作为 WiFi 万能钥匙的首席安全官,goodwell 龚蔚在 3月7日 WiFi 万能钥匙举办的安全之道线下沙龙,和观众们聊了聊他看到的移动安全变迁,以及他们为之所做的努力。以下是演讲内容,雷锋网(公众号:雷锋网)整理发布(其中小标题为雷锋网编辑所加):
从“上古时期”说起
早期移动安全的威胁主要来自于系统层面。那时系统在设计时不那么完美,有各种各样的潜在系统安全漏洞,这些漏洞可能导致被提权、远程内存溢出等问题。
root 最高权限的争夺打开了潘多拉的魔盒,恶意软件一旦取得 root权限,就等于得到了设备的控制权,做很多超越用户所做的事情,比如手机关机以后窃听周边的环境。
手机关机之后还能窃听?在座(记者)可能不太相信,但这在安全界是常识。举个简单的例子,当我有系统最高权限时,你按关机键,我就给你播放一段关机画面,手机没有真正关机,但是屏幕、震动等状态表现地和关机一样,然后你的手机就会自动接听我的号码,并且开启免提,这样我就可以窃听你了。
正是由于root这种至高无上的权利,成为恶意软件争夺的制高点,安全厂商为了防范这些获取root权限的恶意软件,它原来在应用层是无法对抗这些恶意软件的,所以它也要必须取得和它相同水平的甚至于高于它的权限。因此,那时系统权限是安全厂商和恶意攻击者争夺的制高点。
从系统层转向应用层
随着时代的发展,漏洞发布修复体系越来越完善,不再像早期刚发布没几个月就蹦个高危漏洞来。恶意软件想取得系统最高权限越来越难,手机的越狱、root也越来越难。
于是,原本制作恶意软件的人会把攻击的重心移向到应用层,以前获取 root 权限是为了窃取用户的银行帐号或者钱财的转帐或者其它信息来获利。后来获利手段越来越多,不需要 root 权限,在应用层就可以变现。应用层成为主要攻击入口,在这几个方面体现的非常明显:
被滥用的权限声明
现在大部分软件都会大量申请各种各样的系统权限,GPS 位置、定位、通话记录等等,过多的权限声明就造成了权限滥用。一款看图软件也要你的通话记录、通讯录;一个计算器也要你的 GPS 位置。在权限申请这块,目前还没有明确的法律法规或者行业标准来限制,因此该问题也有待规范。
代码植入
近年最典型的就是 X-code 事件,苹果软件的开发人员都会用一款叫做 Xcode的开发工具,恶意攻击者对原有的Xcode进行代码改编植入一个后门,发布在网上,使得所有用该工具开发的苹果APP都会被相应植入后门,最终造成了大范围的APP感染。
恶意软件
根据国家互联网应急中心的数据,2013年恶意软件被感染的用户数量是609万,2014年2292万,2015年1点多亿,恶意软件的数量也从2011年6000多个,到2015年的16万个。
在恶意软件方面,国家打击的力度越来越大,2015 年互联网应急中心就累计向302家应用市场商店网盘通报恶意软件1.7万余起,查杀的力度越来越大。于是恶意软件转向另一种盈利模式——山寨软件。
山寨软件
在应用市场里,一款知名的移动端APP很可能有上百个的“李鬼”,它可能是LOGO一样、名称相似、皮肤一模一样,这些山寨程序很难让用户分辨清楚谁真谁假。很多人说他做一个山寨软件可能也不带恶意行为。但是它为了变现,可能会在晚上12点后台推送大量的软件,假如你发现第二天开机多了几个软件,可能就是山寨软件所为。
为了获取金钱和利益,大量的山寨软件产生,但山寨软件又不是恶意程序,很难把它定义为是非法程序,它只是皮肤、LOGO或者名称和合法正版的某款软件长得很像,不带有明显恶意攻击的行为。对山寨软件的查杀力度不严,导致应用市场普遍存在这样的现象。
去年WiFi万能钥匙就联合各大应用市场和手机厂商做了打击山寨的活动,查出1387款WiFi万能钥匙的山寨应用,经过我们的努力最终有1305款山寨下线,但是山寨软件又像雨后春笋一样,砍掉一个又出来很多个,不断有大量仿冒的山寨软件出来。
这里我做了一个截图,在某应用移动市场上搜WiFi万能钥匙,出现大量长得和我们LOGO一模一样的应用软件,一共有19页,当翻到第15页的时候还可以看到有类似LOGO的。
除此之外,我们会发现安全形势从最开始的单一形态衍生出了各式各样的新威胁形态,比如:
黑产善用大数据分析
现在每家公司都说要做大数据,通过数据的搜集,对用户进行精准画像,但是,数据的搜集也让用户隐私泄露的问题越来越突出。尤其在这里我想说,在大数据做用户画像上,黑道走到白道的前面。
