谷歌seo利基站_百度安然开放透明的OASES筹划支持100安卓马脚修复

文章目录 [+]

严重的碎片化导致安卓系统“漏洞百出”

关于安卓系统的安全性诟病已久。
根据谷歌公布的8月份安卓市场份额报告，只管5.0版本在2014年11月就已经发布了，但现在仍有超过32%的设备在利用5.0或以下版本，而更新到7.0及以上的只有13.5%。
可见安卓更新迟缓、漏洞修复严重滞后的问题非常严重。

谷歌seo利基站_百度安然开放透明的OASES筹划支持100安卓马脚修复谷歌seo利基站_百度安然开放透明的OASES筹划支持100安卓马脚修复百度SEO

此外，世面上已有逾千种安卓设备品牌、超过两万多设备型号。
在如此严重的碎片化生态里，传统的漏洞修复、系统升级手段开销极大、困难重重。
再加上一些设备厂商和系统方案商缺少安全技能、没有能力升级和修复漏洞，导致安卓生态一贯是“千疮百孔”的状态。
不少漏洞补丁发布了一到两年之后，仍旧还有大量设备没有完成升级。

（图片来自网络侵删）

“漏洞百出”的后果显而易见，一旦系统漏洞被黑客利用，就即是给手机和运用来了个釜底抽薪，APP的安全防护做得再好，也会由于Linux Kernel被入侵，而随着全体系统一起“沦陷”。

现有热修复方案毛病明显

要办理安卓系统漏洞的顽疾，必须要知足三个条件：一是自适应性，针对不同版本实现漏洞的热修复；二是安全性，既要修复安卓漏洞，修复方案还要随意马虎审计，确保方案本身是安全的；三是快速修复，漏洞公布之后能够短期内迅速得到修复，避免被黑客利用。

鉴于市情上已经有上千种安卓设备品牌、超过两万多设备型号，这险些是不可能完成的事情！

事实上，安全业界一贯考试测验办理这个问题，比如kpatch/kGraft/Ksplice/KUP等传统的内核热修复方案，都是在Kernel层修正二进制代码，以达到掩护系统安全的目的，但是它们都或多或少存在各种问题，比如：

第一，这些传统的修复方案都依赖于内核源码，而设备厂商很难及时开放全部设备的内核源码，这让其他安全厂商无法根据设备的不同，及时更新漏洞修复方案；

第二，传统修复方案的做法是，对每个设备的每一个版本的内核都天生相应的改写补丁，以是并没有实现真正的“自适应”，也因此带来了巨大的事情量。
而且，如果涌现恶意补丁或补丁作者一旦出错，会导致全体系统崩溃。

系统漏洞频发，修复方案不给力，导致安卓系统“不屈安”的标签一贯难以撕掉。

OASES五大策略实现100%漏洞修复

去年，百度安全针对安卓系统的这个“顽疾”，推出了OASES方案，它能支持目前市情上所有主流的安卓设备，可以100%修复所有漏洞，并且实现93.4%的自适应热修复。

一项险些不可能完成的任务，百度安全是如何做到的呢？在这次的USENIX Security安全大会上，来自百度安全实验室研究员详解了OASES的五大策略：

第一，为理解决系统层漏洞，最大限度提升方案的自适应性，OASES方案从逻辑层对攻击进行阻断，而不是完备依赖改写二进制指令，因此摆脱了底层编译差异带来的适配问题，这就大大提高了方案的适应性，减少了安全职员写修复方案的事情量。

第二，为了防止恶意补丁，防止补丁开拓者失落误导致系统崩溃，OASES方案支持利用内存安全措辞来编写安全补丁，从而可以对补丁进行严格的安全限定和审查，确保每个漏洞修复方案的安全性和可用性。

第三，安卓版本浩瀚， OASES方案对待修补的内核做了语义聚类，语义一样的漏洞函数可以施加同样的修复，并不是只有二进制同等才施加修复。
这就进一步提高了自适应性和安全性。

第四，OASES方案整体设计了修复分级策略。
修复可以发生在漏洞函数的上级调用处(包括系统调用入口)、漏洞函数入口或返回处、漏洞函数所调子函数入口或返回处。
因此进一步提高了整体方案的自适应性。

第五，生态共建的安全方案。
百度安全还联合设备厂商、安全厂商以及各个高校科研单位组成OASES安全生态同盟，以开放、联合、协作的模式去协力修复漏洞，打击黑产。
开放带来行业整体的提升，为此，OASES将全部代码开放给同盟，供应了一个开放透明的办理方案。

通过这五方面的策略，安卓用户们不必重启系统就能实现漏洞的快速、大批量修复，担保了终端用户的系统安全，不被恶意入侵或者被root。
百度安全表示，OASES已经在1100多个不同安卓系统版本进行了系统化验证测试，可以做到支持目前市场上绝大多数安卓设备，同时还适用于传统桌面、做事器Linux的修复等。
它可以支持100%的漏洞修复，个中93.4%可以自适应修复，并且对性能险些没有影响，不影响用户体验。

开放透明与生态共建

OASES方案在USENIX大会得到与会高朋的高度认可。
而在此之前，百度安全就已经连续亮相“BIG4”的其他三个顶级会议： CCS2016上的TaintART安卓安全剖析，NDSS 2017上的伪基站识别技能，和S&P2017上的黑产词自动挖掘以及恶意SEO的研究。
在均匀论文录取率不到20%的四大顶级安全峰会上，百度安全展露峥嵘，可见其安全研究和技能水平的领先性。

百度首席安全科学家、安全实验室卖力人韦韬见告：“百度在打击黑产、移动安全、IOT安全以及AI安全的领域进行持续的投入，同时积极和学术界精良团队互助，已经有很多精良的成果产出。
我们会逐渐将在四大会议上展示的研究成果与更多生态伙伴共享，共同推动网络安全培植。
”