整個世界都處在一種離奇病毒的侵襲之下，病毒變異，強化，無孔不入。人們從來沒有像這樣彼此疏離、猜忌、提防與攻擊。

人對病毒的恐懼，已經(jīng)遠遠超出人對人的恐懼。但人在禁閉島，新型威脅攀附網(wǎng)絡(luò)之上。

在無感中，“魔形女”（Mystique）奇襲，瞄準安卓系統(tǒng)，Android 11。

同于漫威電影中角色，魔形女可以變成任何人，潛入防衛(wèi)嚴密的基地，發(fā)起攻擊。

在安卓11中，“魔形女”能夠化為任意APP的樣子，取得權(quán)限和數(shù)據(jù)，完全繞過防護機制。在用戶毫無感知中，隨意獲取APP數(shù)據(jù)或系統(tǒng)數(shù)據(jù)，代表用戶轉(zhuǎn)賬、發(fā)消息、獲取隱私數(shù)據(jù)?！澳闻甭┒闯蔀樵谟脩魬B(tài)再次打破了App包安裝后只讀并被信任的默認假設(shè)，躲在暗處，悄無聲息地寄生。

耐心的獵手以獵物方式登場。

今年5月，京東探索研究院信息安全實驗室在持續(xù)追蹤安卓系統(tǒng)的安全研究時發(fā)現(xiàn)，Android11系統(tǒng)存在高危漏洞，并將其命名為“魔形女”漏洞。

在此之前，不曾可知有誰遭受過攻擊。但全球8億Andoid11用戶面臨隱私風險。

在這之外，是全球超30億安卓用戶，占世界人口近四成。魔形女野心赤裸。

這個漏洞的利用原理，就像拿到了酒店的通用鑰匙，隨意進入某一住客房間。

誰能想到進入房間的會是誰。黑灰產(chǎn)？惡意商業(yè)實體？境外黑客勢力？或者一個熟悉的人？

在Android歷史上也曾出現(xiàn)過一些可達到類似效果的提權(quán)漏洞，包括Android 5之前的遠古時代，以及近5年來遠程、內(nèi)核和SystemServer的一些問題，如Bitummap漏洞。但隨著Android防御機制不斷加強和代碼質(zhì)量不斷提高、攻擊面不斷削減，近年來這些漏洞可謂鳳毛麟角，利用難度也越來越高。而且因為Android碎片化的現(xiàn)狀，幾年來都很難有一個穩(wěn)定的通殺漏洞。

防御難度與黑客技術(shù)水漲船高。

京東探索研究院信息安全實驗室高級研究員Ricky說到，“大概這五年來，大家已經(jīng)沒再看到過有影響面非常廣泛、攻擊效果非常穩(wěn)定的漏洞了，“魔形女”漏洞十分罕見?！?/p>

誰喚醒了魔形女？

安卓本身是沙盒防御系統(tǒng)，每個數(shù)據(jù)都會隔離保存，形成一個個房間。每個房間都有一把鎖，如果想串門的話，需要房間主人明確同意，即表現(xiàn)為安卓數(shù)據(jù)共享機制中最小權(quán)限原則。當需要授權(quán)時，系統(tǒng)必須明確權(quán)限范圍，即訪客在何種條件下，執(zhí)行何種操作，訪問何種資源的權(quán)限。

而Google工程師在開發(fā)過程中或許為了完成新特性，在產(chǎn)品設(shè)計中違反了最小權(quán)限原則，導致原本嚴密的沙箱設(shè)計中出現(xiàn)了松動，如同酒店房間的門鎖制造廠商在新鎖生產(chǎn)過程中出現(xiàn)失誤，導致一把新的鑰匙能夠打開所有的門鎖。

原本的一把鑰匙成了萬能鑰匙。有了這把鑰匙，能打開哪些門?

Ricky說到，“我們基本上對所有的主流手機廠商的設(shè)備系統(tǒng)進行了自動化掃描，發(fā)現(xiàn)了多個可被攻擊的漏洞，最終將安卓系統(tǒng)的“魔形女”漏洞升級為一個具有巨大影響力的漏洞鏈?！?/p>

京東安全實驗室憑借對安卓系統(tǒng)的深入了解，持續(xù)追蹤安卓系統(tǒng)的每一次更新，在研究過程中敏銳地注意到了Android 11 引入新特性時的問題?！坝羞@個發(fā)現(xiàn)之后，我們借助自研的自動化、半自動化漏洞挖掘框架，發(fā)現(xiàn)魔形女漏洞會利用各個廠商自身的漏洞，組合一條漏洞鏈條，最終達到對任意應用和數(shù)據(jù)竊取的效果?！盧icky說到。

