前有“挂马”后有“爆洞” 移动安全不容乐观

首页 / 业界 / 资讯 /  正文
作者:闫小川
来源:安全419
发布于:2021-12-06
全球移动设备数量到底有多少?早在2014年,GSMA(全球移动通信系统协会)相关报告就给出了一份答案,据统计当年全球人口数量在71.9亿至72亿之间,而移动设备首超全球人口数量突破72亿大关。过去统计更多的是手机、平板这类移动设备,现在如果考虑到物联网当中的移动设备以及智能穿戴设备,数量可能更加惊人。

 
问题随之而来,移动设备发展迅猛的同时,安全也同样面临诸多威胁挑战。就最近而言,前有应用商店“挂马”后有芯片“爆洞”,一方面,在移动设备系统生态方面,强如谷歌、苹果的应用商店也频繁爆出安全事件;另一方面,物理级的硬件安全问题在某些角度来看则更加可怕。
 
近期事件:
 
“应用商店再成木马突破口 移动端成黑客紧盯目标”
 
『俄罗斯反病毒厂商Doctor Web的研究人员称,他们发现了我国某手机品牌的应用商店中190多个不同的App带有木马,据报道,该品牌应用商店中之前含有挂马的App已导致大约9,300,000次用户安装,该木马被Doctor Web检测为“Android.Cynos.7.origin”,是旨在收集敏感用户数据的Cynos恶意软件的修改版本。』
 
“联发科芯片窃听漏洞影响全球37%的智能手机和物联网”
 
『据网络安全公司Check Point披露,联发科所设计的芯片组AI和音频处理组件存在漏洞,该漏洞可能会被攻击者利用以提升权限并在音频处理器的固件中执行任意代码,从而有效地允许攻击者在用户不知情的情况下执行“大规模窃听行动”。相关漏洞似乎影响了天玑(Dimensity)全系 SoC —— 包括 Helio G90 P90 等芯片组、甚至波及所谓的“Tensilica”APU 平台。』
 
以上则是在不久前短短一周之内连续被爆出的移动安全事件,此前类似的相关事件其实也不胜枚举。比如两个月前,研究人员发现的GriftHorse木马就攻击影响了至少1000万台Android设备,含有木马的恶意软件使用通过谷歌官方Play商店和第三方应用商店提供的200多个木马App进行传播。
 
应用形态决定安全趋势不容乐观 
 
来自于安天移动安全的安全专家章泽桦告诉我们,随着移动终端设备规模量级多态增大,使得系统的复杂性提高,安全性降低,同时也让移动端安全的安全逻辑和策略同原有的基于计算机和云的安全策略差距越来越大。
 
移动设备品类不断增多,结合上下游供应链的复杂化,移动端安全所面临的场景也更加地复杂化。在章泽桦看来,创新应用一方面拓展了传统移动设备如手机端的安全风险,因为大多这些创新者缺乏安全意识,而另外一个层面,不断涌现更多的创新移动设备品类,也将带来新的问题。“整体上这与PC端截然不同,这种趋势也带来了更多、难度更大的安全挑战。”章泽桦强调称。
 
章泽桦进一步表示,移动端安全根据其产品软硬形态应用的不断变化,也由原来的传统恶意代码体系,转向了更加宽广的打击面。弦冰科技的高级可信安全专家胡铭德也同样告诉我们,从黑客攻击角度来看,移动安全早已从单点向全链路攻击转变。

 
“除了手机这类传统的移动设备,其一旦涉足物联网可移动的智能终端,由于其品类应用繁多,协议众多,供应商众多,且大部分小供应商没有安全意识和安全能力来提供安全产品,未来移动端的安全挑战也将更加复杂。”胡铭德说。
 
以智能手表为例,特别是儿童智能手表,多年来绝大多数产品一直存在无加密的数据传输行为,甚至可以接收远端服务器控制。这也意味着,我们自认为获得安全的同时,还打开了另一扇时刻面临危险的大门。类似的移动设备也同样如此。
 
