为了实现与互联网的融合,家电采用Android的步伐正在不断加快。对于开发家电设备的厂商而言,索尼的信息泄露事件是一个反面教师。企业不仅要探索与黑客和平共处的道路,还要为系统配备多重防御功能。
电视、车载导航仪、电子书……目前,各种家电都在不断采用开放式嵌入软件开发平台。其中,备受关注的是Android。其原因是,“只要打算比以往更加强化与互联网服务的联动功能,自然会将Android作为选项之一”(日本嵌入系统开发商Eflow开发本部统括部长金山二郎)。
对于打算为家电配备Android的厂商而言,“PlayStation Network(PSN)”及“Qriocity”遭受的非法攻击事件并非事不关己。这是因为家电采用Android之后,可以实现“与互联网服务的紧密联动”以及“通过安装应用软件(以下称应用)来追加新服务的环境”,这些均与PlayStaiton 3(PS3)相同。所以即使发生索尼相同的情况也不足为奇,包括DRM机制被暴露无遗,或与服务器的通信方法及密码被泄露,导致服务器遭到非法访问等。
要防止此类事件发生,需要吸取索尼信息泄露事件的教训。也就是说,关键在于避免重复索尼犯过的错误,包括“以整个黑客社区为敌”,以及“安全方面完全依赖于PS3的机制”(图1)。反过来说,如果今后采取两手行动,即“与黑客社区建立协调的关系”以及“无论安全机制多么强大,也都做好迟早会被攻破的准备,采取多重安全措施”,那么就很有可能避免发生关系到公司存亡的事件。 目标是与黑客和平共处
第一个要点是避免与黑客对立,要做到这一点,必须了解黑客的想法,摸索出与之和平共处的方法。
索尼对黑客始终采取“PS3是我们为提供服务而销售的产品,当然应由我们控制”的态度。但是,PS3用户中有不少人则认为“如何使用自己花钱购买的商品是个人的自由”。索尼在不了解与用户思维差异的情况下采取了强硬手段,导致事态发展到了双方观念对立的地步。
要避免事情发展到观念对立的程度,关键在于厂商的相关人员要定期与黑客社区对话,在一定程度上尊重对方的意见,并在此基础上开发产品。“网络入侵是一种特殊才能,并不是任何人都能掌握。需要尽早发现这种才能,尽量将具备这种能力的人拉进自己的阵营,以防其采取出格的行动”(日本青山学院大学研究员山根信二)。
采取多重防御措施
另一个要点是“多重防御”,在以受到攻击为前提而进行防御时,这种思维方式十分重要。具体做法是,即便第一道屏障被攻破,也要准备第2道乃至第3道屏障,以防遭到决定性破坏。
在开发采用Android的家电时,这种思维尤为重要。其原因是,采用开放式平台,“任何人都可以可轻松获取设计信息并构建调试环境,网络入侵也会更加容易”(Eflow的金山)(图2)。
图2:开发环境从黑箱转向开放
采用开放式开发环境时,硬件及软件开发会简化,但遭到网络攻击的风险也会提高。 其实,先于家电商采用Android平台的手机制造商在介绍Android手机的不同时表示,“传统手机可以通过产品与软件安装的自主性确保安全,而配备Android的智能手机因OS的信用问题,不得不考虑安全保障问题”(NTT DoCoMo智能通信服务部安全推进担当部长柳泽隆治)。
防止管理员权限被剥夺
那么,采用Android时必须考虑哪些问题呢?
