压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

當地時間8月16-18日，全球四大頂級安全學術會議之一的USENIX?Security會議在加拿大溫哥華召開，來自全球的信息安全研究學者和安全專家展示和討論了關于多個領域的熱點話題和技術的最新成果。百度安全實驗室受邀在會上發表論文和演講，分享了OASES自適應安卓安全解決方案。據了解，這不但是百度再次成功入選全球頂級學術會議，同時也標志著在全球四大頂級安全學術會議上，百度安全成為迄今為止唯一一個實現背靠背“大滿貫”的中國公司，安全研究與行業實踐都處于全球一流的領先位置。

嚴重的碎片化導致安卓系統“漏洞百出”

關于安卓系統的安全性詬病已久。根據谷歌公布的8月份安卓市場份額報告，盡管5.0版本在2014年11月就已經發布了，但現在仍有超過32%的設備在使用5.0或以下版本，而更新到7.0及以上的只有13.5%。可見安卓更新遲緩、漏洞修復嚴重滯后的問題非常嚴重。

此外，世面上已有逾千種安卓設備品牌、超過兩萬多設備型號。在如此嚴重的碎片化生態里，傳統的漏洞修復、系統升級手段開銷極大、困難重重。再加上一些設備廠商和系統方案商缺乏安全技術、沒有能力升級和修復漏洞，導致安卓生態一直是“千瘡百孔”的狀態。不少漏洞補丁發布了一到兩年之后，仍然還有大量設備沒有完成升級。

“漏洞百出”的后果顯而易見，一旦系統漏洞被黑客利用，就等于給手機和應用來了個釜底抽薪，APP的安全防護做得再好，也會因為Linux Kernel被入侵，而隨著整個系統一起“淪陷”。

現有熱修復方案缺陷明顯

要解決安卓系統漏洞的頑疾，必須要滿足三個條件：一是自適應性，針對不同版本實現漏洞的熱修復；二是安全性，既要修復安卓漏洞，修復方案還要容易審計，確保方案本身是安全的；三是快速修復，漏洞公布之后能夠短期內迅速得到修復，避免被黑客利用。

鑒于市面上已經有上千種安卓設備品牌、超過兩萬多設備型號，這幾乎是不可能完成的事情！

事實上，安全業界一直嘗試解決這個問題，比如kpatch/kGraft/Ksplice/KUP等傳統的內核熱修復方案，都是在Kernel層修改二進制代碼，以達到維護系統安全的目的，但是它們都或多或少存在各種問題，比如：

第一，這些傳統的修復方案都依賴于內核源碼，而設備廠商很難及時開放全部設備的內核源碼，這讓其他安全廠商無法根據設備的不同，及時更新漏洞修復方案；

第二，傳統修復方案的做法是，對每個設備的每一個版本的內核都生成相應的改寫補丁，所以并沒有實現真正的“自適應”，也因此帶來了巨大的工作量。而且，如果出現惡意補丁或補丁作者一旦出錯，會導致整個系統崩潰。

系統漏洞頻發，修復方案不給力，導致安卓系統“不安全”的標簽一直難以撕掉。

OASES五大策略實現100%漏洞修復

去年，百度安全針對安卓系統的這個“頑疾”，推出了OASES方案，它能支持目前市面上所有主流的安卓設備，可以100%修復所有漏洞，并且實現93.4%的自適應熱修復。

一項幾乎不可能完成的任務，百度安全是如何做到的呢？在這次的USENIX Security安全大會上，來自百度安全實驗室研究員詳解了OASES的五大策略：

第一，為了解決系統層漏洞，最大限度提升方案的自適應性，OASES方案從邏輯層對攻擊進行阻斷，而不是完全依靠改寫二進制指令，因此擺脫了底層編譯差異帶來的適配問題，這就大大提高了方案的適應性，減少了安全人員寫修復方案的工作量。

第二，為了防止惡意補丁，防止補丁開發者失誤導致系統崩潰，OASES方案支持使用內存安全語言來編寫安全補丁，從而可以對補丁進行嚴格的安全限制和審查，確保每個漏洞修復方案的安全性和可用性。

第三，安卓版本眾多， OASES方案對待修補的內核做了語義聚類，語義一樣的漏洞函數可以施加同樣的修復，并不是只有二進制一致才施加修復。這就進一步提高了自適應性和安全性。

第四，OASES方案整體設計了修復分級策略。修復可以發生在漏洞函數的上級調用處（包括系統調用入口）、漏洞函數入口或返回處、漏洞函數所調子函數入口或返回處。因此進一步提高了整體方案的自適應性。

第五，生態共建的安全方案。百度安全還聯合設備廠商、安全廠商以及各個高校科研單位組成OASES安全生態聯盟，以開放、聯合、協作的模式去合力修復漏洞，打擊黑產。開放帶來行業整體的提升，為此，OASES將全部代碼開放給聯盟，提供了一個開放透明的解決方案。

通過這五方面的策略，安卓用戶們不必重啟系統就能實現漏洞的快速、大批量修復，保證了終端用戶的系統安全，不被惡意入侵或者被root。百度安全表示，OASES已經在1100多個不同安卓系統版本進行了系統化驗證測試，可以做到支持目前市場上絕大多數安卓設備，同時還適用于傳統桌面、服務器Linux的修復等。它可以支持100%的漏洞修復，其中93.4%可以自適應修復，并且對性能幾乎沒有影響，不影響用戶體驗。

開放透明與生態共建

OASES方案在USENIX大會得到與會嘉賓的高度認可。而在此之前，百度安全就已經連續亮相“BIG4”的其他三個頂級會議： CCS2016上的TaintART安卓安全分析，NDSS 2017上的偽基站識別技術，和S&P2017上的黑產詞自動挖掘以及惡意SEO的研究。在平均論文錄取率不到20%的四大頂級安全峰會上，百度安全展露崢嶸，可見其安全研究和技術水平的領先性。

百度首席安全科學家、安全實驗室負責人韋韜告訴記者：“百度在打擊黑產、移動安全、IOT安全以及AI安全的領域進行持續的投入，同時積極和學術界優秀團隊合作，已經有很多優秀的成果產出。我們會逐漸將在四大會議上展示的研究成果與更多生態伙伴共享，共同推動網絡安全建設?！?/p>