高曉松老師說:“人生不是故事是變亂”。人們習(xí)慣把安適“外包”給專業(yè)機(jī)構(gòu),只有當(dāng)?shù)準(zhǔn)乱u來才會(huì)痛定思痛,這大概是人性的最大bug,因此安適從來不能一勞永逸。如今,全國有12億人像我們一樣,每天與手機(jī)為伴。越來越多的安適隱患是從“手機(jī)”這個(gè)最單薄環(huán)節(jié)攻入的,很多網(wǎng)絡(luò)犯罪分子也已紛紛“轉(zhuǎn)型”線上了。
在第5屆中國互聯(lián)網(wǎng)安適大會(huì)(ISC2017)上,360掌門人周鴻祎關(guān)于“大安適”的演講刷新了人們對(duì)網(wǎng)絡(luò)安適認(rèn)知高度,好比萬物皆可編程,只有軟件是由人編寫就必然存在漏洞,就有被攻破的可能性;在未來網(wǎng)絡(luò)戰(zhàn),系統(tǒng)漏洞是最名貴的戰(zhàn)略資源;網(wǎng)絡(luò)安適標(biāo)的目的將是軍民合作等“大安適”新不雅觀念不勝枚舉。鑒于移動(dòng)安適重要性及復(fù)雜形勢(shì),由360公司組織了ISC2017“移動(dòng)終端安適論壇”,邀請(qǐng)工信部旗下安適實(shí)驗(yàn)室、中國移動(dòng)、華為、螞蟻金服、360等活躍在安適產(chǎn)業(yè)第一線重要角色參加。
筆者作為媒體代表有幸受邀不雅觀摩學(xué)習(xí),感慨作為一名安適小白享受著移動(dòng)互聯(lián)網(wǎng)帶來便捷和繁榮,很少設(shè)想網(wǎng)絡(luò)底層“地基”是否安穩(wěn)?憂慮過是否有不速之客闖入手機(jī)“愉逸窩”的可能?如果被攻破還沒有察覺,就像被人騙了還在給人數(shù)錢一樣昏聵,那么,我們的手機(jī)未來會(huì)真的更安適嗎?
一、手機(jī)系統(tǒng)漏洞發(fā)作,智能手機(jī)產(chǎn)業(yè)鏈讓安適形勢(shì)更嚴(yán)峻
主流的智能手機(jī)操作系統(tǒng)要么是iOS,要么是Android,國產(chǎn)手機(jī)幾乎全部基于安卓的開源系統(tǒng),安卓機(jī)市場占據(jù)智能手機(jī)份額的70%以上。據(jù)CVE Details年初的陳訴,去年安卓軟件的漏洞高達(dá)523處,高居所有軟件漏洞之首;此前360互聯(lián)網(wǎng)安適中心就出具陳訴顯示,超9成安卓機(jī)處于系統(tǒng)高危狀態(tài)。
好在安卓系統(tǒng)更新非常勤快,升級(jí)新版塊一般會(huì)把以往公布的漏洞進(jìn)行修補(bǔ),那漏洞應(yīng)該會(huì)越來越少才對(duì)。讓人沮喪的是,在ISC移動(dòng)安適終端論壇上,360 Alpha小組安適研究員楊文林公布了一組數(shù)字,2015年谷歌官方公布了64個(gè)漏洞,2016年則公布了498個(gè),2017年上半年谷歌官方已披露了1000個(gè),其安適漏洞數(shù)量不降反增,預(yù)計(jì)2018年系統(tǒng)漏洞還將數(shù)以千計(jì)發(fā)作。
在ISC2017移動(dòng)終端安適論壇上,中國信息通信研究院泰爾終端實(shí)驗(yàn)室信息安適部副主任楊正軍在其演講中,就移動(dòng)安適形勢(shì)越來越嚴(yán)峻的原因做了梳理:
1. 智能手機(jī)上下游產(chǎn)業(yè)鏈極其龐雜,其中芯片廠商、手機(jī)廠商、App應(yīng)用開發(fā)者等每個(gè)環(huán)節(jié)都可能產(chǎn)生漏洞。
2. 各個(gè)手機(jī)廠商之間彼此競爭、各自為政,對(duì)自身UI的安適程度紛歧,好比谷歌發(fā)布CV1漏洞后國內(nèi)各個(gè)手機(jī)廠商及主要應(yīng)用修復(fù)、升級(jí)較為滯后。
3. 用戶手機(jī)安置眾多App,有的App存在敏感信息泄露;隨著智能手機(jī)所連接的智能設(shè)備越來越多,云端密碼、用戶隱私信息泄露風(fēng)險(xiǎn)加大。
(摘自《2017年中國手機(jī)安適生態(tài)陳訴》,差別App對(duì)用戶隱私權(quán)限紛歧樣,整體來看非常嚴(yán)重)
要按以往PC時(shí)代安適思維,用戶安適直接交給專業(yè)網(wǎng)絡(luò)安適公司、裝個(gè)殺毒軟件或手機(jī)安適管家就OK了,但移動(dòng)安適產(chǎn)業(yè)鏈牽一發(fā)而全身,系統(tǒng)漏洞防失慎防,如果不能從全產(chǎn)業(yè)鏈上“團(tuán)結(jié)”起來,很難打擊網(wǎng)絡(luò)犯罪分子及黑客大盜的囂張氣焰。據(jù)了解,去年全球網(wǎng)絡(luò)犯罪所造成的損失高達(dá)3萬億美金,預(yù)計(jì)2021年會(huì)達(dá)到6億美金。
二、打擊網(wǎng)絡(luò)犯罪,移動(dòng)互聯(lián)網(wǎng)全產(chǎn)業(yè)鏈大協(xié)作才能“治本”
智能手機(jī)不但是人們的認(rèn)證中心(手機(jī)號(hào)與社交資料構(gòu)成人的身份證及通行證);還是個(gè)人的財(cái)富中心(支付寶和微信在很多城市已經(jīng)取代現(xiàn)金支付,還與銀行卡進(jìn)行綁定)。
這意味著網(wǎng)絡(luò)犯罪分子只要搞定用戶手機(jī),絕不成能白手而歸,網(wǎng)絡(luò)犯罪離廣大網(wǎng)民并不遙遠(yuǎn),據(jù)2017年Q2手機(jī)安適陳訴,360獵網(wǎng)平臺(tái)共接到網(wǎng)絡(luò)詐騙舉報(bào)達(dá)6807起,涉案金融高達(dá)1.2億元,人均損失17582元,其人均損失基數(shù)有逐年上漲態(tài)勢(shì)。
打響移動(dòng)安適掩護(hù)戰(zhàn)首先要升級(jí)的全行業(yè)的憂患意識(shí),以系統(tǒng)漏洞偵查甄別及修復(fù)為“牛鼻子”順藤摸瓜。從這個(gè)角度講,安適互聯(lián)網(wǎng)公司向手機(jī)廠商公布或提示漏洞并非要“砸場子”或“搞事情”,而是幫手手機(jī)廠商提升自身的防御力。
以蘋果為例,去年iOS系統(tǒng)開始嘗試安適接口的開放,以攔截騷擾電話、垃圾短信、釣魚鏈接等,360推出防騷擾大師等安適軟件;而谷歌、微軟也會(huì)對(duì)系統(tǒng)漏洞舉報(bào)者給予獎(jiǎng)勵(lì),其中全球安適廠商之中,360提供的漏洞數(shù)量最多。