9月21日,中国信息通信研究院移动安全联盟秘书长杨正军在OPPO大移动安全高峰论坛上表示,今年以来国内手机出货量是2.5亿部左右,其中安卓手机占比最高占到93.1%。杨正军说安卓操作系统碎片化的问题确实依然存在,漏洞问题居高不下。中国信息通信研究院移动安全联盟挑选了600款的移动终端进行了测试,覆盖的漏洞超过了350个,平均每款终端存在的漏洞是21个,漏洞最多的终端有185个,终端漏洞中位数是4个,每个漏洞平均的修复续期是277天,“从整个行业来看漏洞情况比较严峻。”
“黑产”演进速度加快
杨正军表示移动应用存在的问题比较多,“现在诟病多的就是权限的滥用、控制,和泛安全的出现,比如捆绑的推广、不好卸载、关联启动、非法广告等等。”
OPPO互联网安全总监、资深安全专家韩方在会上表示,OPPO的互联网业务现在在全球有超过3亿的日活用户,软件商店、游戏中心、浏览器大概有20款以上的app。由于这样的业务复杂度和基础设施、基础的边界会比较广,导致我们整个互联网业务的攻击面和基础设施的攻击面都会比较大。“目前安全团队处理的日均请求量在100亿以上,每天拦截的恶意的请求超过1亿。”
韩方说,公司很多业务面临一些“黑产”或者是黑客的对抗,因此OPPO选择用人工智能和大数据进行武装。韩方解释,在网络安全对抗方面,可以用AI的技术或者是大数据把原来准确率不高的地方有所提升。让整个防御能够实现立体化,原来每个防御设备、每个防御的点其实都是单点,现在你可以通过安全中台或者大脑技术,把各个防御点形成一个体系化的建设。对于攻击模式的分析,因为数据量足够大,AI数据得到发展,算力得到提升,可以分析更多模型。
不过韩方也强调,“黑产”或者黑客演进的速度也很快,“黑产公司也在招算法工程师,也在招数据挖掘工程师,因为传统的对抗手段可能已经跟不上了,防守在提升的时候,攻击方也在不断演进,也有很多手机黑卡墙在演进。”如账号的一些钻库攻击、暴力注册的攻击,游戏底包、软件商店的防刷,还有一些欺诈、盗号在整个OPPO业务领域里面都存在的。
智能电视也成攻击对象
除了智能手机,智能电视也是被攻击的“重灾区”。来自上海交通大学的杨文博和陈天成分别解释,由于主流的智能电视使用的操作系统就是基于安卓改造的,因此同样存在碎片严重的问题,也会存在很多安全隐患。
陈天成说,智能电视不仅有投屏功能,还有信息交换的过程。那么攻击者如果成功侵入就可以获取电视屏幕现在显示些什么,此外还可以不断地录幕把你的密码记录下来,“如果你有一些隐私的照片在电视上同样可以获取,如果没有进行加密的数据,攻击者可以篡改这些数据以达到一些不可告人的秘密。”
陈天成举例,如果用户想用app控制电视,需要使用蓝牙和红外点确认完成验证。但是这个验证信息只有电视的名称,“这个字符的数据,攻击者完全可以修改的,然后就可以达到欺骗用户,完成攻击的目的。攻击者可以不停地发起,就算用户点 ‘拒绝’,攻击者可以换一个wifi的地址重新调用这个攻击,完成这个攻击的过程。那么从本地还是远程都可以发起对电视的控制。”
杨正军表示:下个月新版本安卓Q就要正式发布了,该系统不允许第三方的app非系统权限的应用直接读取不可变更的设备识别码,不过“它也可能给安全研究者带来一些新的问题。”而国内目前也有很多安全队伍,未来研究和供给的方向是一些新型的终端,比如机器人、车载终端、智能手表、智能POS、家居终端等等。其还称OPPO和信科院和移动安全联盟共同推进了OPPO ID体系,在解决移动端隐私保护的同时,最大程度地保障了行业的健康发展,“我们也在考虑把相关的能力、模块开放出来,组织可控的攻防演练,共同推进反欺诈的机制。”
文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
