很久很久以前，網(wǎng)絡(luò)安全沒(méi)現(xiàn)在這么復(fù)雜。移動(dòng)互聯(lián)網(wǎng)時(shí)代驟然來(lái)臨，如同一聲響雷，移動(dòng)安全威脅也像狂風(fēng)驟雨一般接踵而至，人們沒(méi)反應(yīng)過(guò)來(lái)就已被淋得渾身濕透。這一切都看在龔蔚的眼里。這位安全界的元老級(jí)人物見(jiàn)證過(guò)中國(guó)網(wǎng)絡(luò)安全的發(fā)展，也經(jīng)歷了移動(dòng)安全從蠻荒時(shí)代到多樣化威脅的變遷，對(duì)于移動(dòng)安全，他有著自己的思考和安全之道。

作為 WiFi 萬(wàn)能鑰匙的首席安全官，goodwell 龔蔚在 3月7日 WiFi 萬(wàn)能鑰匙舉辦的安全之道線下沙龍，和觀眾們聊了聊他看到的移動(dòng)安全變遷，以及他們?yōu)橹龅呐ΑＲ韵率茄葜v內(nèi)容，雷鋒網(wǎng)整理發(fā)布（其中小標(biāo)題為雷鋒網(wǎng)編輯所加）：

從“上古時(shí)期”說(shuō)起

早期移動(dòng)安全的威脅主要來(lái)自于系統(tǒng)層面。那時(shí)系統(tǒng)在設(shè)計(jì)時(shí)不那么完美，有各種各樣的潛在系統(tǒng)安全漏洞，這些漏洞可能導(dǎo)致被提權(quán)、遠(yuǎn)程內(nèi)存溢出等問(wèn)題。

root 最高權(quán)限的爭(zhēng)奪打開(kāi)了潘多拉的魔盒，惡意軟件一旦取得 root權(quán)限，就等于得到了設(shè)備的控制權(quán)，做很多超越用戶(hù)所做的事情，比如手機(jī)關(guān)機(jī)以后竊聽(tīng)周邊的環(huán)境。

手機(jī)關(guān)機(jī)之后還能竊聽(tīng)？在座（記者）可能不太相信，但這在安全界是常識(shí)。舉個(gè)簡(jiǎn)單的例子，當(dāng)我有系統(tǒng)最高權(quán)限時(shí)，你按關(guān)機(jī)鍵，我就給你播放一段關(guān)機(jī)畫(huà)面，手機(jī)沒(méi)有真正關(guān)機(jī)，但是屏幕、震動(dòng)等狀態(tài)表現(xiàn)地和關(guān)機(jī)一樣，然后你的手機(jī)就會(huì)自動(dòng)接聽(tīng)我的號(hào)碼，并且開(kāi)啟免提，這樣我就可以竊聽(tīng)你了。

正是由于root這種至高無(wú)上的權(quán)利，成為惡意軟件爭(zhēng)奪的制高點(diǎn)，安全廠商為了防范這些獲取root權(quán)限的惡意軟件，它原來(lái)在應(yīng)用層是無(wú)法對(duì)抗這些惡意軟件的，所以它也要必須取得和它相同水平的甚至于高于它的權(quán)限。因此，那時(shí)系統(tǒng)權(quán)限是安全廠商和惡意攻擊者爭(zhēng)奪的制高點(diǎn)。

從系統(tǒng)層轉(zhuǎn)向應(yīng)用層

隨著時(shí)代的發(fā)展，漏洞發(fā)布修復(fù)體系越來(lái)越完善，不再像早期剛發(fā)布沒(méi)幾個(gè)月就蹦個(gè)高危漏洞來(lái)。惡意軟件想取得系統(tǒng)最高權(quán)限越來(lái)越難，手機(jī)的越獄、root也越來(lái)越難。

于是，原本制作惡意軟件的人會(huì)把攻擊的重心移向到應(yīng)用層，以前獲取 root 權(quán)限是為了竊取用戶(hù)的銀行帳號(hào)或者錢(qián)財(cái)?shù)霓D(zhuǎn)帳或者其它信息來(lái)獲利。后來(lái)獲利手段越來(lái)越多，不需要 root 權(quán)限，在應(yīng)用層就可以變現(xiàn)。應(yīng)用層成為主要攻擊入口，在這幾個(gè)方面體現(xiàn)的非常明顯：

