在前不久舉行的第四屆中國(guó)互聯(lián)網(wǎng)安全大會(huì)(ISC 2016)上，與大眾息息相關(guān)的移動(dòng)安全問題備受關(guān)注，來自盤古、360、華為、安天等各安全公司的一線研究人員和加州大學(xué)、復(fù)旦大學(xué)等國(guó)內(nèi)外高校的專家，分別從系統(tǒng)安全、數(shù)據(jù)隱私、移動(dòng)互聯(lián)網(wǎng)黑產(chǎn)、移動(dòng)支付安全等熱點(diǎn)話題出發(fā)，揭示了一些移動(dòng)安全方面的新威脅，并分享了解決思路。

惡意程序開發(fā)：從“小作坊”走向“正規(guī)軍”

移動(dòng)端的惡意程序?qū)τ诤芏嗳藖碚f并不陌生，一個(gè)鏈接，一個(gè)掃碼，甚至一個(gè)點(diǎn)擊就讓這些無孔不入的惡意程序悄悄潛入手機(jī)中，資費(fèi)消耗、惡意扣費(fèi)、隱私竊取、流氓行為、遠(yuǎn)程監(jiān)控等都是其常見惡行。

在本屆ISC大會(huì)的移動(dòng)安全發(fā)展論壇上，360烽火實(shí)驗(yàn)室高級(jí)安全研究員陳宏偉圍繞“‘企業(yè)級(jí)’惡意程序開發(fā)者攪局移動(dòng)安全”的主題進(jìn)行了討論。他認(rèn)為，從前的“小作坊制毒”具備功能單一、渠道單一、傳播范圍小、破壞程度有限等特點(diǎn)。不過，隨著“企業(yè)級(jí)”惡意程序開發(fā)者逐漸“大顯身手”，惡意程序則呈現(xiàn)功能復(fù)雜、傳播渠道多樣、影響范圍廣、具備多重破壞力的特征。

陳宏偉介紹說，早在2015年8月，360互聯(lián)網(wǎng)安全中心就曾發(fā)現(xiàn)一批應(yīng)用名為TimeService、MonkeyTest等的惡意程序，這批惡意程序可使用戶手機(jī)感染病毒且程序難以刪除，導(dǎo)致用戶反復(fù)感染并因此產(chǎn)生經(jīng)濟(jì)損失。經(jīng)360烽火實(shí)驗(yàn)室研究分析發(fā)現(xiàn)，這一系列惡意程序的幕后黑手最終指向國(guó)內(nèi)某公司，而并非個(gè)人。

對(duì)此，陳宏偉建議，開發(fā)者應(yīng)謹(jǐn)慎選擇植入的SDK，留意SDK所需權(quán)限，避免被惡意利用;手機(jī)用戶需盡量從較大的應(yīng)用市場(chǎng)下載應(yīng)用，安裝手機(jī)安全軟件并保持更新;應(yīng)用市場(chǎng)則需加強(qiáng)開發(fā)者的審查，從正規(guī)渠道獲取應(yīng)用;手機(jī)廠商也應(yīng)及時(shí)為用戶推送安全更新，增強(qiáng)對(duì)隱私數(shù)據(jù)的保護(hù);運(yùn)營(yíng)商則要加強(qiáng)對(duì)服務(wù)提供商的監(jiān)管。另外，他還呼吁，政府應(yīng)建立健全相關(guān)法律法規(guī)，加大打擊懲罰力度。

形成完整產(chǎn)業(yè)鏈超10萬人從事移動(dòng)支付黑產(chǎn)

近兩年，移動(dòng)支付愈發(fā)普及，然而其安全性問題卻是人們質(zhì)疑的焦點(diǎn)。事實(shí)上，移動(dòng)支付安全事件頻發(fā)的背后是由于有一條完整的黑色產(chǎn)業(yè)鏈條在作祟。

安天實(shí)驗(yàn)室武漢移動(dòng)安全公司副總經(jīng)理陳家林在題為《揭秘移動(dòng)銀行和支付黑產(chǎn)-DarkMobileBank》的演講中介紹說，通過數(shù)據(jù)研究發(fā)現(xiàn)，短信攔截馬(一種可以攔截他人短信的木馬)已導(dǎo)致超過100萬用戶的手機(jī)存在安全風(fēng)險(xiǎn)，而保守估計(jì)，目前我國(guó)有超過10萬人從事移動(dòng)支付黑產(chǎn)(利用病毒木馬來獲得利益的行業(yè))。

陳家林說，威脅移動(dòng)支付安全的黑產(chǎn)有一條完整的產(chǎn)業(yè)鏈：通過物料準(zhǔn)備、經(jīng)驗(yàn)傳授、精細(xì)分工后，黑產(chǎn)從業(yè)者開始制作木馬、釣魚網(wǎng)站，注冊(cè)大量域名、郵箱、手機(jī)號(hào)，然后借助偽基站，將木馬偽裝成正常應(yīng)用誘導(dǎo)用戶安裝、授權(quán)，最后通過短信網(wǎng)絡(luò)遠(yuǎn)控、隱身防卸載的方式藏匿在用戶手機(jī)中，從而實(shí)現(xiàn)隱私數(shù)據(jù)販賣、精準(zhǔn)攻擊等目的。

此外，陳家林還揭秘了延伸的黑色產(chǎn)業(yè)鏈，如新封號(hào)產(chǎn)業(yè)鏈、攔截馬地下鏈、微信地下鏈、蘋果地下鏈、DDoS地下服務(wù)等，如今都已形成完整且精細(xì)化的各類互聯(lián)網(wǎng)黑產(chǎn)。

