3月8日下午消息,WiFi萬(wàn)能鑰匙首席安全官龔蔚近日就互聯(lián)網(wǎng)安全發(fā)表演講,在這場(chǎng)科普性為主的安全講座中,龔蔚從安卓手機(jī)的安全后門、應(yīng)用層攻擊、流量劫持、大數(shù)據(jù)黑產(chǎn)、山寨軟件以及熱點(diǎn)WiFi安全等講訴了網(wǎng)絡(luò)攻擊的主要方式,以幫助用戶提升安全認(rèn)知。
龔蔚曾在2015年出任WiFi萬(wàn)能鑰匙首席安全官引起過(guò)討論,但其后現(xiàn)身次數(shù)并不多。實(shí)際上,這位江湖人稱“Goodwell”的技術(shù)大牛,素有中國(guó)黑客教父之稱,是中國(guó)早一代黑客的代表人物。其后還發(fā)起創(chuàng)立了綠色兵團(tuán)和COG。(李根)
關(guān)于這次科普性為主的網(wǎng)絡(luò)安全講座,要點(diǎn)如下:
Root權(quán)限曾是安全威脅
移動(dòng)互聯(lián)網(wǎng)早的安全威脅隱患來(lái)自于系統(tǒng)權(quán)限本身的威脅,早期系統(tǒng)在設(shè)計(jì)的時(shí)候不是那么完美,有各種各樣的潛在的系統(tǒng)安全問(wèn)題,這些系統(tǒng)安全漏洞可能導(dǎo)致被提權(quán)、遠(yuǎn)程的溢出等。
早期的系統(tǒng)漏洞都被一些攻擊者利用來(lái)做提權(quán)取得系統(tǒng)root權(quán)限,這個(gè)root權(quán)限就是系統(tǒng)的權(quán)限,可以超越所有的用戶對(duì)手機(jī)的操作。
惡意軟件一旦取得root權(quán)限可以做很多超越用戶所做的事情,比如手機(jī)關(guān)機(jī)以后可以竊聽周邊的環(huán)境。
當(dāng)有系統(tǒng)權(quán)限的時(shí)候,按關(guān)機(jī)鍵的時(shí)候,我會(huì)給你放一段原本這個(gè)手機(jī)的關(guān)機(jī)畫面,但是手機(jī)沒(méi)有真正關(guān)機(jī)。
同時(shí)把你的手機(jī)做一個(gè)呼叫轉(zhuǎn)移或者限制撥號(hào),任何人打進(jìn)來(lái)給他提示音“用戶關(guān)機(jī)”,只有特定號(hào)碼打過(guò)來(lái)你會(huì)自動(dòng)接聽并且開啟免提,不會(huì)震屏、響屏,當(dāng)按完關(guān)機(jī)用特定的號(hào)碼打給你的手機(jī),你的手機(jī)就會(huì)自動(dòng)接聽我的號(hào)碼,并且開啟免提。
不過(guò)隨著時(shí)代的發(fā)展,現(xiàn)在主要的漏洞被發(fā)布,越來(lái)越完善,取得這些權(quán)限也會(huì)越來(lái)越難,尤其比如大家知道越獄、root越來(lái)越難,原本制作惡意軟件的人會(huì)把攻擊的目標(biāo)或者重心移向到應(yīng)用層,而且以前要獲取用戶的root權(quán)限是為了竊取你的銀行帳號(hào)或者錢財(cái)?shù)霓D(zhuǎn)帳或者其它信息它能夠獲利。
路邊的掃碼應(yīng)用要警惕
隨著互聯(lián)網(wǎng)的發(fā)展,可以用更多的手段來(lái)獲利,也就是說(shuō)它已經(jīng)不需要root權(quán)限,在應(yīng)用層就可以變現(xiàn)。
應(yīng)用層如何變現(xiàn)?應(yīng)用層主要攻擊的入口。首先是權(quán)限的聲明,然后是惡意軟件還有山寨的泛濫以及代碼的植入。權(quán)限聲明很簡(jiǎn)單,現(xiàn)在所有的應(yīng)用層的軟件都會(huì)大量申請(qǐng)各種各樣的系統(tǒng)權(quán)限,GPS位置、定位、通話記錄等等。
來(lái)自CNSeart的數(shù)據(jù),2013年惡意軟件被感染的用戶數(shù)量是609萬(wàn),2014年2292萬(wàn),2015年1點(diǎn)多億,惡意軟件的數(shù)量從2011年6000多個(gè),到2015年的16萬(wàn)個(gè),惡意軟件是一個(gè)惡意程序,國(guó)家也好,法規(guī)也好,用戶也好,安全意識(shí)的提高,它的生存空間越來(lái)越小。