新的風險值得行業(yè)警惕。京東第一時間向Google、Samsung、OPPO等安卓手機廠商通知了漏洞并提出修復建議，并及時按相關(guān)規(guī)定進行上報，而且向全社會用戶提供了SDK自測工具。目前Google已經(jīng)在最新版本的Android11和新發(fā)布的Android12中修復了這些問題。

Ricky對雷鋒網(wǎng)說到，“因為這個漏洞涉及到谷歌自身，并且它是所有安卓聯(lián)盟的盟主，首要通報就是谷歌。并且也在第一時間通知了安卓設(shè)備出貨量的第一的三星廠商，以及國內(nèi)用戶較多，影響較大的手機廠商。但華為情況比較特殊，我們發(fā)現(xiàn)鴻蒙系統(tǒng)沒受影響。因為鴻蒙系統(tǒng)是基于較早版本的安卓系統(tǒng)改造而來，反而沒有這個漏洞。”

據(jù)數(shù)據(jù)統(tǒng)計，全球安卓機用戶已經(jīng)超30億，中國品牌的安卓機幾乎占全球的半壁江山，是安卓最大的手機市場，三星為第一品牌，Oppo為第二品牌，順次為華為。

目前主流安卓廠商均已確認修復漏洞，并發(fā)布了補丁和做了系統(tǒng)升級。

現(xiàn)在企業(yè)可自行在App中部署京東探索研究院信息安全實驗室博客提供的檢測SDK，及時檢測是否被黑灰產(chǎn)利用，還可以通過MDM檢測員工辦公移動設(shè)備，查看是否被利用于定向APT攻擊。對于更多的個體用戶，需要及時更新設(shè)備或打補丁，或使用檢測工具查看自己是否被“魔形女”攻擊過。

這也表明科技行業(yè)對發(fā)現(xiàn)漏洞的標準回應方式發(fā)生了重大轉(zhuǎn)變。目前包括騰訊、阿里、京東、百度等互聯(lián)網(wǎng)公司的安全應急響應中心都有一種獎勵機制。

“當然有白市就有黑市，世界上也有漏洞軍火商，一個安卓漏洞或者IOS漏洞在黑市能開到一百萬美元的價格，獲得的物質(zhì)獎勵其實是比報給廠商的獎勵多得多。但是漏洞獎勵更多的是對研究者的一個認可，這種價值會是越來越高的?！盧icky談到。

京東自身也有漏洞獎勵計劃，表明對這種合法研究的認可和鼓勵支持，并且在自身信息安全建設(shè)方面，也在吸引業(yè)界頂尖人才的加入。

權(quán)衡京東安全的“護城河”和行業(yè)安全的“水位線”，這個問題在京東看來并不矛盾。

京東信息安全部高級總監(jiān)周群對雷鋒網(wǎng)說到，“我們京東也有自己的安卓端用戶，體量非常大。如果在安全這部分我們自己都沒有發(fā)現(xiàn)，以及我們沒有第一時間為業(yè)務(wù)體做保護，通知其他的廠商，這種風險很有可能被惡意團伙、人或者組織利用，最終會變成對我們京東用戶的一種傷害?！?/strong>

從企業(yè)到行業(yè)，不變的是用戶群體。但站在什么立場上考量用戶，關(guān)系到企業(yè)發(fā)展的長期戰(zhàn)略。

邁出京東舒適圈：從場景安全走向生態(tài)安全

京東安全團隊建立可以追溯到2011年，而專門從事前沿安全技術(shù)研究的安全實驗室從2017年建立至今，也已經(jīng)走過快四個年頭。四年前，京東安全實驗室的名字還是“安全攻防”實驗室，是在當時全球范圍內(nèi)AI、IoT 和云計算快速發(fā)展中的技術(shù)迎頭之舉、業(yè)務(wù)安保之舉。

發(fā)展至今，京東安全的實驗室研究發(fā)展為三個部分：其一是基于業(yè)務(wù)的安全研究，其二是偏底層通用性的安全機制的安全研究，其三是最新前沿技術(shù)的安全研究，例如AIoT。目前京東在硅谷有一個安全研發(fā)中心，主要是AI安全、黑產(chǎn)對抗、IoT安全研究，也包括國內(nèi)的京東牧者安全實驗室，主要做IoT安全、區(qū)塊鏈安全、開源社區(qū)等研究項目，包括大家熟知的麒麟框架等。另外還有會致力于基礎(chǔ)設(shè)施漏洞方面的研究，即Ricky團隊。

