在移動互聯網逐漸成爲主流的現在, 5G的到來更是加速了萬物之間的互聯速度。而移動端作爲全球網絡的最大載體,目前仍然存在一些安全隱患。在9月21日舉辦的【OPPO大移動安全高峯論壇】上,中國信息通信研究院移動安全聯盟祕書長楊正軍先生,就提到了關於網絡安全的幾個隱患。
首先是 Android 的漏洞問題依然居高不下,據不完全測試顯示,平均每款終端存在的漏洞是21個,漏洞最多的終端有185個,終端漏洞中位數是4個,每個漏洞平均的修復續期是277天,這也佐證了整個移動行業的漏洞現狀的確比較嚴峻;其次,移動應用依然存在較多安全隱私問題,比如大家熱議的 Android 上權限的濫用、控制、捆綁推廣、關聯啓動、非法廣告等等;最後是數據安全問題,在個人隱私愈發被重視的現在,世界各國都在陸續推出有關非法數據交易的相關法律法規,因此,在移動互聯網領域,企業也在面臨着各國數據安全隱私保護風險的合規壓力。
這也是爲什麼OPPO要舉辦【OPPO 網絡安全挑戰賽】以及【OPPO大移動安全高峯論壇】的原因。從行業角度看,在萬物互聯的現在,各領域的數據都在網絡上,安全問題頻發不斷,全球所面臨的網絡安全問題的確十分嚴峻;
從人才角度來看,即便安全領域越來越受到重視,最近幾年網絡安全從業者的數量也在增加,但是對於安全領域內的需求來說,人才數量依然有較大缺口。並且絕大部分的高校學生,他們缺乏“直面網絡安全問題”的實踐機會,完全沒有網絡安全的攻防經驗,更是沒有國內目前已經成體系化的安全運營經驗。
因此,OPPO網絡安全挑戰賽以及高峯論壇的舉辦,對於業內安全領域來說,爲大家搭建了交流成長平臺。在此次舉辦的【OPPO大移動安全高峯論壇】上,OPPO互聯網安全總監韓方、騰訊雲安全負責人董志強、上海交大新生代網絡安全人才代表楊文博和陳天成、阿里巴巴高級安全專家張迅迪、OPPO終端資深安全專家陳武都對當前的安全形勢,發表了自己的觀點與實踐,爲未來網絡信息安全的發展拋磚引玉。
移動端手機廠商當前所面臨的安全風險
OPPO互聯網安全總監韓方,現場解讀了當前移動手機廠商所面臨的安全風險,他總結道,OPPO智能手機覆蓋了全球40個國家和地區,ColorOS月活用戶超過3億,因此所有互聯網企業所面臨的攻擊風險在OPPO互聯網業務裏都會涉及。另外,國內移動手機廠商的互聯網業務模式發展迅猛,而OPPO就是最有代表性的手機廠商, 縱觀國內手機領域的互聯網業務面臨的安全問題:
- 手機廠商的互聯網業務,同樣會面臨諸如賬號撞庫攻擊、暴力註冊,遊戲禮包和軟件商店盜刷、欺詐、盜號等安全隱患。
- 漏洞預警,互聯網業務使用了大量 Nginx 等開源技術,優勢是這些技術非常先進且性能優越,能夠爲支撐業務的快速發展與變更提供了很好的服務。但不足是,如果第三方文件庫或開源軟件出現安全方面問題,就會對整個體系造成連鎖影響。
- 網絡攻擊,諸如 DDOS 攻擊、CC攻擊等常見網絡攻擊手段。 可以導致手機服務中斷,從而影響用戶的使用場景。
- 數據安全,2018年5月,歐洲正式執行了GDPR,進一步表明了歐洲對於數據安全以及個人數據安全的重視,全球都在越來越重視用戶隱私和數據按去哪,作爲手機廠商,一如既往在用戶隱私和數據安全方面持續完善和投入,加解密、祕鑰分發、認證授權、隱私保護等領域, 持續提升用戶數據安全性; APP安全,這是整個移動互聯網領域的安全問題,手機廠商基本都擁有自己的APP,因此就需要具備 APP反調試、反暴力破解等安全舉措。
- 入侵防禦,大量的服務器、網絡設備、以及服務器上運行的開源軟件,都需要在整個基礎設施的環境上做到跟黑產進行對抗,包括入侵的主動檢測、實時防禦等,保障整個基礎設施環境的安全性。
以上提到的網絡安全問題,一直是困擾着行業發展的關鍵,也切身影響着消費者的利益。而這麼多年來,OPPO在互聯網安全對抗中也有了不少經驗和成果,韓方在現場也給大家分享了不少乾貨。其中,OPPO的安全中臺是一大亮點,它通過大數據安全集羣把每個安全防禦的系統聯動起來,成功形成一個立體化防禦體系,全面對抗攻擊,整體確保體系安全性。
騰訊情報驅動的安全運營體系
