管理功能。内容涵盖了多个方面,适合综合运用。 ... [详细]
  • 基于layUI的图片上传前预览功能的2种实现方式
    本文介绍了基于layUI的图片上传前预览功能的两种实现方式:一种是使用blob+FileReader,另一种是使用layUI自带的参数。通过选择文件后点击文件名,在页面中间弹窗内预览图片。其中,layUI自带的参数实现了图片预览功能。该功能依赖于layUI的上传模块,并使用了blob和FileReader来读取本地文件并获取图像的base64编码。点击文件名时会执行See()函数。摘要长度为169字。 ... [详细]
  • HDU 2372 El Dorado(DP)的最长上升子序列长度求解方法
    本文介绍了解决HDU 2372 El Dorado问题的一种动态规划方法,通过循环k的方式求解最长上升子序列的长度。具体实现过程包括初始化dp数组、读取数列、计算最长上升子序列长度等步骤。 ... [详细]
  • 本文讨论了Alink回归预测的不完善问题,指出目前主要针对Python做案例,对其他语言支持不足。同时介绍了pom.xml文件的基本结构和使用方法,以及Maven的相关知识。最后,对Alink回归预测的未来发展提出了期待。 ... [详细]
  • 本文讨论了如何优化解决hdu 1003 java题目的动态规划方法,通过分析加法规则和最大和的性质,提出了一种优化的思路。具体方法是,当从1加到n为负时,即sum(1,n)sum(n,s),可以继续加法计算。同时,还考虑了两种特殊情况:都是负数的情况和有0的情况。最后,通过使用Scanner类来获取输入数据。 ... [详细]
  • 本文介绍了OC学习笔记中的@property和@synthesize,包括属性的定义和合成的使用方法。通过示例代码详细讲解了@property和@synthesize的作用和用法。 ... [详细]
  • Mac OS 升级到11.2.2 Eclipse打不开了,报错Failed to create the Java Virtual Machine
    本文介绍了在Mac OS升级到11.2.2版本后,使用Eclipse打开时出现报错Failed to create the Java Virtual Machine的问题,并提供了解决方法。 ... [详细]
  • 本文讲述了作者通过点火测试男友的性格和承受能力,以考验婚姻问题。作者故意不安慰男友并再次点火,观察他的反应。这个行为是善意的玩人,旨在了解男友的性格和避免婚姻问题。 ... [详细]
  • 本文详细介绍了Linux中进程控制块PCBtask_struct结构体的结构和作用,包括进程状态、进程号、待处理信号、进程地址空间、调度标志、锁深度、基本时间片、调度策略以及内存管理信息等方面的内容。阅读本文可以更加深入地了解Linux进程管理的原理和机制。 ... [详细]
  • 1,关于死锁的理解死锁,我们可以简单的理解为是两个线程同时使用同一资源,两个线程又得不到相应的资源而造成永无相互等待的情况。 2,模拟死锁背景介绍:我们创建一个朋友 ... [详细]
  • 《数据结构》学习笔记3——串匹配算法性能评估
    本文主要讨论串匹配算法的性能评估,包括模式匹配、字符种类数量、算法复杂度等内容。通过借助C++中的头文件和库,可以实现对串的匹配操作。其中蛮力算法的复杂度为O(m*n),通过随机取出长度为m的子串作为模式P,在文本T中进行匹配,统计平均复杂度。对于成功和失败的匹配分别进行测试,分析其平均复杂度。详情请参考相关学习资源。 ... [详细]
  • 动态规划算法的基本步骤及最长递增子序列问题详解
    本文详细介绍了动态规划算法的基本步骤,包括划分阶段、选择状态、决策和状态转移方程,并以最长递增子序列问题为例进行了详细解析。动态规划算法的有效性依赖于问题本身所具有的最优子结构性质和子问题重叠性质。通过将子问题的解保存在一个表中,在以后尽可能多地利用这些子问题的解,从而提高算法的效率。 ... [详细]
  • Java验证码——kaptcha的使用配置及样式
    本文介绍了如何使用kaptcha库来实现Java验证码的配置和样式设置,包括pom.xml的依赖配置和web.xml中servlet的配置。 ... [详细]
  • 本文介绍了lua语言中闭包的特性及其在模式匹配、日期处理、编译和模块化等方面的应用。lua中的闭包是严格遵循词法定界的第一类值,函数可以作为变量自由传递,也可以作为参数传递给其他函数。这些特性使得lua语言具有极大的灵活性,为程序开发带来了便利。 ... [详细]
  • 本文介绍了在Linux下安装Perl的步骤,并提供了一个简单的Perl程序示例。同时,还展示了运行该程序的结果。 ... [详细]
author-avatar
05358
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有