很久很久以前，網(wǎng)絡(luò)安全沒現(xiàn)在這么復(fù)雜。移動互聯(lián)網(wǎng)時代驟然來臨，如同一聲響雷，移動安全威脅也像狂風(fēng)驟雨一般接踵而至，人們沒反應(yīng)過來就已被淋得渾身濕透。這一切都看在龔蔚的眼里。這位安全界的元老級人物見證過中國網(wǎng)絡(luò)安全的發(fā)展，也經(jīng)歷了移動安全從蠻荒時代到多樣化威脅的變遷，對于移動安全，他有著自己的思考和安全之道。

作為 WiFi 萬能鑰匙的首席安全官，goodwell 龔蔚在 3月7日 WiFi 萬能鑰匙舉辦的安全之道線下沙龍，和觀眾們聊了聊他看到的移動安全變遷，以及他們?yōu)橹龅呐ΑＲ韵率茄葜v內(nèi)容，雷鋒網(wǎng)整理發(fā)布（其中小標(biāo)題為雷鋒網(wǎng)編輯所加）：

從“上古時期”說起

早期移動安全的威脅主要來自于系統(tǒng)層面。那時系統(tǒng)在設(shè)計時不那么完美，有各種各樣的潛在系統(tǒng)安全漏洞，這些漏洞可能導(dǎo)致被提權(quán)、遠(yuǎn)程內(nèi)存溢出等問題。

root 最高權(quán)限的爭奪打開了潘多拉的魔盒，惡意軟件一旦取得 root權(quán)限，就等于得到了設(shè)備的控制權(quán)，做很多超越用戶所做的事情，比如手機(jī)關(guān)機(jī)以后竊聽周邊的環(huán)境。

手機(jī)關(guān)機(jī)之后還能竊聽？在座（記者）可能不太相信，但這在安全界是常識。舉個簡單的例子，當(dāng)我有系統(tǒng)最高權(quán)限時，你按關(guān)機(jī)鍵，我就給你播放一段關(guān)機(jī)畫面，手機(jī)沒有真正關(guān)機(jī)，但是屏幕、震動等狀態(tài)表現(xiàn)地和關(guān)機(jī)一樣，然后你的手機(jī)就會自動接聽我的號碼，并且開啟免提，這樣我就可以竊聽你了。

正是由于root這種至高無上的權(quán)利，成為惡意軟件爭奪的制高點，安全廠商為了防范這些獲取root權(quán)限的惡意軟件，它原來在應(yīng)用層是無法對抗這些惡意軟件的，所以它也要必須取得和它相同水平的甚至于高于它的權(quán)限。因此，那時系統(tǒng)權(quán)限是安全廠商和惡意攻擊者爭奪的制高點。

從系統(tǒng)層轉(zhuǎn)向應(yīng)用層

隨著時代的發(fā)展，漏洞發(fā)布修復(fù)體系越來越完善，不再像早期剛發(fā)布沒幾個月就蹦個高危漏洞來。惡意軟件想取得系統(tǒng)最高權(quán)限越來越難，手機(jī)的越獄、root也越來越難。

于是，原本制作惡意軟件的人會把攻擊的重心移向到應(yīng)用層，以前獲取 root 權(quán)限是為了竊取用戶的銀行帳號或者錢財?shù)霓D(zhuǎn)帳或者其它信息來獲利。后來獲利手段越來越多，不需要 root 權(quán)限，在應(yīng)用層就可以變現(xiàn)。應(yīng)用層成為主要攻擊入口，在這幾個方面體現(xiàn)的非常明顯：

被濫用的權(quán)限聲明

現(xiàn)在大部分軟件都會大量申請各種各樣的系統(tǒng)權(quán)限，GPS 位置、定位、通話記錄等等，過多的權(quán)限聲明就造成了權(quán)限濫用。一款看圖軟件也要你的通話記錄、通訊錄；一個計算器也要你的 GPS 位置。在權(quán)限申請這塊，目前還沒有明確的法律法規(guī)或者行業(yè)標(biāo)準(zhǔn)來限制，因此該問題也有待規(guī)范。

代碼植入

近年最典型的就是 X-code 事件，蘋果軟件的開發(fā)人員都會用一款叫做 Xcode的開發(fā)工具，惡意攻擊者對原有的Xcode進(jìn)行代碼改編植入一個后門，發(fā)布在網(wǎng)上，使得所有用該工具開發(fā)的蘋果APP都會被相應(yīng)植入后門，最終造成了大范圍的APP感染。

惡意軟件

根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心的數(shù)據(jù)，2013年惡意軟件被感染的用戶數(shù)量是609萬，2014年2292萬，2015年1點多億，惡意軟件的數(shù)量也從2011年6000多個，到2015年的16萬個。