目前京東安全已經(jīng)不僅關(guān)注自身業(yè)務(wù)中的安全場景，更將”京東特色”、“零信任體系”為目標，以“互聯(lián)網(wǎng)免疫”為理想，力爭向產(chǎn)業(yè)輸出前沿安全能力。

周群談到，“技術(shù)公司做安全，可能會把安全切分成很多個維度，應用安全、辦公安全等。從京東的角度看，其實所有的安全都是建立在企業(yè)信息化的基礎(chǔ)上，最終歸為三大類：計算類安全、賬號類安全、數(shù)據(jù)類安全?！?/p>

針對三大類資源，解決所有企業(yè)共通的問題，解決IT基礎(chǔ)設(shè)施數(shù)字化能力落后的同時還要消耗大量的時間和精力逐個定制每家企業(yè)的安全機制，或者說很難標準化地服務(wù)。如果通過一種零信任的框架，以低成本、卡點機制作為增量控制，以一系列的安全經(jīng)驗做存量問題消除，把整個行業(yè)的安全機制建立起來，這是京東能夠做成的事情。從源頭解決企業(yè)的安全問題。

這是基于京東多年來"黑灰產(chǎn)"的對抗經(jīng)驗，也是結(jié)合行業(yè)前沿的安全體系和安全技術(shù)，以及零售、物流、數(shù)科、保險、健康等各領(lǐng)域積累的安全運營經(jīng)驗。

這里面既有挑戰(zhàn)，也有京東這種大體量公司積累起來的經(jīng)驗支撐。“整體上看，這些也是現(xiàn)在的發(fā)展趨勢之一，讓各家公司互聯(lián)互通、整體開放，一起構(gòu)筑行業(yè)整體的安全生態(tài)。”周群說到。

隨著京東整個業(yè)務(wù)體態(tài)的發(fā)展，從最早全部線上的業(yè)務(wù)環(huán)境，到現(xiàn)在全球規(guī)模最大的線下倉配，其中包含的大量電商場景、支付場景、物聯(lián)網(wǎng)場景、云場景等全維度場景，包括物流體系已經(jīng)引入越來越多的人工智能等一系列的新技術(shù)。從安全戰(zhàn)角度來看，京東從過去只需要著眼自體生產(chǎn)網(wǎng)、辦公網(wǎng)到現(xiàn)在倉配網(wǎng)、供應鏈，用戶與客戶體系，以及行業(yè)生態(tài)體系。只要用戶參與的，有感的，對京東來講都是防護范圍之內(nèi)。無論是從安全邊界、深度、還是廣度，京東安全都跟此前不一樣。

周群談到，“京東安全是基于京東的內(nèi)生安全能力，聯(lián)手生態(tài)伙伴共同打造安全基礎(chǔ)設(shè)施。本身京東業(yè)務(wù)場景在國內(nèi)來看，都屬于最上層、最復雜的規(guī)模?！?/p>

從企業(yè)出發(fā)，做安全的事情，更像是用一根縱線為所有業(yè)務(wù)放置了一塊背景板。當然從頂層設(shè)計來看，應對互聯(lián)網(wǎng)行業(yè)的安全變化是行業(yè)可持續(xù)發(fā)展的內(nèi)在要求，也是負責任大企應盡的企業(yè)義務(wù)，這不是別人要大企做，而是企業(yè)自己要做。

目前，京東在保護自身各個業(yè)務(wù)線安全的同時，也將這些安全能力對外賦能，在企業(yè)客戶那里也沉淀了案例和口碑?，F(xiàn)在，京東安全正在與京東各個技術(shù)服務(wù)業(yè)務(wù)線合作，一起將安全能力輸出給更多的客戶和合作伙伴，幫助整個生態(tài)提升安全水位。就比如此次漏洞的發(fā)現(xiàn)，幫助知名企業(yè)修復漏洞，向大眾提供檢測工具，都是為生態(tài)伙伴提供安全支撐。

京東目前正在準備第三條曲線，技術(shù)服務(wù)于企業(yè)數(shù)字安全，也是技術(shù)賦能于京東整體業(yè)務(wù)?？梢灶A見的是，企業(yè)進場做數(shù)字安全服務(wù)的事情，并不在于企業(yè)能夠提供多大的橫向產(chǎn)品矩陣，而在于參考企業(yè)自身的生態(tài)系統(tǒng)，推出更好的服務(wù)組合。