論壇上，華為高級(jí)安全總監(jiān)王梓也就移動(dòng)支付的現(xiàn)狀、安全演進(jìn)進(jìn)行了分享。他表示，移動(dòng)支付業(yè)務(wù)的風(fēng)險(xiǎn)主要有兩種，一是用戶輸入的信息可能被竊取，二是用戶輸入可能被篡改。對(duì)此，王梓結(jié)合自身多年的一線工作經(jīng)驗(yàn)，介紹了移動(dòng)支付多層次的防護(hù)方案。

沒有絕對(duì)安全的系統(tǒng)博弈造就更安全

蘋果的iOS系統(tǒng)向來被認(rèn)為是安全的，不過在盤古團(tuán)隊(duì)首席科學(xué)家王鐵磊看來，沒有絕對(duì)安全的系統(tǒng)。

盤古團(tuán)隊(duì)在iOS領(lǐng)域的越獄工作與成就讓其在國(guó)際上享譽(yù)盛名，此次王鐵磊在論壇上為大家揭開了iOS的越獄秘籍。王鐵磊提到，大部分iOS的安全機(jī)制都在iOS內(nèi)核中出現(xiàn)，因此越獄工具需要通過攻擊內(nèi)核漏洞才能突破這些安全機(jī)制。盤古團(tuán)隊(duì)之所以能夠發(fā)布包括iOS9在內(nèi)的幾代iOS系統(tǒng)越獄工具，正是因?yàn)閕OS系統(tǒng)中也有漏洞存在。

王鐵磊說，盤古團(tuán)隊(duì)主要是通過用戶態(tài)漏洞獲得沙盒外代碼執(zhí)行、沙盒外任意文件讀寫漏洞、沙河外任意代碼執(zhí)行漏洞，再經(jīng)過相關(guān)技術(shù)技巧，構(gòu)成路徑遍歷漏洞，導(dǎo)致任意文件讀寫。

這幾年，越獄“大神”與蘋果之間的博弈也在輪番上演，尋找漏洞、封堵漏洞，看似一唱一和的戲碼，卻演繹出了蘋果與越獄團(tuán)隊(duì)之間的博弈。而正是由于像盤古這樣的團(tuán)隊(duì)對(duì)蘋果嚴(yán)苛的系統(tǒng)漏洞挖掘，造就了蘋果系統(tǒng)的安全性不斷完善。

手機(jī)網(wǎng)民超6.5億移動(dòng)終端安防不容忽視

8月初CNNIC最新披露的報(bào)告顯示，截至2016年6月，我國(guó)手機(jī)網(wǎng)民規(guī)模已達(dá)6.56億，網(wǎng)民中使用手機(jī)上網(wǎng)的人群占比達(dá)92.5%，我國(guó)網(wǎng)民使用手機(jī)支付的比例提升至64.7%。移動(dòng)安全不僅關(guān)乎我們的隱私，同樣關(guān)乎我們的財(cái)產(chǎn)。而在隱秘的各類移動(dòng)安全暗戰(zhàn)中，任何一處漏洞都可能產(chǎn)生巨大損失，移動(dòng)安防問題不容忽視。

在ISC 2016移動(dòng)安全發(fā)展論壇上，加州大學(xué)戴維斯分校計(jì)算機(jī)系教授陳浩也帶來了其研究成果。眾所周知，大部分手機(jī)軟件都是免費(fèi)的，那收入從哪來?陳浩提到，廣告收入占了很大比重，這些免費(fèi)軟件的廣告中常常暗藏玄機(jī)。

據(jù)陳浩介紹，移動(dòng)廣告平臺(tái)通過將廣告插件內(nèi)置于手機(jī)APP中，實(shí)現(xiàn)廣告的海量投放及管理，同時(shí)使開發(fā)者用戶流量變現(xiàn)為廣告收益，最終形成一個(gè)由廣告主、手機(jī)廣告代理商、廣告平臺(tái)、APP開發(fā)者、移動(dòng)運(yùn)營(yíng)商、手機(jī)終端廠商和手機(jī)用戶構(gòu)成的移動(dòng)廣告利益鏈。而對(duì)于用戶來說，這些內(nèi)置于手機(jī)APP中的廣告插件往往存在偷竊隱私的行為。

此外，復(fù)旦大學(xué)系統(tǒng)軟件與安全實(shí)驗(yàn)室副主任張?jiān)匆簿汀耙苿?dòng)平臺(tái)應(yīng)用軟件隱私威脅與保護(hù)”這一議題發(fā)表演講。張?jiān)刺岬?，在移?dòng)平臺(tái)上，用戶輸入的賬號(hào)、密碼、地址、資金賬戶信息等是隱私數(shù)據(jù)的主要來源，這些敏感數(shù)據(jù)是軟件安全應(yīng)當(dāng)著重關(guān)注的要點(diǎn)。

論壇上，移動(dòng)終端的身份認(rèn)證與安全問題受到了在場(chǎng)嘉賓的極大關(guān)注。傳統(tǒng)觀念中，我們認(rèn)為身份安全、身份認(rèn)證通過密碼和指紋就能實(shí)現(xiàn)。然而，事情并不是這么簡(jiǎn)單。西安交通大學(xué)副教授沈超表示，由于移動(dòng)終端已經(jīng)進(jìn)入各行各業(yè)，并且能夠存儲(chǔ)并訪問越來越多的安全和隱私信息，其面臨的挑戰(zhàn)也愈發(fā)豐富。