序言:一切都缘起于——计算机网络在诞生之初就没有把安全作为重点问题予以考虑,在这个破绽百出的框架基础上衍生出来的移动互联网的安全性,用脚趾头都能想得出来。(语出某计算机宅气急败坏、痛心疾首、语无伦次……的心声)
漏洞!漏洞!现在几乎所有的IT安全问题都来源于各类的漏洞,软件层面的、硬件层面的、人自身行为层面的……如果有一天人类的大脑电波能够与计算机网络相连接,那么就会如《黑客帝国》、《盗梦空间》这些电影里那样,人类精神层面、思维层面的“漏洞”也会被恶意攻击者所利用。
移动互联网的世界正在快速发展,“传统”在移动化面前被稀里哗啦的打破,而这就包括了安全的那些“传统”,比如传统的安全边界,比如传统的安全防御思路等等等等。我们将以漏洞为坐标,尝试勾勒出一幅移动世界的安全地图。这幅地图可能(或者说肯定)不会很全面,但依然希望能够藉此帮助人们挣脱移动世界的枷锁,从更为广阔的空间审视移动世界里的安全问题。
移动安全地图版块一:APP
APP,英文Application(应用)的简称,而如今APP多指移动设备上的第三方应用程序,也就是PC上的软件,现在移动世界里的主要安全问题正是来自于这些APP。移动互联网的快速发展,促使了大量APP被开发上线,而这许多APP的开发者则是那些编写传统PC软件的程序猿。这些在PC时代敲写代码时就很少考虑安全性的程序猿们,把这个习(lou)惯(dong)延续到了移动应用的开发中,加之如今专业安全人员的严重匮乏,APP成为当前移动安全的焦点就再自然不过了。
由于经受不住丰富APP的诱惑,许多人在购置了苹果手机后,总是要在第一时间对苹果iOS操作系统进行“越狱”操作,企图藉此绕过苹果对iOS版APP的严格检测。手机越狱了,山寨APP高兴了,扣个费、偷偷转个账,so easy!Android平台上运行的APP此类问题更多。此种情况下,对APP进行安全加固就显得极为重要。其实,安全防御的思路之一就是给破解者、攻击者增加难度,所以把APP在代码层面进行安全加固,增加其复杂性,使其在被反编译时很难被读取,是一种可行的安全防护方法。
移动安全地图版块二:浏览器
浏览器帮助人们看到了广袤的世界,也帮助骇客们“看”到了我们系统里存储的所有信息资料。
说起浏览器,真得让人很头疼。浏览器是一个好东西,浏览器将全球各地的人们、跨越时间与空间于网络之上连接起来,浏览器使得人们对IT的操控逐渐脱离单机的桎梏。甚至在几年前,人们还推测今后的PC端上除了操作系统和浏览器外无需再安装任何其他应用程序。但由于早期的编程大多没有考虑安全性问题,致使浏览器的漏洞被频繁曝出并利用,特别是微软的IE浏览器,饱受诟病,时至今日依然有许多恶意攻击在利用IE的0 DAY漏洞发起。
早期的智能移动终端上,虽然也集成了浏览器程序,但人们更习惯于安装使用各类APP。而随着HTML5等新技术的出现,加之智能移动终端自身性能的天生限制,未来很可能会出现通过浏览器来使用各类应用的情况。虽然移动版的浏览器都十分注重安全性问题,但双拳难敌四手好汉架不住狼多,随着移动版浏览器上所承载的数据越来越多,地下黑色产业链里的漏洞挖掘者们必将有所斩获,相信围绕移动版浏览器的安全对决将更为精彩。
移动安全地图版块三:操作系统
当大家都在编写自己版本的安卓操作系统时,出现安全漏洞就成为了一个必然。
谷歌在2005收购了仅成立22个月的高科技企业Android,并接手研发其同名操作系统,也就是如今在智能移动设备里广泛使用的安卓操作系统。随后谷歌采取开放策略,建立全球性联盟组织,其成员均可开发Android系统的开放源代码。而这些成员参差不平的技术水准,使得开发出来的安卓操作系统安全问题层出不穷,例如WebView组件漏洞、WiFi功能组件缓冲区溢出漏洞等等。
