整個(gè)世界都處在一種離奇病毒的侵襲之下，病毒變異，強(qiáng)化，無(wú)孔不入。人們從來(lái)沒(méi)有像這樣彼此疏離、猜忌、提防與攻擊。

人對(duì)病毒的恐懼，已經(jīng)遠(yuǎn)遠(yuǎn)超出人對(duì)人的恐懼。但人在禁閉島，新型威脅攀附網(wǎng)絡(luò)之上。

在無(wú)感中，“魔形女”（Mystique）奇襲，瞄準(zhǔn)安卓系統(tǒng)，Android 11。

同于漫威電影中角色，魔形女可以變成任何人，潛入防衛(wèi)嚴(yán)密的基地，發(fā)起攻擊。

在安卓11中，“魔形女”能夠化為任意APP的樣子，取得權(quán)限和數(shù)據(jù)，完全繞過(guò)防護(hù)機(jī)制。在用戶毫無(wú)感知中，隨意獲取APP數(shù)據(jù)或系統(tǒng)數(shù)據(jù)，代表用戶轉(zhuǎn)賬、發(fā)消息、獲取隱私數(shù)據(jù)?！澳闻甭┒闯蔀樵谟脩魬B(tài)再次打破了App包安裝后只讀并被信任的默認(rèn)假設(shè)，躲在暗處，悄無(wú)聲息地寄生。

耐心的獵手以獵物方式登場(chǎng)。

今年5月，京東探索研究院信息安全實(shí)驗(yàn)室在持續(xù)追蹤安卓系統(tǒng)的安全研究時(shí)發(fā)現(xiàn)，Android11系統(tǒng)存在高危漏洞，并將其命名為“魔形女”漏洞。

在此之前，不曾可知有誰(shuí)遭受過(guò)攻擊。但全球8億Andoid11用戶面臨隱私風(fēng)險(xiǎn)。

在這之外，是全球超30億安卓用戶，占世界人口近四成。魔形女野心赤裸。

這個(gè)漏洞的利用原理，就像拿到了酒店的通用鑰匙，隨意進(jìn)入某一住客房間。

誰(shuí)能想到進(jìn)入房間的會(huì)是誰(shuí)。黑灰產(chǎn)？惡意商業(yè)實(shí)體？境外黑客勢(shì)力？或者一個(gè)熟悉的人？

在Android歷史上也曾出現(xiàn)過(guò)一些可達(dá)到類似效果的提權(quán)漏洞，包括Android 5之前的遠(yuǎn)古時(shí)代，以及近5年來(lái)遠(yuǎn)程、內(nèi)核和SystemServer的一些問(wèn)題，如Bitummap漏洞。但隨著Android防御機(jī)制不斷加強(qiáng)和代碼質(zhì)量不斷提高、攻擊面不斷削減，近年來(lái)這些漏洞可謂鳳毛麟角，利用難度也越來(lái)越高。而且因?yàn)锳ndroid碎片化的現(xiàn)狀，幾年來(lái)都很難有一個(gè)穩(wěn)定的通殺漏洞。

防御難度與黑客技術(shù)水漲船高。

京東探索研究院信息安全實(shí)驗(yàn)室高級(jí)研究員Ricky說(shuō)到，“大概這五年來(lái)，大家已經(jīng)沒(méi)再看到過(guò)有影響面非常廣泛、攻擊效果非常穩(wěn)定的漏洞了，“魔形女”漏洞十分罕見(jiàn)?！?/p>

誰(shuí)喚醒了魔形女？

安卓本身是沙盒防御系統(tǒng)，每個(gè)數(shù)據(jù)都會(huì)隔離保存，形成一個(gè)個(gè)房間。每個(gè)房間都有一把鎖，如果想串門(mén)的話，需要房間主人明確同意，即表現(xiàn)為安卓數(shù)據(jù)共享機(jī)制中最小權(quán)限原則。當(dāng)需要授權(quán)時(shí)，系統(tǒng)必須明確權(quán)限范圍，即訪客在何種條件下，執(zhí)行何種操作，訪問(wèn)何種資源的權(quán)限。

而Google工程師在開(kāi)發(fā)過(guò)程中或許為了完成新特性，在產(chǎn)品設(shè)計(jì)中違反了最小權(quán)限原則，導(dǎo)致原本嚴(yán)密的沙箱設(shè)計(jì)中出現(xiàn)了松動(dòng)，如同酒店房間的門(mén)鎖制造廠商在新鎖生產(chǎn)過(guò)程中出現(xiàn)失誤，導(dǎo)致一把新的鑰匙能夠打開(kāi)所有的門(mén)鎖。

原本的一把鑰匙成了萬(wàn)能鑰匙。有了這把鑰匙，能打開(kāi)哪些門(mén)?

