“中國移動支付震驚世界”��、“歪果仁驚嘆中國手機支付普及”……一系列標題的背后�,是中國移動互聯網的高速普及�����。據工信部最新數據顯示�,截至2017年7月末���,我國移動互聯網用戶總數已達12億戶����,位居世界第一�����。同時����,手機全民化也帶來了層出不窮的安全問題�����,360此前發布的《2017年第二季度中國手機安全狀況報告》顯示�,惡意程序��、釣魚網站��、騷擾電話、垃圾短信、網絡詐騙是威脅手機安全的五大因素,其中網絡詐騙發展最為猖狂�����,第二季度人均損失金額翻倍��,高達17582元���,同比2016年第二季度高出一倍多��。
如何保護12億移動上網用戶的安全?如何構建更健康的移動安全生態?在9月11-13日國家會議中心召開的中國互聯網安全大會(ISC2017)上,移動終端安全分論壇成為整個大會的焦點。以中國移動代表的運營商���,以華為等代表的手機廠商,工信部旗下泰爾實驗室���、盤古實驗室,以及國內領先的安全服務商360等多家機構����,共聚一堂,就新形勢下的移動終端安全問題�����,進行深入探討。與會專家一致認為,移動環境下安全風險更加復雜、攻擊手段呈現高科技��、高智商化���,單靠一家廠商或者一款軟件來保護的時代已經過去了��,全鏈條的協同防御變得非常重要����,共建移動安全生態勢在必行���。
圖一:ISC2017移動終端安全論壇嘉賓合影
作為論壇主持人�����,360集團助理總裁姚彤舉了一個案例故事��,某位用戶,接到某電商的客服電話,告知是退款����,該用戶按照電話��,輸入驗證碼,登錄操作,最終莫名奇妙在某網貸平臺上欠了幾十萬元,方知道自己受騙�。在整個過程中����,牽涉到電商平臺管理����、個人信息隱私和泄露�、電話和短信驗證碼識別、網貸平臺管理等等多個問題�,但卻很難用單一手段徹底解決����,這導致今年網貸類詐騙案例頻發���,呈爆發跡象��。
手機安全和個人財富息息相關��,安全問題一旦大規模爆發,甚至會讓大批人傾家蕩產�����,威脅社會穩定��。幸運的是�����,運營商、手機廠商�、研究機構�、安全服務商已經意識到威脅的嚴重性����,并積極協同,未雨綢繆��。
運營商主動提升開放性���,賬號認證安全性更出色
此前財富中文網發布最新《財富》中國500強排行榜�,中國移動位列第6名���,持續領跑運營商行業�。中國移動作為運營商領域最強企業,多年來不斷推出包括動感地帶��、神州行等在內的多項服務��,滿足了不同類別用戶需求��,最終收獲口碑贏得民心��。
在論壇上中國移動代表人提出中移動將主動開放大網能力,為手機用戶提供更安全更便捷的賬號認證服務�����,屆時會給移動互聯網安全帶來全新體驗��。
手機廠商公開網絡安全戰略���,只為建設聯合安全生態
移動終端安全問題重大���,僅憑運營商一己之力并不能解決�,因此華為作為手機廠商代表應邀參加移動終端安全分論壇���,華為首席安全科學家李雨航出席了此次會議�����。
圖二:華為首席安全科學家李雨航
在論壇上����,李雨航發表了以《芯端云協同�,消費者安全》為主題的演講�,他提及手機用戶面臨著移動應用方面的威脅,其增長速度極快,部分安卓惡意軟件呈現指數級增長�。華為公司在應對安全方面��,將網絡安全視作公司最高戰略,置于商業利益之上。
而在應急生態和安全建設方面,李雨航表示:各個廠商可能也是需要政產學研來協同��,一起共建生態����。
由此可見,華為已經意識到協同合作共筑移動互聯網安全防線的重要性,相信在不久的將來,華為將為建設聯合安全應急響應和安全生態提供更大助力���,用戶在使用手機時也能減少安全威脅困擾。
多家安全實驗室共揭重大安全漏洞
移動互聯網的安全問題日益嚴重,并呈現高科技���、高智商、社會工程學、詐騙產業化����、損失巨額化等愈加復雜的趨勢特點����。從個人信息泄漏�、網絡電信詐騙,到金融支付騙局,再到勒索病毒,可以看到每一類移動安全事件的背后�,都牽涉到移動終端的多方面漏洞和不同環節的安全生態���。
基于此�,盤古實驗室����、工信部泰爾終端實驗室、阿里系螞蟻金服巴斯光年實驗室、360烽火實驗室�、360阿爾法團隊等多家安全機構均出席了移動終端安全分論壇�����,共同向大眾揭露重大安全漏洞�,并分享精彩干貨。
論壇現場��,阿里系安全實驗室從手機集成的第三方服務入手��,向論壇嘉賓及觀眾介紹了第三方服務的攻擊面及攻擊方法����。并以之前發現的某個FOTA服務漏洞為例���,現場演示如何根據方法尋找到相關攻擊面進而發現漏洞�����。
360 Alpha Team安全研究員楊文林從N-Day安全威脅出發�����,在論壇上向大眾揭秘了現實中安卓系統的安全狀態��。在演講中,他提及安卓系統缺乏高效的升級功能并且碎片化嚴重,并且據安卓上市的0day漏洞披露統計:2015年谷歌官方公布了64個漏洞,2016年則公布了498個��,截至2017年上半年谷歌官方已披露了1000個�����,由此可見安卓安全漏洞數量呈迅猛上漲趨勢���。2017年下半年����,甚至2018年漏洞可能數以千計爆發出來����。
隨后楊文林還通過研究N-Day在各設備上的影響情況�����,統計各種維度上的安全狀態的差異��,并分析出不同設備、系統的安全狀態����,最終描繪出了一個清晰的安卓系統安全狀態圖���。
圖三:360 Alpha Team安全研究員楊文林
360烽火實驗室技術經理陳宏偉則以今年臭名昭著的勒索蠕蟲病毒WannaCry為切入點�����,講述未來手機勒索軟件的發展及變化。還揭破了手機勒索軟件背后的黑色產業鏈以及特有的傳播方式��。最后還針對各類手機勒索軟件提出了具體可行的解決方案�����。
對于手機勒索軟件����,陳宏偉強調手機勒索軟件是指利用一種或多種技術手段����,造成的后果包含但不限于鎖住用戶移動設備�����、加密設備中的數據文件����、設備無法正常使用���,并以此威脅用戶����,要求用戶支付一定的費用來恢復移動設備正常的惡意程序。
而如何應對手機勒索軟件���,陳宏偉建議手機用戶首先要提高安全意識。并及時安裝手機系統更新�,另外還需安裝安全軟件�����,并保持病毒庫的實時更新�,保持病毒庫在一個最新的狀態�。
圖四:360烽火實驗室技術經理陳宏偉
本次分論壇最后,各方機構還聯合發布了《2017年中國手機安全生態報告》�����,共同發出倡議書�,形成了以手機廠商、安全廠商����、科研機構等為一體的多方位�����、全鏈接移動網絡安全防護體系��。為了能夠更加有效的解決移動安全問題�,對此我們呼吁更多企業和機構能協同聯動��,共筑移動互聯網安全防線����。
京公網安備 11010502041587號