而在人们印象里一贯安全性很高的苹果iOS操作系统其实同样存在安全隐患。远在PC时代,苹果Mac操作系统虽然比微软Windows操作系统更少出现安全缺陷或漏洞,但也仅仅是“少”,而不是“没有”。实际上只要是人所编写的程序就会存在各类安全隐患,区别仅在于被发现的早晚,以及可利用价值的高低而已。所以被认为不“越狱”就很难被骇客入侵的苹果iOS操作系统依然存在iOS 5导致iPhone 4S耗电过快的电池寿命漏洞、iOS 7的解锁拨号漏洞、应用安装验证漏洞等安全隐患。
脆弱的安卓系统,使得恶意攻击者们在其上面偷得不亦乐乎。不过随着谷歌对新安卓系统提升安全性,骇客们发起攻击的性价比将出现下滑,此时苹果iOS系统会被黑色产业链里的漏洞挖掘者盯上。未来,iOS操作系统的安全性不(wei)容(ji)乐(shan)观(xian)。
移动安全地图版块四:数据
在移动世界里,安全防护的焦点最终依然聚焦于“数据”上,而这些“数据”则包含了各类应用的程序代码、应用运行过程中所产生的数据,以及用户保存在移动终端上的数据。
智能移动终端大多体(ji)积(yi)小(diu)巧(shi),想想当年的“艳照门”,就能知道一旦智能移动终端丢失后里面的数据随时面临被曝光的风险。而随着企业用户开始钟情于BYOD后,小小的手机里所驻留的数据就更加丰富多彩了。
虽然安全厂商正在快速推出各类针对移动终端的安全产品,但脆弱的手机系统使得恶意攻击者依然可以从容的利用各种安全漏洞窃取用户隐私、机密数据,而这类陷阱可能仅仅是一条短信、一个链接而已。
好消息是,全球最大的移动应用安全提供商梆梆安全的专家正在考虑借用VPN的思路来解决移动终端上的数据安全问题:在APP打包后,对网络数据都进行加密。而当需要对数据进行读取操作时,先将其在中间服务器进行解密,然后再传到用户服务器端。
移动安全地图版块五:物联网
曾几何时,物联网还仅仅是一个停留在人们想象中的东东,而今智能家居及车联网的快速涌现,让人们发现原来物联网离我们已经很近很近了。
不可否认的一点是,如今从老到小人们对网络的依赖程度越来越高,智能移动设备的快速普及,使得家庭内部上网的需求也在快速增长,家庭网络的建设开始提上日程,现在许多新建筑的房屋里都已经在各个房间预留了网线插孔。在此基础上,智能家居的雏形也得以显现,电视、冰箱、空调几乎都可以通过无线网络进行远程控制。而一则宅男通过机顶盒入侵女神家液晶电视示爱被女神及其老公看到的新闻,让人们发现家庭网络的安全性如此薄弱。
特斯拉很酷,车联网破解很简单。新兴的车联网如果不打开无线连接,不与外界交互数据,那么还是比较安全的,不过那也就不叫车联网了。实际上,现在许多工业控制系统就已经显露出了物联网的雏形,而为了更加自动化、智能化,其许多网络连接协议都采用的是互联网网络连接协议,便利的背后则是漏洞的“引入”。
当人们开始讨论“万物互联”的时候,也应该提前考虑、布局万物互联的安全了。
写到这里,一幅简单的移动世界安全地图已经被逐渐勾勒出来。而移动世界里的安全问题还有许多值得探讨的地方。例如,当人们更多的将数据存储在云端,PC时代人们所设想的轻客户端很可能在移动世界里实现,那么就可以从终端、传输管道、云端这个维度再描绘出一幅新的安全地图。
移动互联网时代,恶意攻击者可以发起攻击的方法、手段愈加丰富,安全防御者需要改变传统的防护思维,从不同维度构筑起全面的安全防线,并凭此契机以攻代防,力争将安全防线推到恶意攻击者一方,进而实现主动的安全防御。
跋:这就写完了么?答案当然是否定的,移动世界里的安全地图将在更多安全专业人员的群力之下被逐渐清晰的描绘勾勒出来。不过,冷汗!实际上,在这场“0、1”为基础的硅基世界中的安全攻防战役里,攻击者从一开始就占据了先天优势,在不利的战场环境下,防御者需要付出更多的汗水、更多的代价。而在安全研究者、安全专家、白帽子、安全厂商的共同努力之下,邪终将不能胜正!