如何保障Android开放环境的安全性

　　为了实现与互联网的融合，家电采用Android的步伐正在不断加快。对于开发家电设备的厂商而言，索尼的信息泄露事件是一个反面教师。企业不仅要探索与黑客和平共处的道路，还要为系统配备多重防御功能。

　　电视、车载导航仪、电子书……目前，各种家电都在不断采用开放式嵌入软件开发平台。其中，备受关注的是Android。其原因是，“只要打算比以往更加强化与互联网服务的联动功能，自然会将Android作为选项之一”（日本嵌入系统开发商Eflow开发本部统括部长金山二郎）。

　　对于打算为家电配备Android的厂商而言，“PlayStation Network（PSN）”及“Qriocity”遭受的非法攻击事件并非事不关己。这是因为家电采用Android之后，可以实现“与互联网服务的紧密联动”以及“通过安装应用软件（以下称应用）来追加新服务的环境”，这些均与PlayStaiton 3（PS3）相同。所以即使发生索尼相同的情况也不足为奇，包括DRM机制被暴露无遗，或与服务器的通信方法及密码被泄露，导致服务器遭到非法访问等。

　　要防止此类事件发生，需要吸取索尼信息泄露事件的教训。也就是说，关键在于避免重复索尼犯过的错误，包括“以整个黑客社区为敌”，以及“安全方面完全依赖于PS3的机制”（图1）。反过来说，如果今后采取两手行动，即“与黑客社区建立协调的关系”以及“无论安全机制多么强大，也都做好迟早会被攻破的准备，采取多重安全措施”，那么就很有可能避免发生关系到公司存亡的事件。

　　Androidでどう築くオープン環境の安全性

　　不仅要尽量与黑客社团建立良好的关系，还需要对不能泄露的重要信息进行多重防御。

　　目标是与黑客和平共处

　　第一个要点是避免与黑客对立，要做到这一点，必须了解黑客的想法，摸索出与之和平共处的方法。

　　索尼对黑客始终采取“PS3是我们为提供服务而销售的产品，当然应由我们控制”的态度。但是，PS3用户中有不少人则认为“如何使用自己花钱购买的商品是个人的自由”。索尼在不了解与用户思维差异的情况下采取了强硬手段，导致事态发展到了双方观念对立的地步。

　　要避免事情发展到观念对立的程度，关键在于厂商的相关人员要定期与黑客社区对话，在一定程度上尊重对方的意见，并在此基础上开发产品。“网络入侵是一种特殊才能，并不是任何人都能掌握。需要尽早发现这种才能，尽量将具备这种能力的人拉进自己的阵营，以防其采取出格的行动”（日本青山学院大学研究员山根信二）。

　　采取多重防御措施

　　另一个要点是“多重防御”，在以受到攻击为前提而进行防御时，这种思维方式十分重要。具体做法是，即便第一道屏障被攻破，也要准备第2道乃至第3道屏障，以防遭到决定性破坏。

　　在开发采用Android的家电时，这种思维尤为重要。其原因是，采用开放式平台，“任何人都可以可轻松获取设计信息并构建调试环境，网络入侵也会更加容易”（Eflow的金山）（图2）。

　　图2：开发环境从黑箱转向开放

　　采用开放式开发环境时，硬件及软件开发会简化，但遭到网络攻击的风险也会提高。

　　其实，先于家电商采用Android平台的手机制造商在介绍Android手机的不同时表示，“传统手机可以通过产品与软件安装的自主性确保安全，而配备Android的智能手机因OS的信用问题，不得不考虑安全保障问题”（NTT DoCoMo智能通信服务部安全推进担当部长柳泽隆治）。

　　防止管理员权限被剥夺

　　那么，采用Android时必须考虑哪些问题呢？

　　最初应该考虑的是，防止管理员权限被剥夺，以免设备驱动程序及OS的程序库等系统文件遭到篡改。如果系统文件被篡改的话，便会以此为起点使得系统遭到破解（图3）。

　　图3：管理员权限被夺取时的问题点

　　在内部进行交换的绝大部分数据都有可能被盗取。而且，还可能会嵌入非法应用。加密文件等也会被打开。

　　虽然以上这些都是嵌入设备曾经考虑过的攻击，但以往的产品除了平台本身黑箱化之外，还有很多防止从外部追加应用的限制，所以不易成为攻击对象。而Android的文件构成是被公开的，可随意追加应用，因此容易进行攻击。

　　Android只给用户提供了用户权限，本来是无法更改系统文件的。但如果Linux的内核、程序库及驱动程序等存在可将用户权限提高至管理员权限的“升级（Escalation）”漏洞的话，那就需要另当别论了。只要编写用来攻击该漏洞的应用，并在Android上运行，便可夺取管理员权限。

　　解决这一问题的方法是，发现漏洞时及时用补丁堵上。但这并不是一件简单的事情。这是因为Android的源码被提供给厂商，安装工作由厂商完成。漏洞信息的收集以及安装补丁后的运行验证等工作也必须由厂商自行完成。

有