Ricky說(shuō)到，“我們基本上對(duì)所有的主流手機(jī)廠商的設(shè)備系統(tǒng)進(jìn)行了自動(dòng)化掃描，發(fā)現(xiàn)了多個(gè)可被攻擊的漏洞，最終將安卓系統(tǒng)的“魔形女”漏洞升級(jí)為一個(gè)具有巨大影響力的漏洞鏈。”

京東安全實(shí)驗(yàn)室憑借對(duì)安卓系統(tǒng)的深入了解，持續(xù)追蹤安卓系統(tǒng)的每一次更新，在研究過(guò)程中敏銳地注意到了Android 11 引入新特性時(shí)的問(wèn)題?！坝羞@個(gè)發(fā)現(xiàn)之后，我們借助自研的自動(dòng)化、半自動(dòng)化漏洞挖掘框架，發(fā)現(xiàn)魔形女漏洞會(huì)利用各個(gè)廠商自身的漏洞，組合一條漏洞鏈條，最終達(dá)到對(duì)任意應(yīng)用和數(shù)據(jù)竊取的效果?！盧icky說(shuō)到。

新的風(fēng)險(xiǎn)值得行業(yè)警惕。京東第一時(shí)間向Google、Samsung、OPPO等安卓手機(jī)廠商通知了漏洞并提出修復(fù)建議，并及時(shí)按相關(guān)規(guī)定進(jìn)行上報(bào)，而且向全社會(huì)用戶提供了SDK自測(cè)工具。目前Google已經(jīng)在最新版本的Android11和新發(fā)布的Android12中修復(fù)了這些問(wèn)題。

Ricky對(duì)雷鋒網(wǎng)說(shuō)到，“因?yàn)檫@個(gè)漏洞涉及到谷歌自身，并且它是所有安卓聯(lián)盟的盟主，首要通報(bào)就是谷歌。并且也在第一時(shí)間通知了安卓設(shè)備出貨量的第一的三星廠商，以及國(guó)內(nèi)用戶較多，影響較大的手機(jī)廠商。但華為情況比較特殊，我們發(fā)現(xiàn)鴻蒙系統(tǒng)沒(méi)受影響。因?yàn)轼櫭上到y(tǒng)是基于較早版本的安卓系統(tǒng)改造而來(lái)，反而沒(méi)有這個(gè)漏洞?！?/p>

據(jù)數(shù)據(jù)統(tǒng)計(jì)，全球安卓機(jī)用戶已經(jīng)超30億，中國(guó)品牌的安卓機(jī)幾乎占全球的半壁江山，是安卓最大的手機(jī)市場(chǎng)，三星為第一品牌，Oppo為第二品牌，順次為華為。

目前主流安卓廠商均已確認(rèn)修復(fù)漏洞，并發(fā)布了補(bǔ)丁和做了系統(tǒng)升級(jí)。

現(xiàn)在企業(yè)可自行在App中部署京東探索研究院信息安全實(shí)驗(yàn)室博客提供的檢測(cè)SDK，及時(shí)檢測(cè)是否被黑灰產(chǎn)利用，還可以通過(guò)MDM檢測(cè)員工辦公移動(dòng)設(shè)備，查看是否被利用于定向APT攻擊。對(duì)于更多的個(gè)體用戶，需要及時(shí)更新設(shè)備或打補(bǔ)丁，或使用檢測(cè)工具查看自己是否被“魔形女”攻擊過(guò)。

這也表明科技行業(yè)對(duì)發(fā)現(xiàn)漏洞的標(biāo)準(zhǔn)回應(yīng)方式發(fā)生了重大轉(zhuǎn)變。目前包括騰訊、阿里、京東、百度等互聯(lián)網(wǎng)公司的安全應(yīng)急響應(yīng)中心都有一種獎(jiǎng)勵(lì)機(jī)制。

“當(dāng)然有白市就有黑市，世界上也有漏洞軍火商，一個(gè)安卓漏洞或者IOS漏洞在黑市能開(kāi)到一百萬(wàn)美元的價(jià)格，獲得的物質(zhì)獎(jiǎng)勵(lì)其實(shí)是比報(bào)給廠商的獎(jiǎng)勵(lì)多得多。但是漏洞獎(jiǎng)勵(lì)更多的是對(duì)研究者的一個(gè)認(rèn)可，這種價(jià)值會(huì)是越來(lái)越高的?！盧icky談到。