在網絡安全方面騰訊雲平臺安全負責人董志強將其中關鍵點歸納爲“情報”二字,並在會議上分享了騰訊針對雲平臺安全所做的一系列舉措,可歸納爲以下幾點:
- 將雲平臺的相關核心組件關聯起來;
- 對漏洞進行監測,直至監測到漏洞的發佈源和傳播源;
- 由人工參與進行研判是否需要預警或深入分析,根據研判的結果再來決定是要預警還是繼續深入分析;
- 利用POC進行內部驗證,最後再回到應急響應這個步驟來。
目前,騰訊雲監測的核心組件已經監測到100多個雲平臺可用情報,所有的組件都是基於過去一兩年內應急響應機制所梳理出來的容易出現漏洞的地方。
那麼要想收集情報,數據就是重中之重了。獲取網絡上的數據信息有很多種方式,其中爬蟲是最高效、且最重要的形式之一。當然並非所有的信息都能被爬到,有很多網站都設置了防爬蟲的措施。因此考慮到對抗,收集數據所用的爬蟲要具備很強的反爬能力。而在爬取到相應的數據後,再通過相應的規則過濾掉無用情報,纔是對於平臺安全來說相當有價值的情報。
另外,其實當前人工智能的落地非常廣泛,很多領域已經實現了自動化。但在安全領域,董志強認爲漏洞的處理一定要有人工的介入,人工處理纔是整個情報系統中的最重要的一步,只有經過人工干預後,才能最終判斷這個情報是否有深度分析的必要。
智能家居領域的網絡安全隱患
隨着互聯網的持續深化,我們身邊的智能家居也越來越普遍,智能電視的網絡安全問題也越來越重要。上海交通大學密碼與計算機安全實驗室蜚語軟件安全小組的楊文博和陳天成,就以智能電視認證爲例,給大家講解了智能家居領域到底存在有哪些網絡安全隱患。
首先,在使用智能電視的過程中,我們都需要經歷廠商所設定的三種認證模型:
- wifi認證:wifi密碼是唯一的認證防護措施。
- 電視端發起認證:由於網絡環境內設備複雜,需要電視對控制端發起認證。
- App端發起控制:App對電視發起控制時,會觸發控制協議,這個控制協議中會隱含很多高權限的功能。
針對這三重認證,就會衍生出以下網絡安全問題:
在第一重認證中,一些廠商會使用紅外線遙控的方式讓用戶輸入wifi的密碼智能電視支持紅外操控,但廠商的紅外信號編碼很多都是公開可獲取到的,因此就可以利用這點來構造攻擊信號;此外藍牙連接輸入wifi密碼的方式也有可能誤連接到攻擊者的設備,之後轉發遙控器流量到電視上,從而獲取到藍牙上的密碼輸入,並且有的藍牙協議版本過低,被攻擊者嗅探到後,就可以破解出藍牙所輸入的數據。
第二重認證比較複雜,分爲四類:
- 默認信任所有網絡環境下的設備:就不過多贅述,所有設備都能直接連接;
- 驗證碼:這種形式的安全度較高,攻擊者在局域網中也可以同樣通過攻擊的方式拿到返回的認證憑證並與設備綁定的目的;
- 遙控器確認:需要用戶通過藍牙或紅外來點擊確認完成驗證,但是攻擊者可以通過修改電視名稱這個字符來達到欺騙用戶的目的;
- 透明認證:用戶不會感知到認證過程,同樣也不會感知到攻擊者通過逆向得到用戶名密碼僞造認證的過程,基於Token的無用戶認證交互方式,但是攻擊者只要在電視藍牙範圍內就可以拿到藍牙廣播的Token並完成設備的綁定。
第三重認證中,有以下3種安全問題導致APP與電視之間的連接受到攻擊,攻擊者甚至可以直接獲取到包括電視、攝像頭畫面等信息:
- 首先,在信息數據交互的過程中,由於沒有加密,攻擊者通過App的漏洞截取屏幕當前所顯示的內容。
- 即便部分協議得到加密,但也存在不安全的可能,比如一些設備的加密協議所使用的密鑰生成函數儘管很複雜,但是生成的key是固定的,相當於攻擊者拿到key後就可以對電視進行操作。
- 智能電視的App裏往往會集成多個功能,卻無法保證其中隱藏的API,攻擊者會利用這些電視助手分析,然後可以得到隱藏的API,並且其協議會允許用戶通過遠程的方式將協議發送到電視上,攻擊者就可以輕鬆的遠程發起攻擊。
阿里巴巴基於DSMM的數據安全治理實踐
沒有規矩,不成方圓。安全領域同樣如此,尤其在數據安全側,更需要一套完善的數據安全模型來思考如何提升企業的數據安全和隱私保護能力。阿里巴巴高級安全專家,國內第一代黑客,知名安全組織安全焦點的創始人張迅迪,在現場闡述了由阿里主導的DSMM的數據安全治理實踐。