被濫用的權(quán)限聲明

現(xiàn)在大部分軟件都會(huì)大量申請(qǐng)各種各樣的系統(tǒng)權(quán)限，GPS 位置、定位、通話記錄等等，過(guò)多的權(quán)限聲明就造成了權(quán)限濫用。一款看圖軟件也要你的通話記錄、通訊錄；一個(gè)計(jì)算器也要你的 GPS 位置。在權(quán)限申請(qǐng)這塊，目前還沒(méi)有明確的法律法規(guī)或者行業(yè)標(biāo)準(zhǔn)來(lái)限制，因此該問(wèn)題也有待規(guī)范。

代碼植入

近年最典型的就是 X-code 事件，蘋(píng)果軟件的開(kāi)發(fā)人員都會(huì)用一款叫做 Xcode的開(kāi)發(fā)工具，惡意攻擊者對(duì)原有的Xcode進(jìn)行代碼改編植入一個(gè)后門(mén)，發(fā)布在網(wǎng)上，使得所有用該工具開(kāi)發(fā)的蘋(píng)果APP都會(huì)被相應(yīng)植入后門(mén)，最終造成了大范圍的APP感染。

惡意軟件

根據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心的數(shù)據(jù)，2013年惡意軟件被感染的用戶(hù)數(shù)量是609萬(wàn)，2014年2292萬(wàn)，2015年1點(diǎn)多億，惡意軟件的數(shù)量也從2011年6000多個(gè)，到2015年的16萬(wàn)個(gè)。

在惡意軟件方面，國(guó)家打擊的力度越來(lái)越大，2015 年互聯(lián)網(wǎng)應(yīng)急中心就累計(jì)向302家應(yīng)用市場(chǎng)商店網(wǎng)盤(pán)通報(bào)惡意軟件1.7萬(wàn)余起，查殺的力度越來(lái)越大。于是惡意軟件轉(zhuǎn)向另一種盈利模式——山寨軟件。

山寨軟件

在應(yīng)用市場(chǎng)里，一款知名的移動(dòng)端APP很可能有上百個(gè)的“李鬼”，它可能是LOGO一樣、名稱(chēng)相似、皮膚一模一樣，這些山寨程序很難讓用戶(hù)分辨清楚誰(shuí)真誰(shuí)假。很多人說(shuō)他做一個(gè)山寨軟件可能也不帶惡意行為。但是它為了變現(xiàn)，可能會(huì)在晚上12點(diǎn)后臺(tái)推送大量的軟件，假如你發(fā)現(xiàn)第二天開(kāi)機(jī)多了幾個(gè)軟件，可能就是山寨軟件所為。

為了獲取金錢(qián)和利益，大量的山寨軟件產(chǎn)生，但山寨軟件又不是惡意程序，很難把它定義為是非法程序，它只是皮膚、LOGO或者名稱(chēng)和合法正版的某款軟件長(zhǎng)得很像，不帶有明顯惡意攻擊的行為。對(duì)山寨軟件的查殺力度不嚴(yán)，導(dǎo)致應(yīng)用市場(chǎng)普遍存在這樣的現(xiàn)象。

去年WiFi萬(wàn)能鑰匙就聯(lián)合各大應(yīng)用市場(chǎng)和手機(jī)廠商做了打擊山寨的活動(dòng)，查出1387款WiFi萬(wàn)能鑰匙的山寨應(yīng)用，經(jīng)過(guò)我們的努力最終有1305款山寨下線，但是山寨軟件又像雨后春筍一樣，砍掉一個(gè)又出來(lái)很多個(gè)，不斷有大量仿冒的山寨軟件出來(lái)。

這里我做了一個(gè)截圖，在某應(yīng)用移動(dòng)市場(chǎng)上搜WiFi萬(wàn)能鑰匙，出現(xiàn)大量長(zhǎng)得和我們LOGO一模一樣的應(yīng)用軟件，一共有19頁(yè)，當(dāng)翻到第15頁(yè)的時(shí)候還可以看到有類(lèi)似LOGO的。

除此之外，我們會(huì)發(fā)現(xiàn)安全形勢(shì)從最開(kāi)始的單一形態(tài)衍生出了各式各樣的新威脅形態(tài)，比如：

黑產(chǎn)善用大數(shù)據(jù)分析

現(xiàn)在每家公司都說(shuō)要做大數(shù)據(jù)，通過(guò)數(shù)據(jù)的搜集，對(duì)用戶(hù)進(jìn)行精準(zhǔn)畫(huà)像，但是，數(shù)據(jù)的搜集也讓用戶(hù)隱私泄露的問(wèn)題越來(lái)越突出。尤其在這里我想說(shuō)，在大數(shù)據(jù)做用戶(hù)畫(huà)像上，黑道走到白道的前面。