最初应该考虑的是,防止管理员权限被剥夺,以免设备驱动程序及OS的程序库等系统文件遭到篡改。如果系统文件被篡改的话,便会以此为起点使得系统遭到破解(图3)。
图3:管理员权限被夺取时的问题点
在内部进行交换的绝大部分数据都有可能被盗取。而且,还可能会嵌入非法应用。加密文件等也会被打开。 虽然以上这些都是嵌入设备曾经考虑过的攻击,但以往的产品除了平台本身黑箱化之外,还有很多防止从外部追加应用的限制,所以不易成为攻击对象。而Android的文件构成是被公开的,可随意追加应用,因此容易进行攻击。
Android只给用户提供了用户权限,本来是无法更改系统文件的。但如果Linux的内核、程序库及驱动程序等存在可将用户权限提高至管理员权限的“升级(Escalation)”漏洞的话,那就需要另当别论了。只要编写用来攻击该漏洞的应用,并在Android上运行,便可夺取管理员权限。
解决这一问题的方法是,发现漏洞时及时用补丁堵上。但这并不是一件简单的事情。这是因为Android的源码被提供给厂商,安装工作由厂商完成。漏洞信息的收集以及安装补丁后的运行验证等工作也必须由厂商自行完成。
有一组数据可以清楚地揭示这项工作的困难程度。这就是日本信息处理推进机构(IPA)2011年6月公开的“智能手机面临的威胁及对策”报告。该报告对利用Linux内核等的漏洞夺取管理员权限的恶意软件“Droid Dream”是否已经感染了投放市场的智能手机进行了调查。Droid Dream可利用两个漏洞。尽管这两个漏洞已分别于2009年4月及2010年8月公开,但截至2011年3月,调查的14款手机中尚有11款没有设置完善的对策(表1)。
表1:IPA调查的“Droid Dream”应对情况
Droid Dream可利用Linux内核与Android构件两种漏洞之一夺取管理员权限,该表将堵住其中一项漏洞的机型标记为“部分应对”。 就连由安全意识较高的企业生产的智能手机也是如此。其他家电设备采用Android的话,能否及时提供补丁还存在疑问。家电需要采用的机制是,漏洞遭到攻击时要防止管理员权限被剥夺,或者管理员权限被剥夺时要防止安全上的重要部分被破解。
Java可轻松进行反汇编
除了要防止管理员权限被剥夺之外,还有其他问题需要注意。那就是程序文件或设置文件被破解,遭到非法复制,或者关系到服务根基的重要算法及数据被发现。
这种问题已在智能手机上越来越严重。日本开发商编写的游戏应用被随意翻译成汉语销售,更糟糕的是,还被植入恶意软件并发放给用户(图4)。
图4:在应用中嵌入恶意软件的方法
通过Android应用商店购买正规应用,通过反汇编植入恶意代码。 上面介绍的Droid Dream也是采用这种方法制作出来的恶意软件。Android网上商店销售的应用被随意更改,并植入了可夺取管理员权限并盗取用户个人信息的程序。
熟悉软件非法复制情况的专家表示,“尽管Android一般以Java编写内容,但通过反汇编进行篡改,然后再次进行数据包处理也是十分简单的事情”(日本HyperTech代表董事小川秀明)。也就是说,如果不做好程序被破解的准备而采取措施的话,任何企业都存在陷入危机的可能性。
更改系统也没有效果
有些厂商采取的措施是在采用Android等开放性软件平台的同时,通过限制功能,来保护程序或信息免受网络入侵。不过,安全专家警告称,“不应采取这种方法”(日本LAC董事兼最高技术负责人西本逸郎)。
如果采用了开放性平台,又打算将其“封闭”起来的话,反而会激发黑客“希望自由使用”的愿望。而且,“既然原本是开放性系统,那么很容易推测出内部构造来,封闭的效果有限”(西本)。
以美国最大的连锁书店巴诺(Barnes&Noble)2010年11月上市的电子书“NOOK Color”为例,该产品虽采用了Android 2.2平台,但可使用的应用只有巴诺预装的应用,以及由该公司运营的网上商店提供的应用。NOOK Color上市后的第二个月,就出现了可改写NOOK Color系统并随意使用应用的工具(图5)。
图5:封闭了的Android也会被Root化
虽然巴诺公司的电子书“NOOK”以Android为基础,但应用商店只备该公司自主开发的应用,用户不能随意安装应用(a)。但已有第三方开始发放任何人都能进行Root化并随意安装应用的工具(b)。 所以既然打算采用开放系统,就必须做好被黑客使用各种手段破解的心理准备。(记者:中道 理、浅川 直辉) (end)
|