阿里本身就是一個非常複雜的數據平臺,除了企業自身,平臺之上有商家、ISV(軟件供應商)以及大量的物流生態。在這樣一個複雜環境裏,如何保護用戶隱私、保障數據安全、如何使整個生態鏈更安全,共同提升安全水平?是作爲平臺必須思考的問題。
DSMM標準用來衡量一個組織的數據安全能力成熟度水平,可以幫助行業、企業和組織發現數據安全能力短板,監管也可以用於數據安全管理,根據數據安全能力水平高低決定企業擁有數據的類型和範圍,最終提升全社會的數據安全水平和行業競爭力。DSMM劃分成了1-5個等級,依次爲非正式執行級、計劃跟蹤級、充分定義級、量化控制級、持續優化級,形成一個三維立體模型,全方面對數據安全進行能力建設。
其實數據安全是一個綜合性的課題,沒有一家廠商能夠覆蓋所有的數據安全問題。數據安全的複雜性,需要企業在做數據安全治理和隱私保護過程中,從制度流程、組織架構、人員能力等方面入手,然後再與各個業務部門間梳理相應的數據安全、隱私保護、合規規範,才能結合技術產品把整個數據安全治理做得更好。
AI在惡意app檢測中的應用
隨着人工智能的發展越來越深入,人工智能技術的落地範圍也越來越廣泛。接下來的演講中,OPPO終端資深安全專家陳武,將傳統的惡意應用檢測方法和基於機器學習的檢測方法進行對比分析,他表示,在未來希望可以利用AI技術實現更加智能化的病毒對抗。
而通過機器學習的形式來進行病毒檢測,較常用的有下面四類:
- 基於Davlik指令的N—Gram序列檢測方法
- 基於主題詞和數據流的檢測方法
- 基於權限與應用類別的檢測方法
- 基於API調用序列的檢測方法
最常用的是第三類和第四類。其中,第三類是基於權限與應用類別的檢測方法,說清楚一點,就是如果一款應用悄悄申請了手機裏讀取通訊錄、發送短信等權限,通過這款的App應用類型和申請權限就可以做出相關語境的語義分析,並進行初步判斷;第四類是基於API調用序列的檢測方法,這種方法來源於代碼審計過程中的污點分析,通過將病毒惡意的行爲外化並總結爲API的調用序列,再進行相應的判定。
此外,陳武提到,他曾提出過一個惡意apk檢測框架,主要是通過預處理來進行反編譯的過程,最終獲取調用API的序列及執行操作碼,最終進行特徵提取並向量化,從而得到特徵向量。
還值得一提的是,傳統的殺毒引擎面對快速編譯和層出不窮的未知病毒有先天的缺陷,這個缺陷就是慢。
在傳統的流程下,需要病毒分析師將病毒特徵入庫,這一過程非常冗長;很有可能舊有的病毒還沒有來得及入庫,進化後的病毒又已經出現了;同樣,大量惡意代碼也存在這樣的問題,傳統的惡意應用檢測效率無法支撐現有的預防病毒環境。
那麼如何處理呢?通過在關鍵事件下埋點,埋在該事件整個生命週期下的行爲序列,通過對本地行爲序列進行分析,來得到相應的行爲列表。這種端雲一體化的病毒查殺方式,能夠實時對應用進行檢測,極大提升了效率。
OPPO 打出一套“安全體系”組合拳
通過此次OPPO大移動安全高峯論壇,我們可以看到,安全問題的確不容忽視,而互聯網時代不僅要讓業務“活下來”,還要讓業務“活得更安全”。隨着互聯網化的不斷深入,未來只會有越來越多的終端、數據和用戶接入到網絡中來,網絡安全所面臨的壓力也會只增不減。
而作爲互聯網安全領域的代表性廠商,OPPO一直以來都對安全保持極高的關注,一方面通過不斷規範終端上的各種應用、軟件的行爲,另一方面要求終端提倡安全防護能力,加強對於第三方的安全數據的管控,維護用戶權益。
成立 OPPO 安全應急響應中心、作爲核心成員發起成立了移動安全聯盟、加入國際安全組織 CVE、OPPO Reno 2 成爲首個通過移動終端安全能力和智能測試的智能手機、與信科院和移動安全聯盟共同推進了OPENID體系……OPPO通過各種舉措, 在解決移動端隱私保護的同時,最大程度地保障了行業的健康發展。
此次OPPO舉辦的網絡安全挑戰賽及大移動安全高峯論壇,爲國內相較於冷門“安全領域”注入了新的活力,更是爲國內安全領域的發展拋磚引玉。相信通過此次論壇,會讓更多的人明白,仍然有很多企業在爲國內大安全領域的生態繁榮做出自己的貢獻。