手機安全危機重重,產業鏈需摒棄「零和思維」才有未來

高曉松老師說:「人生不是故事是事故」。人們習慣把安全「外包」給專業機構,只有當禍事襲來才會痛定思痛,這大概是人性的最大bug,因此安全從來不能一勞永逸。如今,全國有12億人像我們一樣,每天與手機為伴。越來越多的安全隱患是從「手機」這個最薄弱環節攻入的,很多網路犯罪分子也已紛紛「轉型」線上了。

在第5屆中國互聯網安全大會(ISC2017)上,360掌門人周鴻禕關於「大安全」的演講刷新了人們對網路安全認知高度,比如萬物皆可編程,只有軟體是由人編寫就一定存在漏洞,就有被攻破的可能性;在未來網路戰,系統漏洞是最寶貴的戰略資源;網路安全方向將是軍民合作等「大安全」新觀念不勝枚舉。鑒於移動安全重要性及複雜形勢,由360公司組織了ISC2017「移動終端安全論壇」,邀請工信部旗下安全實驗室、中國移動、華為、螞蟻金服、360等活躍在安全產業第一線重要角色參加。

筆者作為媒體代表有幸受邀觀摩學習,感慨作為一名安全小白享受著移動互聯網帶來便捷和繁榮,很少設想網路底層「地基」是否牢固?憂慮過是否有不速之客闖入手機「安樂窩」的可能?如果被攻破還沒有察覺,就像被人騙了還在給人數錢一樣昏聵,那麼,我們的手機未來會真的更安全嗎?

一、手機系統漏洞爆發,智能手機產業鏈讓安全形勢更嚴峻

主流的智能手機操作系統要麼是iOS,要麼是Android,國產手機幾乎全部基於安卓的開源系統,安卓機市場佔據智能手機份額的70%以上。據CVE Details年初的報告,去年安卓軟體的漏洞高達523處,高居所有軟體漏洞之首;此前360互聯網安全中心就出具報告顯示,超9成安卓機處於系統高危狀態。

好在安卓系統更新非常勤快,升級新版塊一般會把以往公布的漏洞進行修補,那漏洞應該會越來越少才對。讓人沮喪的是,在ISC移動安全終端論壇上,360 Alpha小組安全研究員楊文林公布了一組數字,2015年谷歌官方公布了64個漏洞,2016年則公布了498個,2017年上半年穀歌官方已披露了1000個,其安全漏洞數量不降反增,預計2018年系統漏洞還將數以千計爆發。

在ISC2017移動終端安全論壇上,中國信息通信研究院泰爾終端實驗室信息安全部副主任楊正軍在其演講中,就移動安全形勢越來越嚴峻的原因做了梳理:

1. 智能手機上下游產業鏈極其龐雜,其中晶元廠商、手機廠商、App應用開發者等每個環節都可能產生漏洞。

2. 各個手機廠商之間相互競爭、各自為政,對自身UI的安全程度不一,比如谷歌發布CV1漏洞後國內各個手機廠商及主要應用修復、升級較為滯後。

3. 用戶手機安裝眾多App,有的App存在敏感信息泄露;隨著智能手機所連接的智能設備越來越多,雲端密碼、用戶隱私信息泄露風險加大。

(摘自《2017年中國手機安全生態報告》,不同App對用戶隱私許可權不一樣,整體來看非常嚴重)

要按以往PC時代安全思維,用戶安全直接交給專業網路安全公司、裝個殺毒軟體或手機安全管家就OK了,但移動安全產業鏈牽一髮而全身,系統漏洞防不慎防,如果不能從全產業鏈上「團結」起來,很難打擊網路犯罪分子及黑客大盜的囂張氣焰。據了解,去年全球網路犯罪所造成的損失高達3萬億美金,預計2021年會達到6億美金。

二、打擊網路犯罪,移動互聯網全產業鏈大協作才能「治本」

智能手機不僅是人們的認證中心(手機號與社交資料構成人的身份證及通行證);還是個人的財富中心(支付寶和微信在很多城市已經取代現金支付,還與銀行卡進行綁定)。

這意味著網路犯罪分子只要搞定用戶手機,絕不可能空手而歸,網路犯罪離廣大網民並不遙遠,據2017年Q2手機安全報告,360獵網平台共接到網路詐騙舉報達6807起,涉案金融高達1.2億元,人均損失17582元,其人均損失基數有逐年上漲態勢。

打響移動安全保護戰首先要升級的全行業的憂患意識,以系統漏洞偵查甄別及修復為「牛鼻子」順藤摸瓜。從這個角度講,安全互聯網公司向手機廠商公布或提示漏洞並非要「砸場子」或「搞事情」,而是幫助手機廠商提升自身的防禦力。

以蘋果為例,去年iOS系統開始嘗試安全介面的開放,以攔截騷擾電話、垃圾簡訊、釣魚鏈接等,360推出防騷擾大師等安全軟體;而谷歌、微軟也會對系統漏洞舉報者給予獎勵,其中全球安全廠商之中,360提供的漏洞數量最多。

國內運營商、手機廠商、開發者對系統漏洞也應秉持這樣的開放態度。要知道,任一手機廠商、互聯網公司只備選某方面的數據,無法做到全面的安全監測,要從源頭上解決移動安全問題,就需要政府單位、安全互聯網公司、運營商、手機廠商、開發者加強合作。出席ISC2017「移動終端安全分論壇」有中國移動、華為、螞蟻金服的科學家及專家建言獻策。

(ISC2017首屆移動終端安全論壇專家)