黑客团伙放不过的移动设备
 
据《2020年中国互联网网络安全报告》显示,通过CNCERT/CC自主捕获和厂商交换新增获得移动互联网恶意程序数量约为303万个,同比增长8.5%,另外捕获联网智能设备恶意程序样本数量约341万个,同比上升5.2%。
 
以上数据在告诉我们,移动设备也包括智能的联网设备的安全风险正在持续飙升。安全专家们告诉我们,由于移动端拥有庞大的基数,其可产生的惊人资源和流量,注定会被黑客紧盯不放,同时移动端与用户生活更近,存在着大量的支付环节,也更容易完成犯罪的最终目的,那就是非法获得金钱。
 
过去的十年,是移动互联网技术和移动智能终端快速发展十年,同样也是移动终端用户威胁快速演变和迁徙的十年,随着国内反病毒技术的逐渐成熟,移动互联网病毒发展趋势逐年式微,移动安全威胁发生重大迁移,移动风险应用成为用户安全主要威胁与新痛点。
 
章泽桦告诉我们,移动端的所面临的安全问题由传统的恶意代码体系转变为了如今更加多元化复杂化的风险应用体系,风险应用体系所面对的安全场景、风险行为和供应链都更加复杂多变,且相较于传统的恶意代码体系其所打击和面对的对象也更加多样。例如:流氓广告、博彩、色情、仿冒金融、传销等等,已与原本传统恶意代码有本质性的区别,但是同样侵犯用户利益。
 
也就是说过去手机被黑可能只是电影中才会出现的情节,不仅是专业的、有组织的团队,黑灰产也开始同步发展阵地,而实现中,我们又很难对他们予以打击。
 
“随着暗网和区块链技术的发展,为网络犯罪带来了更强的隐蔽性,从而使黑客犯罪更难被溯源打击,而且一旦涉及跨国执法,就很容易从一个简单的问题过渡为政治问题,这将使打击犯罪工作变得更加复杂。”胡铭德在接受我们采访时说到。
 
胡铭德进一步表示,这也使得网络犯罪趋势从个体转向有组织、集团化运作,以近年来频发勒索病毒为例,主要就是犯罪集团分工协作,从而高效完成对个人和企业的攻击。如果国际社会没有达成共识,在取证抓捕过程中协作不通畅,绝大多数具有极强隐蔽性的网络犯罪都会逍遥法外。
 
软硬生态安全本质是攻防对抗
 
网络安全的本质是攻防对抗,以上层生态为例,强如谷歌或是苹果,他们的应用商店也经常被植入恶意软件,不法黑客是怎么绕过现有安全机制的?
 
章泽桦告诉我们,以谷歌为例,上架的应用要通过一整套审核机制,如静态检测、动态检测,同时还有人工检测,攻击者往往要想上架含木马病毒的App,就要通过技术手段来绕过现有的检测机制,这方面主要是代码技术的攻防,攻击者会用到如代码混淆、加密等技术,攻击技术会不断升级,如果应用商店以当时的技术手段没有检测出来,就可能会被绕过;另外还有一种是先行合法化,后期的作恶则是通过云控、插件、应用自更新等方式实现,这种前期合法化的App更加难以防范。
 
胡铭德则表示,苹果公司在应用安全上是发放开发者证书,通过数字签名方式达到一定的安全性,这确实符合安全特性,但如果证书被偷了呢?所以在胡铭德眼中,任何一个环节上的点都需要制定更加全面的安全策略,并且要不断进化,不然很难在攻防实战中取得主动权。
 
在移动应用程序开发方面,安全专家们一致认为,需要应用开发单位摒弃过去传统的商业运营思维,并且全程投入更多的安全重视程度之间达成平衡。一方面随着数据重视程度不断提高,对于App监管力度越来越大,开发者必须摒弃混乱的权限索取行为;另一方面,开发全生命周期引入安全,以解决来自框架、供应链、业务逻辑等方面的安全风险,同时后期还要通过大量的、专业化的安全测试,才能在开发端保证应用最大化的安全,不被攻击者有机可乘。

