移动终端安全防御战打响,未来网络会更危险还是更安全?

高晓松老师说:“人生不是故事是事故”。人们习惯把安全“外包”给专业机构,只有当祸事袭来才会痛定思痛,这大概是人性的最大bug,因此安全从来不能一劳永逸。如今,全国有12亿人像我们一样,每天与手机为伴。越来越多的安全隐患是从“手机”这个最薄弱环节攻入的,很多网络犯罪分子也已纷纷“转型”线上了。

在第5届中国互联网安全大会(ISC2017)上,360掌门人周鸿祎关于“大安全”的演讲刷新了人们对网络安全认知高度,比如万物皆可编程,只有软件是由人编写就一定存在漏洞,就有被攻破的可能性;在未来网络战,系统漏洞是最宝贵的战略资源;网络安全方向将是军民合作等“大安全”新观念不胜枚举。鉴于移动安全重要性及复杂形势,由360公司组织了ISC2017“移动终端安全论坛”,邀请工信部旗下安全实验室、中国移动、华为、蚂蚁金服、360等活跃在安全产业第一线重要角色参加。

笔者作为媒体代表有幸受邀观摩学习,感慨作为一名安全小白享受着移动互联网带来便捷和繁荣,很少设想网络底层“地基”是否牢固?忧虑过是否有不速之客闯入手机“安乐窝”的可能?如果被攻破还没有察觉,就像被人骗了还在给人数钱一样昏聩,那么,我们的手机未来会真的更安全吗?

一、手机系统漏洞爆发,智能手机产业链让安全形势更严峻

主流的智能手机操作系统要么是iOS,要么是Android,国产手机几乎全部基于安卓的开源系统,安卓机市场占据智能手机份额的70%以上。据CVE Details年初的报告,去年安卓软件的漏洞高达523处,高居所有软件漏洞之首;此前360互联网安全中心就出具报告显示,超9成安卓机处于系统高危状态。


好在安卓系统更新非常勤快,升级新版块一般会把以往公布的漏洞进行修补,那漏洞应该会越来越少才对。让人沮丧的是,在ISC移动安全终端论坛上,360 Alpha小组安全研究员杨文林公布了一组数字,2015年谷歌官方公布了64个漏洞,2016年则公布了498个,2017年上半年谷歌官方已披露了1000个,其安全漏洞数量不降反增,预计2018年系统漏洞还将数以千计爆发。

在ISC2017移动终端安全论坛上,中国信息通信研究院泰尔终端实验室信息安全部副主任杨正军在其演讲中,就移动安全形势越来越严峻的原因做了梳理:

1.智能手机上下游产业链极其庞杂,其中芯片厂商、手机厂商、App应用开发者等每个环节都可能产生漏洞。

2.各个手机厂商之间相互竞争、各自为政,对自身UI的安全程度不一,比如谷歌发布CV1漏洞后国内各个手机厂商及主要应用修复、升级较为滞后。

3.用户手机安装众多App,有的App存在敏感信息泄露;随着智能手机所连接的智能设备越来越多,云端密码、用户隐私信息泄露风险加大。

(摘自《2017年中国手机安全生态报告》,不同App对用户隐私权限不一样,整体来看非常严重)

要按以往PC时代安全思维,用户安全直接交给专业网络安全公司、装个杀毒软件或手机安全管家就OK了,但移动安全产业链牵一发而全身,系统漏洞防不慎防,如果不能从全产业链上“团结”起来,很难打击网络犯罪分子及黑客大盗的嚣张气焰。据了解,去年全球网络犯罪所造成的损失高达3万亿美金,预计2021年会达到6亿美金。

二、打击网络犯罪,移动互联网全产业链大协作才能“治本”

智能手机不仅是人们的认证中心(手机号与社交资料构成人的身份证及通行证);还是个人的财富中心(支付宝和微信在很多城市已经取代现金支付,还与银行卡进行绑定)。

这意味着网络犯罪分子只要搞定用户手机,绝不可能空手而归,网络犯罪离广大网民并不遥远,据2017年Q2手机安全报告,360猎网平台共接到网络诈骗举报达6807起,涉案金融高达1.2亿元,人均损失17582元,其人均损失基数有逐年上涨态势。

打响移动安全保护战首先要升级的全行业的忧患意识,以系统漏洞侦查甄别及修复为“牛鼻子”顺藤摸瓜。从这个角度讲,安全互联网公司向手机厂商公布或提示漏洞并非要“砸场子”或“搞事情”,而是帮助手机厂商提升自身的防御力。

以苹果为例,去年iOS系统开始尝试安全接口的开放,以拦截骚扰电话、垃圾短信、钓鱼链接等,360推出防骚扰大师等安全软件;而谷歌、微软也会对系统漏洞举报者给予奖励,其中全球安全厂商之中,360提供的漏洞数量最多。

国内运营商、手机厂商、开发者对系统漏洞也应秉持这样的开放态度。要知道,任一手机厂商、互联网公司只备选某方面的数据,无法做到全面的安全监测,要从源头上解决移动安全问题,就需要政府单位、安全互联网公司、运营商、手机厂商、开发者加强合作。出席ISC2017“移动终端安全分论坛”有中国移动、华为、蚂蚁金服的科学家及专家建言献策。