1.政府及行業管理層面:移動終端安全由於手機廠商規範不統一,驅動力不夠,需政府主管部門統籌,比如對電信設備入網進行安全檢測、抽查入網設備、對系統安全更新備案;推動手機廠商建立移動智能設備持續性監測與安全管理標準體系,以及全行業安全產業聯盟。

2.運營商與移動互聯網、金融機構合作:中國移動已開放自身的用戶號碼能力,提供實名、簡訊、號碼、數字簽名等認證,這些成為移動金融徵信的一部分;使手機號碼與業務安全結合在一起,讓越來越多App基於移動手機號碼註冊,並進行賬戶許可權管理和各站點的互聯互通。

3.安全互聯網企業與手機廠商、第三方應用分發平台合作:如華為手機就下架了近3000多個問題應用;360對安全隱患的App進行跟蹤,對有漏洞或病毒程序的溯源,再做風險分析和應急預警等。

此外,用戶數據安全管理需要保護用戶隱私不被非法獲取,手機安全管理軟體防止偽基站WiFi熱點竊取用戶賬戶密碼;雲服務公司尤其需重視雲數據存儲及下發安全等,都需要安全互聯網公司與最新雲計算、大數據等公司協作。

以往移動互聯網行業中各個參與者都在想如何做安全產品,專業水平暫且不論,但往往只能「馬後炮」修補迭代,面對不斷變異的病毒程序形同虛設。唯有移動安全生態中的晶元廠商、終端廠商、手機廠商、運營商及安全互聯網公司開放協作,才能提升移動安全的根本。

三、安全產業永遠要道高一尺,安全互聯網企業是協調者+賦能者

對廣大用戶來說,移動安全也是「武功再高,也怕菜刀」,無數耳釣魚網站及網路詐騙讓互聯網充滿陷阱,以手機端勒索軟體為例,據360烽火實驗室技術經理陳宏偉表示,在2017年上半年,總共截獲了勒索病毒41萬個,其中一些勒索病毒甚至能以語音或二維碼解鎖形式,製作成本低廉,而且每天新增約2萬個勒索病毒,這些病毒甚至被一些00後群體作為謀財工具進行經營和散布。

今年5月WannaCry勒索病毒事件開始顯示其猙獰的一面。很多國家、地區的加油站沒法加油,交通指揮系統失靈、醫生做不了手術、銀行系統被攻入等,其勒索支付手段是查無實證的比特幣;更令人細思極恐的是,該事件使用的竟是美國泄露的網路戰武器之一。不僅移動安全是一個系統,整個網路安全也與金融安全、公共設施安全、國家安全聯繫成為一個生態系統,而移動安全可能就是大安全系統之中最薄弱、也最常見的環節。

有數據統計,目前黑色產業鏈的規模是網路安全產業的10倍以上。在電影《速度與激情8》中的大反派賽弗搶走「天眼系統」,從而把所有人的手機、城市裡的攝像頭成為她隨時可調用的監控,馬路上行駛的汽車瞬間成為「殭屍」和自殺性襲擊武器。這是一個IOT時代預言,當人們不安分地接近自動化、智能化的AI世界時,如果沒有強有力的網路安全技術作為保障,那將是歷史災難!

樂觀主義者認為「魔高一尺、道高一丈」。移動安全痛點越強、人們市場需求越旺盛,政府對安全產業的重視和扶持,可以說,當前也處於安全產業「雙創」的黃金期,由360主辦的ISC2017「安全雙創周」及「安全訓練營」活動就給予國內的白帽子創客以資金、技術和平台支持,安全創業的風口正在猛烈颳起。據艾瑞的研究報告顯示,在2016年全球安全投入增長至7356.8億美元,佔據IT總投入的16%;而在2017年達到9104.4億美元,與全球IT產業同步的中國更須在安全產業上厚積薄發。

在這個過程之中,360的格局似乎從以往為用戶服務的產品型公司逐步升級為一家輸出安全能力,為互聯網公司、企業、銀行提供安全技術保障的社會型組織,而在打造移動安全全產業鏈過程之中,政府與市場之間,各個手機廠商之間、手機廠商與安全廠家之間、互聯網公司與安全互聯網公司、安全產業創客與資本市場之間絕少不了360的「穿針引線」,能否在「安全」上求同存異,如何逐漸化解互聯網公司由來已久的數據封鎖、戰略對峙等「小九九」,摒棄零和博弈思維,相當考慮智慧,但這是營建移動安全生態鏈的希望。

結語

互聯網本身是代碼編寫的的比特世界,隨之智能手機在滲透人們生活,連WiFi上網與安全一樣成為最底層的剛需,而移動互聯網一步步把「人和物聯網」,越來越多智能硬體會成為移動終端,系統漏洞的疏忽、被利用,都會對物理世界、對人造成實質性的損傷。只有在移動安全內「積跬步」、全產業鏈上「手牽手」,才有可能在萬物互聯(IOT)時代「行千里」,因為無論科技多麼發達,人的「安全感」將構成用戶體驗及商業價值的支點。

作者:李星,公眾號:靠譜的阿星,靠譜匯創始人,科技媒體專欄作家,個人微信號即QQ:1598145405,歡迎交流


推薦閱讀:

HTTPS 和 OpenSSL 是什麼關係?
ADV170014 NTLM SSO:利用指南
目錄遍歷漏洞
竊取 OAuth 令牌繞過 Airbnb 身份驗證

TAG:网络安全 | 支付安全 | 安全漏洞 |