我們知道，像BAT這樣的大公司都在做大數(shù)據(jù)，但從沒(méi)有聽(tīng)說(shuō)BAT之前有做數(shù)據(jù)互享的，你在淘寶買(mǎi)東西的數(shù)據(jù)，和你在百度搜索內(nèi)容的數(shù)據(jù)，是沒(méi)有相互結(jié)合來(lái)刻畫(huà)你的身份畫(huà)像的。但是在黑色產(chǎn)業(yè)鏈，你所有信息是互通的。有你身份證信息的那個(gè)人，會(huì)跟有你電話號(hào)碼的那個(gè)人資源互換，會(huì)和有你銀行卡的人資源互換，它們這種強(qiáng)大的數(shù)據(jù)整合，最終會(huì)勾勒出你整個(gè)人的互聯(lián)網(wǎng)畫(huà)像。地下黑產(chǎn)們的合作意識(shí)非常強(qiáng)，這一點(diǎn)走在了我們的前面。

網(wǎng)絡(luò)敲詐像幽靈般籠罩

2016年網(wǎng)絡(luò)敲詐被定義為超過(guò)惡意軟件的網(wǎng)絡(luò)安全威脅。中了敲詐軟件的情形，和電影《電鋸殺人狂》里的情節(jié)有些類(lèi)似 ：

我現(xiàn)在跟你做一個(gè)游戲，你電腦上的文件正在一點(diǎn)一點(diǎn)地被我刪除，每過(guò)一段時(shí)間刪除一點(diǎn)。如果你重啟電腦，我會(huì)一下子刪除一千個(gè)文件，如果你把我刪除的話，你將再也找不會(huì)你所有的文件。

網(wǎng)絡(luò)敲詐行情價(jià)一般便宜的25美金，一般貴的150美金。而且根據(jù)你支付的時(shí)長(zhǎng)遞增，第一天不付100，第二天150，不收轉(zhuǎn)帳只收比特幣。

在這里提醒一下各位，一旦如果你們遇到網(wǎng)絡(luò)敲詐，最好不要付錢(qián)。因?yàn)橐坏┠愀哆^(guò)錢(qián)，你這個(gè)公司的后綴郵箱的域名就會(huì)進(jìn)入勒索者的白名單，成為“優(yōu)質(zhì)客戶(hù)”，大量的敲詐勒索會(huì)向你這個(gè)域名和郵箱后綴發(fā)過(guò)來(lái)。付費(fèi)的結(jié)果可能是你自己解密了文件，但是你公司的同事可能會(huì)成為攻擊目標(biāo)。因此防范網(wǎng)絡(luò)敲詐還是應(yīng)該以預(yù)防和備份為主。

除了數(shù)據(jù)勒索，智能設(shè)備的勒索也屢見(jiàn)不鮮，最典型的就是蘋(píng)果手機(jī)勒索，許多勒索者利用蘋(píng)果手機(jī)的丟失鎖定功能，通過(guò)盜取受害者的 iCloud 賬號(hào)來(lái)鎖定用戶(hù)的手機(jī)，有非常多的人中招。如今智能汽車(chē)非常先進(jìn)，未來(lái)你的汽車(chē)也可能成為網(wǎng)絡(luò)敲詐勒索的目標(biāo)。

智能設(shè)備引發(fā)智能之患

去年互聯(lián)網(wǎng)就發(fā)生了這樣一件事，美國(guó)的電力設(shè)備遭遇大規(guī)模拒絕服務(wù)攻擊，溯源以后發(fā)現(xiàn)攻擊源主要不是來(lái)自服務(wù)器，不是PC，不是移動(dòng)手機(jī)，而是一堆智能設(shè)備。什么概念？可能是一個(gè)門(mén)鈴，可能是一個(gè)掃地機(jī)器人，可能是智能插線板。惡意攻擊者控制了大量的智能設(shè)備，在互聯(lián)網(wǎng)發(fā)起攻擊。這種形態(tài)在以后可能會(huì)越來(lái)越多見(jiàn)，智能設(shè)備越來(lái)越多使用到，而且連接到網(wǎng)絡(luò)上，有的設(shè)備的安全保護(hù)非常差，甚至于有些開(kāi)發(fā)廠商自己留下后門(mén)，就被惡意攻擊者利用，成為攻擊源。這類(lèi)事情可能會(huì)越來(lái)越多，未來(lái)發(fā)起攻擊可能不再是服務(wù)器、PC、移動(dòng)電腦，可能就是一個(gè)門(mén)鈴就能發(fā)起一個(gè)攻擊，就可以做各種各樣攻擊的行為，這個(gè)也是我們?cè)谖磥?lái)幾年應(yīng)該看得到的。