在惡意軟件方面，國家打擊的力度越來越大，2015 年互聯(lián)網(wǎng)應(yīng)急中心就累計向302家應(yīng)用市場商店網(wǎng)盤通報惡意軟件1.7萬余起，查殺的力度越來越大。于是惡意軟件轉(zhuǎn)向另一種盈利模式——山寨軟件。

山寨軟件

在應(yīng)用市場里，一款知名的移動端APP很可能有上百個的“李鬼”，它可能是LOGO一樣、名稱相似、皮膚一模一樣，這些山寨程序很難讓用戶分辨清楚誰真誰假。很多人說他做一個山寨軟件可能也不帶惡意行為。但是它為了變現(xiàn)，可能會在晚上12點后臺推送大量的軟件，假如你發(fā)現(xiàn)第二天開機(jī)多了幾個軟件，可能就是山寨軟件所為。

為了獲取金錢和利益，大量的山寨軟件產(chǎn)生，但山寨軟件又不是惡意程序，很難把它定義為是非法程序，它只是皮膚、LOGO或者名稱和合法正版的某款軟件長得很像，不帶有明顯惡意攻擊的行為。對山寨軟件的查殺力度不嚴(yán)，導(dǎo)致應(yīng)用市場普遍存在這樣的現(xiàn)象。

去年WiFi萬能鑰匙就聯(lián)合各大應(yīng)用市場和手機(jī)廠商做了打擊山寨的活動，查出1387款WiFi萬能鑰匙的山寨應(yīng)用，經(jīng)過我們的努力最終有1305款山寨下線，但是山寨軟件又像雨后春筍一樣，砍掉一個又出來很多個，不斷有大量仿冒的山寨軟件出來。

這里我做了一個截圖，在某應(yīng)用移動市場上搜WiFi萬能鑰匙，出現(xiàn)大量長得和我們LOGO一模一樣的應(yīng)用軟件，一共有19頁，當(dāng)翻到第15頁的時候還可以看到有類似LOGO的。

除此之外，我們會發(fā)現(xiàn)安全形勢從最開始的單一形態(tài)衍生出了各式各樣的新威脅形態(tài)，比如：

黑產(chǎn)善用大數(shù)據(jù)分析

現(xiàn)在每家公司都說要做大數(shù)據(jù)，通過數(shù)據(jù)的搜集，對用戶進(jìn)行精準(zhǔn)畫像，但是，數(shù)據(jù)的搜集也讓用戶隱私泄露的問題越來越突出。尤其在這里我想說，在大數(shù)據(jù)做用戶畫像上，黑道走到白道的前面。

我們知道，像BAT這樣的大公司都在做大數(shù)據(jù)，但從沒有聽說BAT之前有做數(shù)據(jù)互享的，你在淘寶買東西的數(shù)據(jù)，和你在百度搜索內(nèi)容的數(shù)據(jù)，是沒有相互結(jié)合來刻畫你的身份畫像的。但是在黑色產(chǎn)業(yè)鏈，你所有信息是互通的。有你身份證信息的那個人，會跟有你電話號碼的那個人資源互換，會和有你銀行卡的人資源互換，它們這種強(qiáng)大的數(shù)據(jù)整合，最終會勾勒出你整個人的互聯(lián)網(wǎng)畫像。地下黑產(chǎn)們的合作意識非常強(qiáng)，這一點走在了我們的前面。

網(wǎng)絡(luò)敲詐像幽靈般籠罩

2016年網(wǎng)絡(luò)敲詐被定義為超過惡意軟件的網(wǎng)絡(luò)安全威脅。中了敲詐軟件的情形，和電影《電鋸殺人狂》里的情節(jié)有些類似 ：

我現(xiàn)在跟你做一個游戲，你電腦上的文件正在一點一點地被我刪除，每過一段時間刪除一點。如果你重啟電腦，我會一下子刪除一千個文件，如果你把我刪除的話，你將再也找不會你所有的文件。

網(wǎng)絡(luò)敲詐行情價一般便宜的25美金，一般貴的150美金。而且根據(jù)你支付的時長遞增，第一天不付100，第二天150，不收轉(zhuǎn)帳只收比特幣。

在這里提醒一下各位，一旦如果你們遇到網(wǎng)絡(luò)敲詐，最好不要付錢。因為一旦你付過錢，你這個公司的后綴郵箱的域名就會進(jìn)入勒索者的白名單，成為“優(yōu)質(zhì)客戶”，大量的敲詐勒索會向你這個域名和郵箱后綴發(fā)過來。付費的結(jié)果可能是你自己解密了文件，但是你公司的同事可能會成為攻擊目標(biāo)。因此防范網(wǎng)絡(luò)敲詐還是應(yīng)該以預(yù)防和備份為主。

