侵权投诉
订阅
纠错
加入自媒体

如何保障Android开放环境的安全性

2011-12-19 11:38
吃瓜天狼
关注

  为了实现与互联网的融合,家电采用Android的步伐正在不断加快。对于开发家电设备的厂商而言,索尼的信息泄露事件是一个反面教师。企业不仅要探索与黑客和平共处的道路,还要为系统配备多重防御功能。

  电视、车载导航仪、电子书……目前,各种家电都在不断采用开放式嵌入软件开发平台。其中,备受关注的是Android。其原因是,“只要打算比以往更加强化与互联网服务的联动功能,自然会将Android作为选项之一”(日本嵌入系统开发商Eflow开发本部统括部长金山二郎)。

  对于打算为家电配备Android的厂商而言,“PlayStation Network(PSN)”及“Qriocity”遭受的非法攻击事件并非事不关己。这是因为家电采用Android之后,可以实现“与互联网服务的紧密联动”以及“通过安装应用软件(以下称应用)来追加新服务的环境”,这些均与PlayStaiton 3(PS3)相同。所以即使发生索尼相同的情况也不足为奇,包括DRM机制被暴露无遗,或与服务器的通信方法及密码被泄露,导致服务器遭到非法访问等。

  要防止此类事件发生,需要吸取索尼信息泄露事件的教训。也就是说,关键在于避免重复索尼犯过的错误,包括“以整个黑客社区为敌”,以及“安全方面完全依赖于PS3的机制”(图1)。反过来说,如果今后采取两手行动,即“与黑客社区建立协调的关系”以及“无论安全机制多么强大,也都做好迟早会被攻破的准备,采取多重安全措施”,那么就很有可能避免发生关系到公司存亡的事件。

 

  

  Androidでどう築くオープン環境の安全性

  不仅要尽量与黑客社团建立良好的关系,还需要对不能泄露的重要信息进行多重防御。

 

  目标是与黑客和平共处

 

  第一个要点是避免与黑客对立,要做到这一点,必须了解黑客的想法,摸索出与之和平共处的方法。

  索尼对黑客始终采取“PS3是我们为提供服务而销售的产品,当然应由我们控制”的态度。但是,PS3用户中有不少人则认为“如何使用自己花钱购买的商品是个人的自由”。索尼在不了解与用户思维差异的情况下采取了强硬手段,导致事态发展到了双方观念对立的地步。

  要避免事情发展到观念对立的程度,关键在于厂商的相关人员要定期与黑客社区对话,在一定程度上尊重对方的意见,并在此基础上开发产品。“网络入侵是一种特殊才能,并不是任何人都能掌握。需要尽早发现这种才能,尽量将具备这种能力的人拉进自己的阵营,以防其采取出格的行动”(日本青山学院大学研究员山根信二)。

 

  采取多重防御措施

 

  另一个要点是“多重防御”,在以受到攻击为前提而进行防御时,这种思维方式十分重要。具体做法是,即便第一道屏障被攻破,也要准备第2道乃至第3道屏障,以防遭到决定性破坏。

  在开发采用Android的家电时,这种思维尤为重要。其原因是,采用开放式平台,“任何人都可以可轻松获取设计信息并构建调试环境,网络入侵也会更加容易”(Eflow的金山)(图2)。

 

  

  图2:开发环境从黑箱转向开放

  采用开放式开发环境时,硬件及软件开发会简化,但遭到网络攻击的风险也会提高。

  其实,先于家电商采用Android平台的手机制造商在介绍Android手机的不同时表示,“传统手机可以通过产品与软件安装的自主性确保安全,而配备Android的智能手机因OS的信用问题,不得不考虑安全保障问题”(NTT DoCoMo智能通信服务部安全推进担当部长柳泽隆治)。

 

  防止管理员权限被剥夺

 

  那么,采用Android时必须考虑哪些问题呢?

  最初应该考虑的是,防止管理员权限被剥夺,以免设备驱动程序及OS的程序库等系统文件遭到篡改。如果系统文件被篡改的话,便会以此为起点使得系统遭到破解(图3)。

 

  

  图3:管理员权限被夺取时的问题点

 

  在内部进行交换的绝大部分数据都有可能被盗取。而且,还可能会嵌入非法应用。加密文件等也会被打开。

  虽然以上这些都是嵌入设备曾经考虑过的攻击,但以往的产品除了平台本身黑箱化之外,还有很多防止从外部追加应用的限制,所以不易成为攻击对象。而Android的文件构成是被公开的,可随意追加应用,因此容易进行攻击。

1  2  下一页>  
声明: 本文由入驻维科号的作者撰写,观点仅代表作者本人,不代表OFweek立场。如有侵权或其他问题,请联系举报。

发表评论

0条评论,0人参与

请输入评论内容...

请输入评论/评论长度6~500个字

您提交的评论过于频繁,请输入验证码继续

暂无评论

暂无评论

电子工程 猎头职位 更多
文章纠错
x
*文字标题:
*纠错内容:
联系邮箱:
*验 证 码:

粤公网安备 44030502002758号