它們以前通過(guò)惡意軟件植入手機(jī)獲取你的隱私來(lái)變現(xiàn)倒賣,現(xiàn)在因?yàn)榇驌袅Χ仍絹?lái)越大,轉(zhuǎn)向另一種盈利的模式,我們把它叫做山寨軟件。
在所有的應(yīng)用市場(chǎng)尤其工具類,一款知名的移動(dòng)端App至少有一百多種以上的山寨,它可能是LOGO一樣、名稱相似、皮膚一模一樣,這些山寨的程序很難讓用戶分辨清楚哪些是真哪些是假,這些山寨的應(yīng)用有很多變現(xiàn)的方法。
比如走在路上很多人讓你掃一下碼裝一個(gè)應(yīng)用軟件,如果遭遇山寨軟件仿冒進(jìn)入手機(jī),它先是仿冒某一款進(jìn)去,然后晚上12點(diǎn)后通過(guò)后臺(tái)推送大量的軟件,如果發(fā)現(xiàn)你的手機(jī)經(jīng)常第二天開機(jī)多了幾個(gè)軟件的話,可能就是在半夜被推入一些軟件,而這些推送可以大量變現(xiàn),一個(gè)軟件的成本可能達(dá)到15元。
當(dāng)植入這些山寨軟件以后,并不帶有明顯的攻擊行為,有一些惡意程序會(huì)仿冒直接進(jìn)來(lái)偷取信息帳號(hào),還有大部分潛伏在那里,可能也提供一些通常的服務(wù),只是你不知道你用的是山寨的,但它往往在后臺(tái)會(huì)有一些其它的變現(xiàn)手段,或者某一天它就用你的手機(jī)去投票,甚至晚上給你推一個(gè)軟件過(guò)來(lái)等等。
代碼植入
在移動(dòng)互聯(lián)網(wǎng)應(yīng)用層還有一件事情不得不說(shuō)新形態(tài),叫做代碼植入。
去年開始,有些惡意程序找到了源頭,比如Xcode事件,所有蘋果開發(fā)的人員都會(huì)用一款開發(fā)工具叫做Xcode,用這款工具開發(fā)iPhone手機(jī)端的移動(dòng)App。
惡意攻擊者會(huì)對(duì)原有的Xcode進(jìn)行代碼改編植入一個(gè)后門,所有用這個(gè)軟件開發(fā)的蘋果App都會(huì)被相應(yīng)植入后門,就像基因遺傳一樣,在原始的開發(fā)工具里面植入了一段后門。
為什么開發(fā)者會(huì)下到改過(guò)代碼的程序?一般來(lái)講,Xcode需要到蘋果官網(wǎng)去下,但因?yàn)閲?guó)外網(wǎng)站打開速度慢,于是有些程序員便通過(guò)搜索引擎直接下載,或者一些網(wǎng)盤的資源,這成為隱患。
大數(shù)據(jù)黑產(chǎn)
目前移動(dòng)安全的一些新形態(tài)值得我們關(guān)注,比如在數(shù)據(jù)層。我們現(xiàn)在都知道每家公司都在做大數(shù)據(jù)、都在講大數(shù)據(jù),隨著數(shù)據(jù)的搜集,對(duì)用戶的精準(zhǔn)畫像。
但數(shù)據(jù)搜集帶來(lái)用戶隱私的問(wèn)題越來(lái)越突出,更可怕的是這方面黑道走在白道前面。
我們所知道的所有大數(shù)據(jù)廠商大家所知道的知名BAT,從來(lái)沒(méi)有聽說(shuō)過(guò)BAT大數(shù)據(jù)共享的,比如你在淘寶買的什么東西可以和你在百度搜索過(guò)什么東西大家互相結(jié)合來(lái)刻畫你。
但是黑客產(chǎn)業(yè)鏈的信息是互通的,今天我有你一張身份證,明天和有你電話號(hào)碼的那個(gè)人進(jìn)行資源互換,后天和有你銀行卡的人資源互換,在地下產(chǎn)業(yè)非常頻繁,而且它們這種大數(shù)據(jù)的整合能力勾劃你整個(gè)人是怎么樣的,非常強(qiáng),互相合作的意識(shí)非常強(qiáng),他們做規(guī)劃的時(shí)候非常精準(zhǔn),他們走在你的前面。
所以權(quán)限方面要慎重。
我們剛才講到了,在數(shù)據(jù)層很多廠商為了獲取信息希望獲取更多的權(quán)限,這些權(quán)限就可能被濫用。
比如一款看圖軟件也會(huì)要通話記錄、通訊錄等。哪怕是計(jì)算機(jī)都會(huì)要你去GPS位置,一個(gè)日歷應(yīng)用也會(huì)要你GPS,可能有些廠商是為了以后更好服務(wù),但現(xiàn)在沒(méi)有明確的法律和標(biāo)準(zhǔn)來(lái)規(guī)范,這就存下隱患。
WiFi熱點(diǎn)能攻破支付類軟件?