京東自身也有漏洞獎(jiǎng)勵(lì)計(jì)劃，表明對(duì)這種合法研究的認(rèn)可和鼓勵(lì)支持，并且在自身信息安全建設(shè)方面，也在吸引業(yè)界頂尖人才的加入。

權(quán)衡京東安全的“護(hù)城河”和行業(yè)安全的“水位線”，這個(gè)問(wèn)題在京東看來(lái)并不矛盾。

京東信息安全部高級(jí)總監(jiān)周群對(duì)雷鋒網(wǎng)說(shuō)到，“我們京東也有自己的安卓端用戶，體量非常大。如果在安全這部分我們自己都沒(méi)有發(fā)現(xiàn)，以及我們沒(méi)有第一時(shí)間為業(yè)務(wù)體做保護(hù)，通知其他的廠商，這種風(fēng)險(xiǎn)很有可能被惡意團(tuán)伙、人或者組織利用，最終會(huì)變成對(duì)我們京東用戶的一種傷害?！?/strong>

從企業(yè)到行業(yè)，不變的是用戶群體。但站在什么立場(chǎng)上考量用戶，關(guān)系到企業(yè)發(fā)展的長(zhǎng)期戰(zhàn)略。

邁出京東舒適圈：從場(chǎng)景安全走向生態(tài)安全

京東安全團(tuán)隊(duì)建立可以追溯到2011年，而專門(mén)從事前沿安全技術(shù)研究的安全實(shí)驗(yàn)室從2017年建立至今，也已經(jīng)走過(guò)快四個(gè)年頭。四年前，京東安全實(shí)驗(yàn)室的名字還是“安全攻防”實(shí)驗(yàn)室，是在當(dāng)時(shí)全球范圍內(nèi)AI、IoT 和云計(jì)算快速發(fā)展中的技術(shù)迎頭之舉、業(yè)務(wù)安保之舉。

發(fā)展至今，京東安全的實(shí)驗(yàn)室研究發(fā)展為三個(gè)部分：其一是基于業(yè)務(wù)的安全研究，其二是偏底層通用性的安全機(jī)制的安全研究，其三是最新前沿技術(shù)的安全研究，例如AIoT。目前京東在硅谷有一個(gè)安全研發(fā)中心，主要是AI安全、黑產(chǎn)對(duì)抗、IoT安全研究，也包括國(guó)內(nèi)的京東牧者安全實(shí)驗(yàn)室，主要做IoT安全、區(qū)塊鏈安全、開(kāi)源社區(qū)等研究項(xiàng)目，包括大家熟知的麒麟框架等。另外還有會(huì)致力于基礎(chǔ)設(shè)施漏洞方面的研究，即Ricky團(tuán)隊(duì)。

目前京東安全已經(jīng)不僅關(guān)注自身業(yè)務(wù)中的安全場(chǎng)景，更將”京東特色”、“零信任體系”為目標(biāo)，以“互聯(lián)網(wǎng)免疫”為理想，力爭(zhēng)向產(chǎn)業(yè)輸出前沿安全能力。

周群談到，“技術(shù)公司做安全，可能會(huì)把安全切分成很多個(gè)維度，應(yīng)用安全、辦公安全等。從京東的角度看，其實(shí)所有的安全都是建立在企業(yè)信息化的基礎(chǔ)上，最終歸為三大類：計(jì)算類安全、賬號(hào)類安全、數(shù)據(jù)類安全?！?/p>

針對(duì)三大類資源，解決所有企業(yè)共通的問(wèn)題，解決IT基礎(chǔ)設(shè)施數(shù)字化能力落后的同時(shí)還要消耗大量的時(shí)間和精力逐個(gè)定制每家企業(yè)的安全機(jī)制，或者說(shuō)很難標(biāo)準(zhǔn)化地服務(wù)。如果通過(guò)一種零信任的框架，以低成本、卡點(diǎn)機(jī)制作為增量控制，以一系列的安全經(jīng)驗(yàn)做存量問(wèn)題消除，把整個(gè)行業(yè)的安全機(jī)制建立起來(lái)，這是京東能夠做成的事情。從源頭解決企業(yè)的安全問(wèn)題。

這是基于京東多年來(lái)"黑灰產(chǎn)"的對(duì)抗經(jīng)驗(yàn)，也是結(jié)合行業(yè)前沿的安全體系和安全技術(shù)，以及零售、物流、數(shù)科、保險(xiǎn)、健康等各領(lǐng)域積累的安全運(yùn)營(yíng)經(jīng)驗(yàn)。

