TK 教主：Android 成为漏洞王？真实漏洞排名可能另有玄机

挖掘机技术哪家强，XXXXXX

这句耳熟能详的广告语放在安全业也是可行的，不过，这是一个让厂商不怎么开心的榜单。最近，

先看看“漏洞排行榜”。

于是，一个可能比较惊悚的标题出现了：Android 成 2016 年报告漏洞最多系统，吓得编辑小李赶紧看了看自己的手机，还好是 iOS（拉仇恨）。

然而，事实真的有这么残酷？为什么安卓的漏洞数量会这么多？安全大牛怎么看？

“黑客教主”TK（TombKeeper）、腾讯玄武实验室创建者于旸对宅客频道分析道：

1.各种靠谱和不靠谱的硬件厂商贡献了“安全性参差不齐”的安卓代码；

2.Android 本身处于快速发展的“青春期”，不像 Windows 系统已经处在成熟、稳定的“中老年”，代码走向成熟是需要时间的；

3.随着移动生态的发展，安卓漏洞研究社区很活跃，有越来越多的人关注Android 漏洞，方法、工具都不断出现和被改良。

2016年，让 TK 印象深刻的有以下几个与 Android 有关的漏洞，再来回顾一下这几个“恶魔”。

1. Linux 内核脏牛漏洞

脏牛漏洞，编号为 CVE-2016-5195，是 Linux 内核运行时出现的竞争条件，允许攻击者实现本地提权。简而言之，攻击者利用脏牛可获得 Linux设备的 root 权限，Android 系统无一幸免。

该漏洞在诞生之初，曾被认为夸大了影响，事实上，脏牛的破坏力似乎已经超出了人们的预期。该漏洞的作者甚至为脏牛漏洞申请了独立的网站、推特账号、github账号，并找人专门设计了 logo。

就是下面这只看上去“无害”的牛。

2. TCP 劫持

在 2016 年 GeekPwn2016澳门站上，选手曹跃成功“重现了当年世界头号黑客凯文米特尼克的TCP劫持”，摘得“最大脑洞奖”。四大顶级安全会议之一的 USENIX 安全研讨会公开了这个TCP 协议边信道漏洞，该漏洞允许攻击者远程劫持任意两主机之间的会话。

该漏洞编号为CVE-2016-5696。

在尚未被 USENIX Security 接受之前，TK 就在知乎上对该漏洞的发现给予了高度评价：

这个问题的核心是发现了最近十年发布的所有Linux内核在TCP/IP协议栈实现上都存在一个安全问题，可以在几分钟内探测到一个TCP会话序列号。知道了序列号，就可以伪造数据包插入到该会话中。

这是一项非常了不起的研究，足以发表在四大顶级学术安全会议上，甚至可能拿到 Best Paper。不过由于所需攻击条件较多，比如对网络稳定性的要求，特别是难以控制数据注入时机——想象一列火车从你面前呼啸而过，你蒙着眼睛，要用鸡蛋砸中十号车厢最右侧窗玻璃下方的一颗铆钉——所以虽然理论上能劫持任意TCP 会话，但对大多数 TCP 应用来说，要利用这个技术最终实现入侵或窃密，还是有难度的。

利用这个漏洞，可以悄无声息地潜入在受害用户的安卓手机，植入钓鱼木马，盗走电子账户上所有的钱，拷贝相册中的照片，伪造受害用户身份进行欺诈等。

3.可以开启“上帝模式”的高通硬件漏洞

2016年8月，研究人员发现四个高通漏洞可使得恶意软件编写者有机会影响并控制现代 Android智能机，黑客可以编写恶意应用程序，一旦安装，它们将会利用软件缺陷在AndroidMarshmallow和早期版本的谷歌移动操作系统上获得额外的特权，允许代码控制手持设备。

除了漏洞排行榜，还有一个倒霉的厂商漏洞“贡献”榜。

令 TK 惊讶的是，2016 年， Oracle 居然一跃成为榜首，而 2016 年 Adobe 的漏洞，有三分之一由 TK 所在的实验室报告。

面对 Oracle 的突然“跃升”， TK 只能这样解释：

也许是因为 Oracle 2016 年收购了很多厂家吧。

此前，在知乎上有这样一个问题：当你的能力处在你所在行业的顶端或前端时，是一种什么样的体验？

有一个答案获得了168个赞，位居第一。这个答案来自 TK：

“艺无止境，诚惶诚恐。”

除了诚惶诚恐，这个站在顶端的男人还告诉，看待这个榜单应该“多维度”：

不同厂商的产品数量不同，产品数量多的自然可能出更多漏洞。

另外漏洞数量不一定和安全性划等号，因为不同厂商对漏洞判定的标准不同。

真正能利用的有威胁的漏洞在各厂商漏洞中占比可能也不一样，所以排名能反映一定问题，但不能简单认为这个排名精确地反映了厂商产品的安全性。

如果把真正有威胁的漏洞单拎出来算，这个排名可能还会有变化。

TK 还说，感觉2016年被实际在攻击中使用的系统漏洞比2015年变多了。可能是因为漏洞的成本高了，但相应攻击获益也提高了。

谈到 2016年中，TK以及他的实验室在围绕安卓系统的漏洞挖掘上做了哪些工作时，这个站在顶端的男人再一次展现了他往远处看的视野：不细细追究某一个漏洞。他认为对安卓这样一个尚处于“青春期”的系统来说，很值得对其漏洞生态的走向进行研究，探究尚未发现的漏洞威胁模式。

TK 透露，玄武实验室的一项研究已经有了初步成果，一种他两年前构想的新漏洞攻击模型已经被证明是可行的，这一具体成果可能会在未来半年内发布。