(ISC2017首届移动终端安全论坛专家)

1.政府及行业管理层面:移动终端安全由于手机厂商规范不统一,驱动力不够,需政府主管部门统筹,比如对电信设备入网进行安全检测、抽查入网设备、对系统安全更新备案;推动手机厂商建立移动智能设备持续性监测与安全管理标准体系,以及全行业安全产业联盟。

2.运营商与移动互联网、金融机构合作:中国移动已开放自身的用户号码能力,提供实名、短信、号码、数字签名等认证,这些成为移动金融征信的一部分;使手机号码与业务安全结合在一起,让越来越多App基于移动手机号码注册,并进行账户权限管理和各站点的互联互通。

3.安全互联网企业与手机厂商、第三方应用分发平台合作:如华为手机就下架了近3000多个问题应用;360对安全隐患的App进行跟踪,对有漏洞或病毒程序的溯源,再做风险分析和应急预警等。

此外,用户数据安全管理需要保护用户隐私不被非法获取,手机安全管理软件防止伪基站WiFi热点窃取用户账户密码;云服务公司尤其需重视云数据存储及下发安全等,都需要安全互联网公司与最新云计算、大数据等公司协作。

以往移动互联网行业中各个参与者都在想如何做安全产品,专业水平暂且不论,但往往只能“马后炮”修补迭代,面对不断变异的病毒程序形同虚设。唯有移动安全生态中的芯片厂商、终端厂商、手机厂商、运营商及安全互联网公司开放协作,才能提升移动安全的根本。

三、安全产业永远要道高一尺,安全互联网企业是协调者+赋能者

对广大用户来说,移动安全也是“武功再高,也怕菜刀”,无数耳钓鱼网站及网络诈骗让互联网充满陷阱,以手机端勒索软件为例,据360烽火实验室技术经理陈宏伟表示,在2017年上半年,总共截获了勒索病毒41万个,其中一些勒索病毒甚至能以语音或二维码解锁形式,制作成本低廉,而且每天新增约2万个勒索病毒,这些病毒甚至被一些00后群体作为谋财工具进行经营和散布。


今年5月WannaCry勒索病毒事件开始显示其狰狞的一面。很多国家、地区的加油站没法加油,交通指挥系统失灵、医生做不了手术、银行系统被攻入等,其勒索支付手段是查无实证的比特币;更令人细思极恐的是,该事件使用的竟是美国泄露的网络战武器之一。不仅移动安全是一个系统,整个网络安全也与金融安全、公共设施安全、国家安全联系成为一个生态系统,而移动安全可能就是大安全系统之中最薄弱、也最常见的环节。

有数据统计,目前黑色产业链的规模是网络安全产业的10倍以上。在电影《速度与激情8》中的大反派赛弗抢走“天眼系统”,从而把所有人的手机、城市里的摄像头成为她随时可调用的监控,马路上行驶的汽车瞬间成为“僵尸”和自杀性袭击武器。这是一个IOT时代预言,当人们不安分地接近自动化、智能化的AI世界时,如果没有强有力的网络安全技术作为保障,那将是历史灾难!


乐观主义者认为“魔高一尺、道高一丈”。移动安全痛点越强、人们市场需求越旺盛,政府对安全产业的重视和扶持,可以说,当前也处于安全产业“双创”的黄金期,由360主办的ISC2017“安全双创周”及“安全训练营”活动就给予国内的白帽子创客以资金、技术和平台支持,安全创业的风口正在猛烈刮起。据艾瑞的研究报告显示,在2016年全球安全投入增长至7356.8亿美元,占据IT总投入的16%;而在2017年达到9104.4亿美元,与全球IT产业同步的中国更须在安全产业上厚积薄发。

在这个过程之中,360的格局似乎从以往为用户服务的产品型公司逐步升级为一家输出安全能力,为互联网公司、企业、银行提供安全技术保障的社会型组织,而在打造移动安全全产业链过程之中,政府与市场之间,各个手机厂商之间、手机厂商与安全厂家之间、互联网公司与安全互联网公司、安全产业创客与资本市场之间绝少不了360的“穿针引线”,能否在“安全”上求同存异,如何逐渐化解互联网公司由来已久的数据封锁、战略对峙等“小九九”,摒弃零和博弈思维,相当考虑智慧,但这是营建移动安全生态链的希望。

结语

互联网本身是代码编写的的比特世界,随之智能手机在渗透人们生活,连WiFi上网与安全一样成为最底层的刚需,而移动互联网一步步把“人和物联网”,越来越多智能硬件会成为移动终端,系统漏洞的疏忽、被利用,都会对物理世界、对人造成实质性的损伤。只有在移动安全内“积跬步”、全产业链上“手牵手”,才有可能在万物互联(IOT)时代“行千里”,因为无论科技多么发达,人的“安全感”将构成用户体验及商业价值的支点。

作者:李星,靠谱的阿星,科技媒体专栏作家