Black Hat USA 2023全球顶级峰会于近日(美国当地时间8月10日)在拉斯维加斯落下帷幕,阿里云 Android 系统安全研究成果亮相大会演讲,与来自全球的数万名安全研究人员一起,共论前沿安全领域的技术成果。
阿里云资深移动安全研究员王勇,从GPU安全特性入手,整合多年来研究成果分享移动安全领域,尤其是Android平台的风险现状与演进趋势,剖析了安全开发和数据隐私对移动安全的重要价值。
扫描二维码获取PPT《让 KSMA 再次伟大:通过 GPU MMU 特性获取 Android 设备 Root 权限的艺术》
看!GPU内核上有颗致命的钉子
"是的,MMU硬件特性,对于攻击者来说,就像墙上楔着一颗致命的钉子。"
获取 Root 权限对于每一个 Android 平台研究者来说都不陌生,被 Root 意味着所有存储在手机的数据都将被攻击者获取,进而引发隐私信息泄漏、敏感数据外泄和持续监控,更有甚者可能是间谍行为和企业拖库攻击的前置风险。
然而近年来,随着Android平台上越来越完整的硬件和软件缓解措施,Root 最新版 Android 13 所需要的漏洞变得难以发现,利用技术也变得更加先进。
王勇对于移动端GPU内核工作特性的研究始于2020年,在此之前的2016年,从研究分析ARM CPU MMU组件实现原理开始,他首次发现了ARM CPU MMU硬件特性对于安卓平台的风险性。MMU本身是硬件设计中内存管理单元的特有属性,在Android系统的权限获取中,依靠特性来拿权限的案例并不普遍。
"那个时候,国外的一些攻击者通过利用CPU的特性来辅助攻击,这是非常前沿的研究方向。"
在王勇看来,一个可以被轻易利用的硬件内核特性是非常危险的,尤其是对于开源的Linux系统来说,CPU本身需要依赖不可变的MMU特性来管理内存单元,这意味着人人都可以通过开源的代码研究相关特性,一旦掌握了利用方式,由于现有防御机制对其无法缓解,攻击者可以直接达成拿权限的目的。
举例来说
你想把墙打破,手头没有工具,但是墙上有一枚现成的钉子可以利用,很锋利也很坚固,那大家想想看,这面墙是不是就变的很危险了?随时有被打破的风险。
不像软件风险可以通过补丁很容易的修复和更新,硬件相关的特性一旦被攻击者利用,依靠存量的防护手段是没法解决的。从2018年开始,王勇开始不遗余力的向业界科普硬件特性被利用对于Android系统安全的危害性。
“MMU特性只是冰山一角”王勇说,尽管GPU相对来说是个黑盒,但是对于高级攻击者来说,只要有利可图,攻击就不会停止。他希望通过面向硬件安全特性的研究探讨和持续性分享,为移动安全在防御机制和检测手段上敲响警钟——软件和应用层面的安全性固然重要,但硬件层面尤其是GPU的安全特性也同样需要更多关注。
致命的问题!系统二次开发安全性
随着越来越多的智能终端包括手机、TV、SmartBox和IoT、汽车、多媒体设备等等,均深度使用Android系统,Android的安全现状成为了绕不开的话题。
从阿里云连续多年对Android平台的安全监测数据来看,Google官方推出的Android原生系统的安全水位很高,每一代新版本的推出都会整合众多安全防御机制,进而对很多已知漏洞实现免疫。
从攻击成本来看,Android系统与IOS不相上下,用户之所以常常对Android安全性感到担忧,归根结底是在于其生态中大量的深度定制和二次开发过程中引入的安全问题:
手机厂商在系统二次开发时会增加自己的用户界面、UI、新的系统功能、通信信道等,进而引入新的漏洞和风险点;
老旧系统碎片化、不升级问题,尤其存在于iot设备、tv、智能盒子等设备中,因为没有强制的升级措施,安全可控性低;
厂商未及时跟进Android官网的漏洞公告和修复建议,导致已知问题和N-Day漏洞仍然对用户产生影响;
供应链安全问题,上游版本的漏洞没有被及时解决,被设备厂商带病采纳;
很多Android平台的信息泄露问题都是App造成的,在信息收集、传输、保存的过程中,数据保护不到位;
Android 系统现存的主流安全问题与风险点归根结底是机制问题。
实际上,很多生态厂商也在近年间逐步建立了自己的SDL安全开发机制,只不过由于周期尚短,以及缺乏专业攻防人才,机制的完备度还有待提升。
“Google为了自有生态体系安全性而设立的Project Zero团队其实是一个很好的学习典范”,阿里云的研究人员表示,生态厂商也应该多多关注自有生态体系中存在的安全问题,例如:在应用商店发布的应用是否存在安全隐患。而对于深度定制的系统本身,行之有效的方式是在研发、测试、发布前等关键节点引入三方视角的蓝军机制,“专业的攻防研究团队对于GitHub等主流平台上的代码研究非常透彻,他们关注的不仅是产品本身的漏洞,更加能为厂商的SDL机制引入外部漏洞和攻击者视角”,在研究人员看来,知己知彼,方能百战不殆。
数据隐私!技术架构向结果导向转移
从攻防研究的角度看,在Android 12版本之后,官方有一个很明显的安全控制手段设计变化,具体表现是:新发版本中,直接抵御攻击的新增防御机制明显减少了,取而代之的是更完善和更精细化的数据安全管控机制。
这也就意味着,移动安全的研究场景将更多地从攻防对抗向隐私保护、数据可用不可见的方向发展。随着“史上最严”数据保护法GDPR靴子落地,不管是各国的国家治理层面,还是系统层面的数据安全限制技术,都在用户隐私保护的框架下持续投入。
举例来说
以往手机厂商会通过唯一的mac地址来标识用户,进而进行精准广告推送,而最新Android系统的地址脱敏机制则是通过随机发出mac地址的方式来避免广告商对用户的唯一性标识,从而保护用户的个人空间不受垃圾信息过量的侵犯。
未来,随着数据权限最小化机制的不断完善,阿里云建议,Android生态厂商将更多的研发精力投入到诸如App间信息隔离、明示信息收集规则和使用目的、杜绝超范围个人信息收集等机制的设计上来,通过引入更多的可信计算和机密计算技术来提升信息数据使用的透明度,帮助用户在个人数据完整性不受侵犯的背景下,更便捷、高效的享受移动系统平台普及带来的便利。