我们知道,像BAT这样的大公司都在做大数据,但从没有听说BAT之前有做数据互享的,你在淘宝买东西的数据,和你在百度搜索内容的数据,是没有相互结合来刻画你的身份画像的。但是在黑色产业链,你所有信息是互通的。有你身份证信息的那个人,会跟有你电话号码的那个人资源互换,会和有你银行卡的人资源互换,它们这种强大的数据整合,最终会勾勒出你整个人的互联网画像。地下黑产们的合作意识非常强,这一点走在了我们的前面。
网络敲诈像幽灵般笼罩
2016年网络敲诈被定义为超过恶意软件的网络安全威胁。中了敲诈软件的情形,和电影《电锯杀人狂》里的情节有些类似 :
我现在跟你做一个游戏,你电脑上的文件正在一点一点地被我删除,每过一段时间删除一点。如果你重启电脑,我会一下子删除一千个文件,如果你把我删除的话,你将再也找不会你所有的文件。
网络敲诈行情价一般便宜的25美金,一般贵的150美金。而且根据你支付的时长递增,第一天不付100,第二天150,不收转帐只收比特币。
在这里提醒一下各位,一旦如果你们遇到网络敲诈,最好不要付钱。因为一旦你付过钱,你这个公司的后缀邮箱的域名就会进入勒索者的白名单,成为“优质客户”,大量的敲诈勒索会向你这个域名和邮箱后缀发过来。付费的结果可能是你自己解密了文件,但是你公司的同事可能会成为攻击目标。因此防范网络敲诈还是应该以预防和备份为主。
除了数据勒索,智能设备的勒索也屡见不鲜,最典型的就是苹果手机勒索,许多勒索者利用苹果手机的丢失锁定功能,通过盗取受害者的 iCloud 账号来锁定用户的手机,有非常多的人中招。如今智能汽车非常先进,未来你的汽车也可能成为网络敲诈勒索的目标。
智能设备引发智能之患
去年互联网就发生了这样一件事,美国的电力设备遭遇大规模拒绝服务攻击,溯源以后发现攻击源主要不是来自服务器,不是PC,不是移动手机,而是一堆智能设备。什么概念?可能是一个门铃,可能是一个扫地机器人,可能是智能插线板。恶意攻击者控制了大量的智能设备,在互联网发起攻击。这种形态在以后可能会越来越多见,智能设备越来越多使用到,而且连接到网络上,有的设备的安全保护非常差,甚至于有些开发厂商自己留下后门,就被恶意攻击者利用,成为攻击源。这类事情可能会越来越多,未来发起攻击可能不再是服务器、PC、移动电脑,可能就是一个门铃就能发起一个攻击,就可以做各种各样攻击的行为,这个也是我们在未来几年应该看得到的。
WiFi安全谈虎色变
WiFi 安全近年来也成为了人们关注的热点,315 曝光WiFi安全隐患之后,大家一讲到连接公共WiFi就谈虎色变,大家都说不能连公共WiFi,会造成隐私泄露。但公共WiFi就完全不能用了吗?为此,WiFi万能钥匙也有自己的安全解决方案,我们是分为事前事中和事后三个方面来做的:
首先在事前,我们会对所有的WiFi热点包括历史的数据进行画像,在用户还没有连上WiFi的那一刻,我就可以告诉你这个节点是否安全。
当一枚硬币抛向空中那一刻,其实结果已经确定,只是我们不知道而已。如果能捕获到所有和抛硬币相关的力度,角度、高度等等参数,我就能准确预测它的结果。同样,WiFi是否安全也不是随机的,只要我能捕捉到它的所有数据就能算出来。
基于这个理念,我们对所有的WiFi节点取样,并分析历史数据,比如一个WiFi节点位置是否发生过移动?它的存活时长是一天还是一年前就存在?有哪些人连接过它?这个WiFi热点的硬件厂商是怎么样?历史上有没有发生过ARP的攻击?通过这些数据建模,进行分析就可以实现相当准确的安全判定。
当你连接上WiFi以后,我们会帮你实时检测当前连接的环境是否存在攻击行为。同时提供一个叫安全隧道的数据加密功能。我们的设计初衷是:即使这是一个钓鱼节点,即使这是一个恶意攻击者部署的窃取信息用户隐私的节点,我照样要使用它的热点,而且做到信息不泄露,现在我们的加密隧道已经完全可以做到。在这之后,我们提供了一个WiFi安全险,假设你使用WiFi万能钥匙连接WiFi之后遭遇了相关的攻击,引起觉财产损失,可以向我们理赔,但目前该保险推出了一年多,还没有一起索赔的事件。
总之,移动安全由一开始的单一形态向如今纷繁复杂的多形态发展后,安全威胁变得越来越多,WiFi万能钥匙作为一款以分享经济帮助用户连接免费公共WiFi的上网工具,也希望能为公众WiFi安全做出一些贡献,帮助提升公众整体网络安全水平。
注:本文由雷锋网根据演讲内容编辑整理,少量内容删改。
雷锋网原创文章,未经授权禁止转载。详情见转载须知。