 
章泽桦进一步表示,移动应用程序除了核心业务代码逻辑需要加固,对于数据传输过程的加密也十分重要。一方面是数据的重要程度在不断加大,法律法规或行业规范要求建立这方面的能力,避免产生数据泄露;另一方面也需做好权限管控工作,否则因应用自身过度索取权限,再加上开发者安全意识较为薄弱的情况下,应用出现漏洞时将更容易被攻击者利用窃取用户隐私,最终导致用户隐私数据暴露于危险之下。
 
在硬件层面,很多时候威胁来自于漏洞被公开披露之后,与更多的设备修补漏洞之间的空隙。胡铭德就告诉我们,更注重安全的移动设备制造商会第一时间跟进并提供修复补丁,这主要是那些手机厂商。但是现实中更多的移动设备厂商对这方面的态度并不积极,或者他们根本没有这方面的考虑,再考虑到用户一端更新补丁的可见性和积极性,总是会留给攻击者大把的可用目标。
 
我们前不久就报道了一件类似的事件,英国的某家ISP供应商为他们多达600万用户提供的家用路由器就存在漏洞,安全研究人员私下向他们反映了漏洞的详情,但是直到1年之后这家宽带提供商才陆续的完成修复工作,这引起了安全研究人员的极度不满。最终,我们不得而知的是这些家用路由器是被统一更换还是系统升级,如果用户因为可见性问题没有升级,谁来为他们的安全负责。
 
从不同的角度来看待移动安全这一问题,会存在不同的做法差异,但又存在共性,比如应用程序开发上也存在漏洞需要修补等问题,但万变不离其宗,那就是攻防两端都在不停的进化,以用来争夺掌控主动权,随着AI的进步,甚至是未来“元宇宙”的可能,这种争夺会日益激烈,并充满着未知。
 
终端用户的我们该如何应对?
 
对于终端用户的我们,总要有些办法来尽量避免自己移动设备被黑,避免成为下一位受害者。对此,安全专家对此也一一发表了看法。
 
章泽桦就表示:

 
第一、官方的应用市场目前仍然是我们最可靠的、安全的应用获取来源,非必要不要去非官方渠道下载应用。当已安装应用提示更新时,尽量通过应用市场进行更新,避免通过授予其安装应用的权限和辅助功能服务权限,进行应用自更新;
第二、严格限制App的过度索权问题,要向类似的手电筒调用通讯录权限等说“不”,通常来说在安装App后就要对其进行权限查看,就能帮助判断其是否存在作恶行为;
第三、关注最新网络安全事件,及时更新移动设备的系统及应用的安全更新,避免设备受最新漏洞影响;
 
章泽桦进一步表示,我们个人除了通过以上常规的安全操作,更多的是安全意识上的养成。比如我们可以为基于不同的应用(业务)区别化增设一些标识信息,这样一旦出现安全问题,如数据泄露,我们能快速定位到数据泄露的源头在具体哪个应用上。
 
胡铭德则告诉我们,广泛被厂商应用于安全产品一侧的零信任技术,在用户一端也可以发挥价值。零信任核心是“持续验证、永不信任”,个人用户以该理念去使用App,实际上就会高度对应现在作恶App的诸多机制。
 
“除了要有较高的安全意识,如果用户想要一个更加安全的移动应用环境,在智能手机一端,其实可以建立一个可信环境的沙盒,这样的话就可以放心大胆的使用了,不过这可能需个人建立一定的技术能力储备。”胡铭德说道。
 
得益于《个人信息保护法》的正式实施,目前,国家从法律法规监管一侧对于移动设备的安全重视程度被提到了空前高度,但是从行业生态上看,其距离我们想要的安全还存在不少差距,这一问题的思考只能留给行业里的每一位参与者,是新技术的应用,比如AI、零信任等,还是底层架构的革新,这个问题时间会给我们答案。