除了數(shù)據(jù)勒索，智能設(shè)備的勒索也屢見不鮮，最典型的就是蘋果手機(jī)勒索，許多勒索者利用蘋果手機(jī)的丟失鎖定功能，通過盜取受害者的 iCloud 賬號來鎖定用戶的手機(jī)，有非常多的人中招。如今智能汽車非常先進(jìn)，未來你的汽車也可能成為網(wǎng)絡(luò)敲詐勒索的目標(biāo)。

智能設(shè)備引發(fā)智能之患

去年互聯(lián)網(wǎng)就發(fā)生了這樣一件事，美國的電力設(shè)備遭遇大規(guī)模拒絕服務(wù)攻擊，溯源以后發(fā)現(xiàn)攻擊源主要不是來自服務(wù)器，不是PC，不是移動手機(jī)，而是一堆智能設(shè)備。什么概念？可能是一個門鈴，可能是一個掃地機(jī)器人，可能是智能插線板。惡意攻擊者控制了大量的智能設(shè)備，在互聯(lián)網(wǎng)發(fā)起攻擊。這種形態(tài)在以后可能會越來越多見，智能設(shè)備越來越多使用到，而且連接到網(wǎng)絡(luò)上，有的設(shè)備的安全保護(hù)非常差，甚至于有些開發(fā)廠商自己留下后門，就被惡意攻擊者利用，成為攻擊源。這類事情可能會越來越多，未來發(fā)起攻擊可能不再是服務(wù)器、PC、移動電腦，可能就是一個門鈴就能發(fā)起一個攻擊，就可以做各種各樣攻擊的行為，這個也是我們在未來幾年應(yīng)該看得到的。

WiFi安全談虎色變

WiFi 安全近年來也成為了人們關(guān)注的熱點，315 曝光WiFi安全隱患之后，大家一講到連接公共WiFi就談虎色變，大家都說不能連公共WiFi，會造成隱私泄露。但公共WiFi就完全不能用了嗎？為此，WiFi萬能鑰匙也有自己的安全解決方案，我們是分為事前事中和事后三個方面來做的：

首先在事前，我們會對所有的WiFi熱點包括歷史的數(shù)據(jù)進(jìn)行畫像，在用戶還沒有連上WiFi的那一刻，我就可以告訴你這個節(jié)點是否安全。

當(dāng)一枚硬幣拋向空中那一刻，其實結(jié)果已經(jīng)確定，只是我們不知道而已。如果能捕獲到所有和拋硬幣相關(guān)的力度，角度、高度等等參數(shù)，我就能準(zhǔn)確預(yù)測它的結(jié)果。同樣，WiFi是否安全也不是隨機(jī)的，只要我能捕捉到它的所有數(shù)據(jù)就能算出來。

基于這個理念，我們對所有的WiFi節(jié)點取樣，并分析歷史數(shù)據(jù)，比如一個WiFi節(jié)點位置是否發(fā)生過移動？它的存活時長是一天還是一年前就存在？有哪些人連接過它？這個WiFi熱點的硬件廠商是怎么樣？歷史上有沒有發(fā)生過ARP的攻擊？通過這些數(shù)據(jù)建模，進(jìn)行分析就可以實現(xiàn)相當(dāng)準(zhǔn)確的安全判定。

當(dāng)你連接上WiFi以后，我們會幫你實時檢測當(dāng)前連接的環(huán)境是否存在攻擊行為。同時提供一個叫安全隧道的數(shù)據(jù)加密功能。我們的設(shè)計初衷是：即使這是一個釣魚節(jié)點，即使這是一個惡意攻擊者部署的竊取信息用戶隱私的節(jié)點，我照樣要使用它的熱點，而且做到信息不泄露，現(xiàn)在我們的加密隧道已經(jīng)完全可以做到。在這之后，我們提供了一個WiFi安全險，假設(shè)你使用WiFi萬能鑰匙連接WiFi之后遭遇了相關(guān)的攻擊，引起覺財產(chǎn)損失，可以向我們理賠，但目前該保險推出了一年多，還沒有一起索賠的事件。

總之，移動安全由一開始的單一形態(tài)向如今紛繁復(fù)雜的多形態(tài)發(fā)展后，安全威脅變得越來越多，WiFi萬能鑰匙作為一款以分享經(jīng)濟(jì)幫助用戶連接免費公共WiFi的上網(wǎng)工具，也希望能為公眾WiFi安全做出一些貢獻(xiàn)，幫助提升公眾整體網(wǎng)絡(luò)安全水平。

注：本文由雷鋒網(wǎng)根據(jù)演講內(nèi)容編輯整理，少量內(nèi)容刪改。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。