這里面既有挑戰(zhàn)，也有京東這種大體量公司積累起來(lái)的經(jīng)驗(yàn)支撐。“整體上看，這些也是現(xiàn)在的發(fā)展趨勢(shì)之一，讓各家公司互聯(lián)互通、整體開(kāi)放，一起構(gòu)筑行業(yè)整體的安全生態(tài)。”周群說(shuō)到。

隨著京東整個(gè)業(yè)務(wù)體態(tài)的發(fā)展，從最早全部線上的業(yè)務(wù)環(huán)境，到現(xiàn)在全球規(guī)模最大的線下倉(cāng)配，其中包含的大量電商場(chǎng)景、支付場(chǎng)景、物聯(lián)網(wǎng)場(chǎng)景、云場(chǎng)景等全維度場(chǎng)景，包括物流體系已經(jīng)引入越來(lái)越多的人工智能等一系列的新技術(shù)。從安全戰(zhàn)角度來(lái)看，京東從過(guò)去只需要著眼自體生產(chǎn)網(wǎng)、辦公網(wǎng)到現(xiàn)在倉(cāng)配網(wǎng)、供應(yīng)鏈，用戶與客戶體系，以及行業(yè)生態(tài)體系。只要用戶參與的，有感的，對(duì)京東來(lái)講都是防護(hù)范圍之內(nèi)。無(wú)論是從安全邊界、深度、還是廣度，京東安全都跟此前不一樣。

周群談到，“京東安全是基于京東的內(nèi)生安全能力，聯(lián)手生態(tài)伙伴共同打造安全基礎(chǔ)設(shè)施。本身京東業(yè)務(wù)場(chǎng)景在國(guó)內(nèi)來(lái)看，都屬于最上層、最復(fù)雜的規(guī)模。”

從企業(yè)出發(fā)，做安全的事情，更像是用一根縱線為所有業(yè)務(wù)放置了一塊背景板。當(dāng)然從頂層設(shè)計(jì)來(lái)看，應(yīng)對(duì)互聯(lián)網(wǎng)行業(yè)的安全變化是行業(yè)可持續(xù)發(fā)展的內(nèi)在要求，也是負(fù)責(zé)任大企應(yīng)盡的企業(yè)義務(wù)，這不是別人要大企做，而是企業(yè)自己要做。

目前，京東在保護(hù)自身各個(gè)業(yè)務(wù)線安全的同時(shí)，也將這些安全能力對(duì)外賦能，在企業(yè)客戶那里也沉淀了案例和口碑。現(xiàn)在，京東安全正在與京東各個(gè)技術(shù)服務(wù)業(yè)務(wù)線合作，一起將安全能力輸出給更多的客戶和合作伙伴，幫助整個(gè)生態(tài)提升安全水位。就比如此次漏洞的發(fā)現(xiàn)，幫助知名企業(yè)修復(fù)漏洞，向大眾提供檢測(cè)工具，都是為生態(tài)伙伴提供安全支撐。

京東目前正在準(zhǔn)備第三條曲線，技術(shù)服務(wù)于企業(yè)數(shù)字安全，也是技術(shù)賦能于京東整體業(yè)務(wù)。可以預(yù)見(jiàn)的是，企業(yè)進(jìn)場(chǎng)做數(shù)字安全服務(wù)的事情，并不在于企業(yè)能夠提供多大的橫向產(chǎn)品矩陣，而在于參考企業(yè)自身的生態(tài)系統(tǒng)，推出更好的服務(wù)組合。

“在京東內(nèi)部，我們不會(huì)把風(fēng)險(xiǎn)等級(jí)作為單一維度，從安全風(fēng)險(xiǎn)的等級(jí)看，它可能是嚴(yán)重、高危、中危、中低危。但是這個(gè)風(fēng)險(xiǎn)最終的定級(jí)除了技術(shù)的危害性之外，其實(shí)更多的是參考企業(yè)本身的業(yè)務(wù)承載面。”

“我們畢竟不是純粹的安全廠商，可以去以技術(shù)去徹底定義一個(gè)漏洞。我們企業(yè)服務(wù)的整體策略是，不能打擾企業(yè)業(yè)務(wù)的正常進(jìn)行，但相應(yīng)的數(shù)據(jù)安全的工作要得以保證?！?/p>