“在京東內(nèi)部，我們不會把風險等級作為單一維度，從安全風險的等級看，它可能是嚴重、高危、中危、中低危。但是這個風險最終的定級除了技術(shù)的危害性之外，其實更多的是參考企業(yè)本身的業(yè)務(wù)承載面?！?/strong>

“我們畢竟不是純粹的安全廠商，可以去以技術(shù)去徹底定義一個漏洞。我們企業(yè)服務(wù)的整體策略是，不能打擾企業(yè)業(yè)務(wù)的正常進行，但相應的數(shù)據(jù)安全的工作要得以保證。”

Ricky從技術(shù)角度回應周群的工作， “我們希望擴大互聯(lián)網(wǎng)的安全邊界，對基礎(chǔ)設(shè)施安全增加更多投入。兩年之前，京東內(nèi)部成立了保護生態(tài)數(shù)據(jù)安全的專門行動，希望可以通過這套數(shù)據(jù)安全體系，保證流轉(zhuǎn)數(shù)據(jù)的時候，就完成數(shù)據(jù)的脫敏、加密等一系列安全工作，進而保護企業(yè)核心數(shù)據(jù)以及用戶隱私安全。另一方面針對漏洞挖掘框架，推動框架朝著基于程序分析和人工智能的自動化系統(tǒng)轉(zhuǎn)變，將整個網(wǎng)絡(luò)安全攻防往自動化、機器化方向發(fā)展，這符合整個國際發(fā)展的大趨勢?！?/p>

在魔形女漏洞的發(fā)現(xiàn)中，京東的漏洞挖掘框架就發(fā)揮了自動制敵的效用 ，框架包含“靜”、“動”、“?！比齻€維度?！办o”為基于人工智能的數(shù)據(jù)流程序分析技術(shù)，“動”為基于遺傳算法的動態(tài)程序測試技術(shù)，“?！睘榛趯＜医?jīng)驗的變異分析技術(shù)，三者有機結(jié)合并互相補充，可對泛IoT設(shè)備/系統(tǒng)、App等進行全面而深入的漏洞挖掘和隱私風險發(fā)現(xiàn)。僅在今年上半年，京東安全實驗室就借助該框架發(fā)現(xiàn)了數(shù)十個CVE，幫助多個生態(tài)伙伴消除了大量風險。

近幾年來，病毒和漏洞幾乎從我們視線中消失，更多的轉(zhuǎn)義為隱私泄露，本質(zhì)原因是業(yè)務(wù)數(shù)字化和數(shù)字業(yè)務(wù)化拉動的產(chǎn)品形態(tài)的變更。在這背后，有更多像京東一樣開辟第三條增長曲線的企業(yè)，推動安全技術(shù)水位拾級而上和白帽紅帽蔚然成風。

在技術(shù)向好的另一面， Ricky說到，“對于我們來講，軟件系統(tǒng)會不斷更新，需要我們不斷地進行安全測試，才能保證它不會出現(xiàn)設(shè)計問題。這不是一次就可以搞定的事情，必須要有持續(xù)性的投入，一刻都不能放松。

第二我們認為安全是一個體系化問題，像魔形女漏洞其實利用的是一個個漏洞組合。在魔形女出現(xiàn)之前，這些漏洞也存在，危害沒那么大，導致大家掉以輕心。但一旦前面防線決堤，后面防線馬上就會崩潰。這也告訴我們應該是搭建縱深防御的安全體系，重視每一個安全問題。這是一件任重道遠的事情?！?/p>

擁抱每一座孤島

疫情未決，漏洞襲來。病毒不僅在檢測各個國家的效率、強弱與文明，同時還在考驗著人性。漏洞在驗證著企業(yè)的技術(shù)能力，也在考量企業(yè)對社會責任的整體態(tài)度。

周群在這時談到：

很多的事情并不發(fā)生在企業(yè)之內(nèi)，而是源于外部業(yè)務(wù)環(huán)境管理不善或者系統(tǒng)問題導致的數(shù)據(jù)風險。但從用戶端的感受來看，就是我的數(shù)據(jù)被泄露了。因此，我們想更多地幫助用戶解決個人隱私保護的問題。

一家企業(yè)首先看向無數(shù)體量的個體，才能在內(nèi)卷深海中擁抱每一座孤島。在海明威引自英國詩人John Donne詩作中，兩三幾句能解企業(yè)長期戰(zhàn)略的問題：

No Man is an Island

No man is an island, entire of itself

every man is a piece of the continent, a part of the main.

沒有人能自全，沒有人是孤島，每人都是大陸的一片，要為本土應卯。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。