2012年7月22日 星期日

研究人員:Jelly Bean版Android更安全

研究人員:Jelly Bean版Android更安全

Jelly Bean(Android 4.1)與Ice Cream Sandwich(Android 4.0)最大的不同在於ASLR的設計,降低了系統被攻陷的機會。 

Google在今年6月發表代號為Jelly Bean(糖豆)的Android 4.1作業系統,並推出Nexus 7平板電腦,隨之即有安全研究人員檢驗了Jelly Bean的安全性,發現它降低了系統被入侵的機會。

Duo Security的安全研究人員Jon Oberheide認為,Jelly Bean與Ice Cream Sandwich(Android 4.0)最大的不同在於「位址空間隨機分配」(Address space layout randomization, ASLR)的設計。ASLR為一電腦安全設計,可以隨機安排記憶體中資料的位置,包括可執行檔、堆積(Heap)、堆疊(Stack)、交鏈程式(Linker)或各種函式庫(library)等,目的是為了提供駭客攻擊的難度。

蘋果早在iOS 4.3作業系統中就採用了ASLR技術,雖然Android 4.0也開始使用ASLR,但缺乏可執行檔及Linker的隨機區域,因此在防堵實際攻擊的效用並不大。

Oberheide發現,Jelly Bean改善了ASLR的機制,並解決Android 4.0所存在的問題,降低了系統被攻陷的機會。

ARS引述現為Accuvant安全顧問的知名駭客Charlie Miller表示,若無隨機化,ASLR便發揮不了作用,因為駭客只要知道重要資料的儲存地,就很容易進行攻擊,Jelly Bean應該是第一個具備完整ASLR的Android版本,提高了攻擊程式的難度。

Jelly Bean為一同時支援智慧型手機與平板電腦的Android版本,它改善了搜尋、通知功能,更新攝影程式、軟體鍵盤,並可透過NFC進行照片與影片分享,亦有評論指出Jelly Bean的執行速度優於Android 4.0,目前唯一採用該作業系統的裝置為Nexus 7平板電腦,不過Google很快就會推出採用Jelly Bean的Glaxy Nexus手機。(編譯/陳曉莉)

轉載自《iThome》

沒有留言:

張貼留言