Ricky從技術(shù)角度回應(yīng)周群的工作， “我們希望擴(kuò)大互聯(lián)網(wǎng)的安全邊界，對(duì)基礎(chǔ)設(shè)施安全增加更多投入。兩年之前，京東內(nèi)部成立了保護(hù)生態(tài)數(shù)據(jù)安全的專門(mén)行動(dòng)，希望可以通過(guò)這套數(shù)據(jù)安全體系，保證流轉(zhuǎn)數(shù)據(jù)的時(shí)候，就完成數(shù)據(jù)的脫敏、加密等一系列安全工作，進(jìn)而保護(hù)企業(yè)核心數(shù)據(jù)以及用戶隱私安全。另一方面針對(duì)漏洞挖掘框架，推動(dòng)框架朝著基于程序分析和人工智能的自動(dòng)化系統(tǒng)轉(zhuǎn)變，將整個(gè)網(wǎng)絡(luò)安全攻防往自動(dòng)化、機(jī)器化方向發(fā)展，這符合整個(gè)國(guó)際發(fā)展的大趨勢(shì)。”

在魔形女漏洞的發(fā)現(xiàn)中，京東的漏洞挖掘框架就發(fā)揮了自動(dòng)制敵的效用 ，框架包含“靜”、“動(dòng)”、“?！比齻€(gè)維度?！办o”為基于人工智能的數(shù)據(jù)流程序分析技術(shù)，“動(dòng)”為基于遺傳算法的動(dòng)態(tài)程序測(cè)試技術(shù)，“?！睘榛趯＜医?jīng)驗(yàn)的變異分析技術(shù)，三者有機(jī)結(jié)合并互相補(bǔ)充，可對(duì)泛IoT設(shè)備/系統(tǒng)、App等進(jìn)行全面而深入的漏洞挖掘和隱私風(fēng)險(xiǎn)發(fā)現(xiàn)。僅在今年上半年，京東安全實(shí)驗(yàn)室就借助該框架發(fā)現(xiàn)了數(shù)十個(gè)CVE，幫助多個(gè)生態(tài)伙伴消除了大量風(fēng)險(xiǎn)。

近幾年來(lái)，病毒和漏洞幾乎從我們視線中消失，更多的轉(zhuǎn)義為隱私泄露，本質(zhì)原因是業(yè)務(wù)數(shù)字化和數(shù)字業(yè)務(wù)化拉動(dòng)的產(chǎn)品形態(tài)的變更。在這背后，有更多像京東一樣開(kāi)辟第三條增長(zhǎng)曲線的企業(yè)，推動(dòng)安全技術(shù)水位拾級(jí)而上和白帽紅帽蔚然成風(fēng)。

在技術(shù)向好的另一面， Ricky說(shuō)到，“對(duì)于我們來(lái)講，軟件系統(tǒng)會(huì)不斷更新，需要我們不斷地進(jìn)行安全測(cè)試，才能保證它不會(huì)出現(xiàn)設(shè)計(jì)問(wèn)題。這不是一次就可以搞定的事情，必須要有持續(xù)性的投入，一刻都不能放松。

第二我們認(rèn)為安全是一個(gè)體系化問(wèn)題，像魔形女漏洞其實(shí)利用的是一個(gè)個(gè)漏洞組合。在魔形女出現(xiàn)之前，這些漏洞也存在，危害沒(méi)那么大，導(dǎo)致大家掉以輕心。但一旦前面防線決堤，后面防線馬上就會(huì)崩潰。這也告訴我們應(yīng)該是搭建縱深防御的安全體系，重視每一個(gè)安全問(wèn)題。這是一件任重道遠(yuǎn)的事情。”

擁抱每一座孤島

疫情未決，漏洞襲來(lái)。病毒不僅在檢測(cè)各個(gè)國(guó)家的效率、強(qiáng)弱與文明，同時(shí)還在考驗(yàn)著人性。漏洞在驗(yàn)證著企業(yè)的技術(shù)能力，也在考量企業(yè)對(duì)社會(huì)責(zé)任的整體態(tài)度。

周群在這時(shí)談到：

很多的事情并不發(fā)生在企業(yè)之內(nèi)，而是源于外部業(yè)務(wù)環(huán)境管理不善或者系統(tǒng)問(wèn)題導(dǎo)致的數(shù)據(jù)風(fēng)險(xiǎn)。但從用戶端的感受來(lái)看，就是我的數(shù)據(jù)被泄露了。因此，我們想更多地幫助用戶解決個(gè)人隱私保護(hù)的問(wèn)題。

一家企業(yè)首先看向無(wú)數(shù)體量的個(gè)體，才能在內(nèi)卷深海中擁抱每一座孤島。在海明威引自英國(guó)詩(shī)人John Donne詩(shī)作中，兩三幾句能解企業(yè)長(zhǎng)期戰(zhàn)略的問(wèn)題：

No Man is an Island

No man is an island, entire of itself

every man is a piece of the continent, a part of the main.

沒(méi)有人能自全，沒(méi)有人是孤島，每人都是大陸的一片，要為本土應(yīng)卯。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。