为什么手机安全危机重重
高晓松老师说:“人生不是故事是事故”。人们习惯把安全“外包”给专业机构,只有当祸事袭来才会痛定思痛,这大概是人性的最大bug,因此安全从来不能一劳永逸。如今,全国有12亿人像我们一样,每天与手机为伴。越来越多的安全隐患是从“手机”这个最薄弱环节攻入的,很多网络犯罪分子也已纷纷“转型”线上了。
在第5届中国互联网安全大会(ISC2017)上,360掌门人周鸿祎关于“大安全”的演讲刷新了人们对网络安全认知高度,比如万物皆可编程,只有软件是由人编写就一定存在漏洞,就有被攻破的可能性;在未来网络战,系统漏洞是最宝贵的战略资源;网络安全方向将是军民合作等“大安全”新观念不胜枚举。鉴于移动安全重要性及复杂形势,由360公司组织了ISC2017“移动终端安全论坛”,邀请工信部旗下安全实验室、中国移动、华为、蚂蚁金服、360等活跃在安全产业第一线重要角色参加。
笔者作为媒体代表有幸受邀观摩学习,感慨作为一名安全小白享受着移动互联网带来便捷和繁荣,很少设想网络底层“地基”是否牢固?忧虑过是否有不速之客闯入手机“安乐窝”的可能?如果被攻破还没有察觉,就像被人骗了还在给人数钱一样昏聩,那么,我们的手机未来会真的更安全吗?
手机系统漏洞爆发,
智能手机产业链让安全形势更严峻
主流的智能手机操作系统要么是iOS,要么是Android,国产手机几乎全部基于安卓的开源系统,安卓机市场占据智能手机份额的70%以上。据CVE Details年初的报告,去年安卓软件的漏洞高达523处,高居所有软件漏洞之首;此前360互联网安全中心就出具报告显示,超9成安卓机处于系统高危状态。
好在安卓系统更新非常勤快,升级新版块一般会把以往公布的漏洞进行修补,那漏洞应该会越来越少才对。让人沮丧的是,在ISC移动安全终端论坛上,360 Alpha小组安全研究员杨文林公布了一组数字,2015年谷歌官方公布了64个漏洞,2016年则公布了498个,2017年上半年谷歌官方已披露了1000个,其安全漏洞数量不降反增,预计2018年系统漏洞还将数以千计爆发。
在ISC2017移动终端安全论坛上,中国信息通信研究院泰尔终端实验室信息安全部副主任杨正军在其演讲中,就移动安全形势越来越严峻的原因做了梳理:
智能手机上下游产业链极其庞杂,其中芯片厂商、手机厂商、App应用开发者等每个环节都可能产生漏洞。
各个手机厂商之间相互竞争、各自为政,对自身UI的安全程度不一,比如谷歌发布CV1漏洞后国内各个手机厂商及主要应用修复、升级较为滞后。
用户手机安装众多App,有的App存在敏感信息泄露;随着智能手机所连接的智能设备越来越多,云端密码、用户隐私信息泄露风险加大。
(摘自《2017年中国手机安全生态报告》,不同App对用户隐私权限不一样,整体来看非常严重)
要按以往PC时代安全思维,用户安全直接交给专业网络安全公司、装个杀毒软件或手机安全管家就OK了,但移动安全产业链牵一发而全身,系统漏洞防不慎防,如果不能从全产业链上“团结”起来,很难打击网络犯罪分子及黑客大盗的嚣张气焰。据了解,去年全球网络犯罪所造成的损失高达3万亿美金,预计2021年会达到6亿美金。
打击网络犯罪,
移动互联网全产业链大协作才能“治本”
智能手机不仅是人们的认证中心(手机号与社交资料构成人的身份证及通行证);还是个人的财富中心(支付宝和微信在很多城市已经取代现金支付,还与银行卡进行绑定)。
这意味着网络犯罪分子只要搞定用户手机,绝不可能空手而归,网络犯罪离广大网民并不遥远,据2017年Q2手机安全报告,360猎网平台共接到网络诈骗举报达6807起,涉案金融高达1.2亿元,人均损失17582元,其人均损失基数有逐年上涨态势。
打响移动安全保护战首先要升级的全行业的忧患意识,以系统漏洞侦查甄别及修复为“牛鼻子”顺藤摸瓜。从这个角度讲,安全互联网公司向手机厂商公布或提示漏洞并非要“砸场子”或“搞事情”,而是帮助手机厂商提升自身的防御力。
以苹果为例,去年iOS系统开始尝试安全接口的开放,以拦截骚扰电话、垃圾短信、钓鱼链接等,360推出防骚扰大师等安全软件;而谷歌、微软也会对系统漏洞举报者给予奖励,其中全球安全厂商之中,360提供的漏洞数量最多。
国内运营商、手机厂商、开发者对系统漏洞也应秉持这样的开放态度。要知道,任一手机厂商、互联网公司只备选某方面的数据,无法做到全面的安全监测,要从源头上解决移动安全问题,就需要政府单位、安全互联网公司、运营商、手机厂商、开发者加强合作。出席ISC2017“移动终端安全分论坛”有中国移动、华为、蚂蚁金服的科学家及专家建言献策。
政府及行业管理层面:移动终端安全由于手机厂商规范不统一,驱动力不够,需政府主管部门统筹,比如对电信设备入网进行安全检测、抽查入网设备、对系统安全更新备案;推动手机厂商建立移动智能设备持续性监测与安全管理标准体系,以及全行业安全产业联盟。
运营商与移动互联网、金融机构合作:中国移动已开放自身的用户号码能力,提供实名、短信、号码、数字签名等认证,这些成为移动金融征信的一部分;使手机号码与业务安全结合在一起,让越来越多App基于移动手机号码注册,并进行账户权限管理和各站点的互联互通。
安全互联网企业与手机厂商、第三方应用分发平台合作:如华为手机就下架了近3000多个问题应用;360对安全隐患的App进行跟踪,对有漏洞或病毒程序的溯源,再做风险分析和应急预警等。
此外,用户数据安全管理需要保护用户隐私不被非法获取,手机安全管理软件防止伪基站WiFi热点窃取用户账户密码;云服务公司尤其需重视云数据存储及下发安全等,都需要安全互联网公司与最新云计算、大数据等公司协作。
以往移动互联网行业中各个参与者都在想如何做安全产品,专业水平暂且不论,但往往只能“马后炮”修补迭代,面对不断变异的病毒程序形同虚设。唯有移动安全生态中的芯片厂商、终端厂商、手机厂商、运营商及安全互联网公司开放协作,才能提升移动安全的根本。
- 上一篇:新媒体创业者是真的走投无路了吗
- 下一篇:腾讯QQ表示:内容创业现在出发还不算过时