往常大家講到連接公共WiFi的時(shí)候談虎色變,很多人都說(shuō)不能連公共WiFi,公共WiFi會(huì)怎么樣怎么樣,經(jīng)常也有一些展示綿羊墻讓你上墻,隱私泄露。
在這兒給大家做一個(gè)技術(shù)普及,幾乎所有的支付類軟件和大部分知名品牌的軟件在核心數(shù)據(jù)交換的時(shí)候都是加密通信的,銀行類的軟件、支付類的軟件,支付的時(shí)候是加密通信的,這是有法規(guī)要求的,必須加密。
而加密通信的流量完全可以放心,就算流量挾持,不知道里面是什么東西,無(wú)法篡改,本身支付類軟件設(shè)計(jì)的時(shí)候就考慮到被挾持這樣的問(wèn)題。
流量挾持可能泄漏你的隱私,看過(guò)什么樣的網(wǎng)站、搜索過(guò)什么東西,可能這些都是明文沒(méi)有加密的傳輸,這些可以獲取得到。
但是支付類的、銀行類的,轉(zhuǎn)帳之類絕對(duì)放心。從我們安全的角度來(lái)說(shuō),都有加密保護(hù),如果沒(méi)有加密保護(hù)就不符合合規(guī)性的要求。
還有公眾好奇WiFi熱點(diǎn)連接怎么做安全。從我們WiFi萬(wàn)能鑰匙安全解決方案來(lái)說(shuō),主要有三個(gè)架構(gòu),從事前、事中和事后。
首先在事前,我們會(huì)對(duì)所有的WiFi熱點(diǎn)包括歷史的數(shù)據(jù)進(jìn)行畫像,在用戶還沒(méi)有連上WiFi的那一刻,我就可以告訴你這個(gè)節(jié)點(diǎn)是否安全。
當(dāng)一枚硬幣拋向空中那一刻,其實(shí)結(jié)果已經(jīng)確定,只是我們不知道而已。如果能捕獲到所有和拋硬幣相關(guān)的力度,角度、高度等等參數(shù),我就能準(zhǔn)確預(yù)測(cè)它的結(jié)果。同樣,WiFi是否安全也不是隨機(jī)的,只要我能捕捉到它的所有數(shù)據(jù)就能算出來(lái)。
基于這個(gè)理念,我們對(duì)所有的WiFi節(jié)點(diǎn)取樣,并分析歷史數(shù)據(jù),比如一個(gè)WiFi節(jié)點(diǎn)位置是否發(fā)生過(guò)移動(dòng)?它的存活時(shí)長(zhǎng)是一天還是一年前就存在?有哪些人連接過(guò)它?這個(gè)WiFi熱點(diǎn)的硬件廠商是怎么樣?歷史上有沒(méi)有發(fā)生過(guò)ARP的攻擊?通過(guò)這些數(shù)據(jù)建模,進(jìn)行分析就可以實(shí)現(xiàn)相當(dāng)準(zhǔn)確的安全判定。
當(dāng)你連接上WiFi以后,我們會(huì)幫你實(shí)時(shí)檢測(cè)當(dāng)前連接的環(huán)境是否存在攻擊行為。同時(shí)提供一個(gè)叫安全隧道的數(shù)據(jù)加密功能。我們的設(shè)計(jì)初衷是:即使這是一個(gè)釣魚節(jié)點(diǎn),即使這是一個(gè)惡意攻擊者部署的竊取信息用戶隱私的節(jié)點(diǎn),我照樣要使用它的熱點(diǎn),而且做到信息不泄露,現(xiàn)在我們的加密隧道已經(jīng)完全可以做到。在這之后,我們提供了一個(gè)WiFi安全險(xiǎn),假設(shè)你使用WiFi萬(wàn)能鑰匙連接WiFi之后遭遇了相關(guān)的攻擊,引起覺(jué)財(cái)產(chǎn)損失,可以向我們理賠,但目前該保險(xiǎn)推出了一年多,還沒(méi)有一起索賠的事件。
總之,移動(dòng)安全由一開始的單一形態(tài)向如今紛繁復(fù)雜的多形態(tài)發(fā)展后,安全威脅變得越來(lái)越多,WiFi萬(wàn)能鑰匙作為一款以分享經(jīng)濟(jì)幫助用戶連接免費(fèi)公共WiFi的上網(wǎng)工具,也希望能為公眾WiFi安全做出一些貢獻(xiàn),幫助提升公眾整體網(wǎng)絡(luò)安全水平。
違法和不良信息舉報(bào)投訴電話:0377-62377728 舉報(bào)郵箱:fbypt@m.4729d.com
網(wǎng)絡(luò)警察提醒你 a>
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
掃黃打非網(wǎng)舉報(bào)專區(qū)