高曉松老師說:“人生不是故事是變亂”。人們習慣把安適“外包”給專業(yè)機構,只有當?shù)準乱u來才會痛定思痛,這大概是人性的最大bug,因此安適從來不能一勞永逸。如今,全國有12億人像我們一樣,每天與手機為伴。越來越多的安適隱患是從“手機”這個最單薄環(huán)節(jié)攻入的,很多網(wǎng)絡犯罪分子也已紛紛“轉型”線上了。
在第5屆中國互聯(lián)網(wǎng)安適大會(ISC2017)上,360掌門人周鴻祎關于“大安適”的演講刷新了人們對網(wǎng)絡安適認知高度,好比萬物皆可編程,只有軟件是由人編寫就必然存在漏洞,就有被攻破的可能性;在未來網(wǎng)絡戰(zhàn),系統(tǒng)漏洞是最名貴的戰(zhàn)略資源;網(wǎng)絡安適標的目的將是軍民合作等“大安適”新不雅觀念不勝枚舉。鑒于移動安適重要性及復雜形勢,由360公司組織了ISC2017“移動終端安適論壇”,邀請工信部旗下安適實驗室、中國移動、華為、螞蟻金服、360等活躍在安適產(chǎn)業(yè)第一線重要角色參加。
筆者作為媒體代表有幸受邀不雅觀摩學習,感慨作為一名安適小白享受著移動互聯(lián)網(wǎng)帶來便捷和繁榮,很少設想網(wǎng)絡底層“地基”是否安穩(wěn)?憂慮過是否有不速之客闖入手機“愉逸窩”的可能?如果被攻破還沒有察覺,就像被人騙了還在給人數(shù)錢一樣昏聵,那么,我們的手機未來會真的更安適嗎?
一、手機系統(tǒng)漏洞發(fā)作,智能手機產(chǎn)業(yè)鏈讓安適形勢更嚴峻
主流的智能手機操作系統(tǒng)要么是iOS,要么是Android,國產(chǎn)手機幾乎全部基于安卓的開源系統(tǒng),安卓機市場占據(jù)智能手機份額的70%以上。據(jù)CVE Details年初的陳訴,去年安卓軟件的漏洞高達523處,高居所有軟件漏洞之首;此前360互聯(lián)網(wǎng)安適中心就出具陳訴顯示,超9成安卓機處于系統(tǒng)高危狀態(tài)。
好在安卓系統(tǒng)更新非常勤快,升級新版塊一般會把以往公布的漏洞進行修補,那漏洞應該會越來越少才對。讓人沮喪的是,在ISC移動安適終端論壇上,360 Alpha小組安適研究員楊文林公布了一組數(shù)字,2015年谷歌官方公布了64個漏洞,2016年則公布了498個,2017年上半年谷歌官方已披露了1000個,其安適漏洞數(shù)量不降反增,預計2018年系統(tǒng)漏洞還將數(shù)以千計發(fā)作。
在ISC2017移動終端安適論壇上,中國信息通信研究院泰爾終端實驗室信息安適部副主任楊正軍在其演講中,就移動安適形勢越來越嚴峻的原因做了梳理:
1. 智能手機上下游產(chǎn)業(yè)鏈極其龐雜,其中芯片廠商、手機廠商、App應用開發(fā)者等每個環(huán)節(jié)都可能產(chǎn)生漏洞。
2. 各個手機廠商之間彼此競爭、各自為政,對自身UI的安適程度紛歧,好比谷歌發(fā)布CV1漏洞后國內(nèi)各個手機廠商及主要應用修復、升級較為滯后。
3. 用戶手機安置眾多App,有的App存在敏感信息泄露;隨著智能手機所連接的智能設備越來越多,云端密碼、用戶隱私信息泄露風險加大。
(摘自《2017年中國手機安適生態(tài)陳訴》,差別App對用戶隱私權限紛歧樣,整體來看非常嚴重)
要按以往PC時代安適思維,用戶安適直接交給專業(yè)網(wǎng)絡安適公司、裝個殺毒軟件或手機安適管家就OK了,但移動安適產(chǎn)業(yè)鏈牽一發(fā)而全身,系統(tǒng)漏洞防失慎防,如果不能從全產(chǎn)業(yè)鏈上“團結”起來,很難打擊網(wǎng)絡犯罪分子及黑客大盜的囂張氣焰。據(jù)了解,去年全球網(wǎng)絡犯罪所造成的損失高達3萬億美金,預計2021年會達到6億美金。
二、打擊網(wǎng)絡犯罪,移動互聯(lián)網(wǎng)全產(chǎn)業(yè)鏈大協(xié)作才能“治本”
智能手機不但是人們的認證中心(手機號與社交資料構成人的身份證及通行證);還是個人的財富中心(支付寶和微信在很多城市已經(jīng)取代現(xiàn)金支付,還與銀行卡進行綁定)。
這意味著網(wǎng)絡犯罪分子只要搞定用戶手機,絕不成能白手而歸,網(wǎng)絡犯罪離廣大網(wǎng)民并不遙遠,據(jù)2017年Q2手機安適陳訴,360獵網(wǎng)平臺共接到網(wǎng)絡詐騙舉報達6807起,涉案金融高達1.2億元,人均損失17582元,其人均損失基數(shù)有逐年上漲態(tài)勢。
打響移動安適掩護戰(zhàn)首先要升級的全行業(yè)的憂患意識,以系統(tǒng)漏洞偵查甄別及修復為“牛鼻子”順藤摸瓜。從這個角度講,安適互聯(lián)網(wǎng)公司向手機廠商公布或提示漏洞并非要“砸場子”或“搞事情”,而是幫手手機廠商提升自身的防御力。
以蘋果為例,去年iOS系統(tǒng)開始嘗試安適接口的開放,以攔截騷擾電話、垃圾短信、釣魚鏈接等,360推出防騷擾大師等安適軟件;而谷歌、微軟也會對系統(tǒng)漏洞舉報者給予獎勵,其中全球安適廠商之中,360提供的漏洞數(shù)量最多。