WiFi安全談虎色變

WiFi 安全近年來(lái)也成為了人們關(guān)注的熱點(diǎn)，315 曝光WiFi安全隱患之后，大家一講到連接公共WiFi就談虎色變，大家都說(shuō)不能連公共WiFi，會(huì)造成隱私泄露。但公共WiFi就完全不能用了嗎？為此，WiFi萬(wàn)能鑰匙也有自己的安全解決方案，我們是分為事前事中和事后三個(gè)方面來(lái)做的：

首先在事前，我們會(huì)對(duì)所有的WiFi熱點(diǎn)包括歷史的數(shù)據(jù)進(jìn)行畫(huà)像，在用戶(hù)還沒(méi)有連上WiFi的那一刻，我就可以告訴你這個(gè)節(jié)點(diǎn)是否安全。

當(dāng)一枚硬幣拋向空中那一刻，其實(shí)結(jié)果已經(jīng)確定，只是我們不知道而已。如果能捕獲到所有和拋硬幣相關(guān)的力度，角度、高度等等參數(shù)，我就能準(zhǔn)確預(yù)測(cè)它的結(jié)果。同樣，WiFi是否安全也不是隨機(jī)的，只要我能捕捉到它的所有數(shù)據(jù)就能算出來(lái)。

基于這個(gè)理念，我們對(duì)所有的WiFi節(jié)點(diǎn)取樣，并分析歷史數(shù)據(jù)，比如一個(gè)WiFi節(jié)點(diǎn)位置是否發(fā)生過(guò)移動(dòng)？它的存活時(shí)長(zhǎng)是一天還是一年前就存在？有哪些人連接過(guò)它？這個(gè)WiFi熱點(diǎn)的硬件廠商是怎么樣？歷史上有沒(méi)有發(fā)生過(guò)ARP的攻擊？通過(guò)這些數(shù)據(jù)建模，進(jìn)行分析就可以實(shí)現(xiàn)相當(dāng)準(zhǔn)確的安全判定。

當(dāng)你連接上WiFi以后，我們會(huì)幫你實(shí)時(shí)檢測(cè)當(dāng)前連接的環(huán)境是否存在攻擊行為。同時(shí)提供一個(gè)叫安全隧道的數(shù)據(jù)加密功能。我們的設(shè)計(jì)初衷是：即使這是一個(gè)釣魚(yú)節(jié)點(diǎn)，即使這是一個(gè)惡意攻擊者部署的竊取信息用戶(hù)隱私的節(jié)點(diǎn)，我照樣要使用它的熱點(diǎn)，而且做到信息不泄露，現(xiàn)在我們的加密隧道已經(jīng)完全可以做到。在這之后，我們提供了一個(gè)WiFi安全險(xiǎn)，假設(shè)你使用WiFi萬(wàn)能鑰匙連接WiFi之后遭遇了相關(guān)的攻擊，引起覺(jué)財(cái)產(chǎn)損失，可以向我們理賠，但目前該保險(xiǎn)推出了一年多，還沒(méi)有一起索賠的事件。

總之，移動(dòng)安全由一開(kāi)始的單一形態(tài)向如今紛繁復(fù)雜的多形態(tài)發(fā)展后，安全威脅變得越來(lái)越多，WiFi萬(wàn)能鑰匙作為一款以分享經(jīng)濟(jì)幫助用戶(hù)連接免費(fèi)公共WiFi的上網(wǎng)工具，也希望能為公眾WiFi安全做出一些貢獻(xiàn)，幫助提升公眾整體網(wǎng)絡(luò)安全水平。

注：本文由雷鋒網(wǎng)根據(jù)演講內(nèi)容編輯整理，少量?jī)?nèi)容刪改。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。