移动安全风险频出,祸根究竟在哪?
——从微软披露“Dirty Stream”漏洞事件说开去(一)
日前,微软发布报告披露“Dirty Stream”安全漏洞一事,宛如“一石激起千层浪”,引发人们对移动端安全的聚焦思考。报告显示,该漏洞可能涉及多款、有着数十亿下载量的Android(安卓)应用,利用漏洞攻击者可以悄然控制应用,并未经授权访问敏感用户数据;此类漏洞并非个例,不少流行的安卓应用程序也存在各类安全漏洞。
无独有偶,今年年初,iPhone(苹果)也曝出“史上最复杂攻击”。当前,在AI(人工智能)、大数据等技术的快速发展下,各类移动端安全漏洞正在不断变换花样,并滋生新威胁、新风险。
移动端存在哪些“软肋”?
如果回溯iPhone(苹果)的这次“史上最复杂攻击”,便不得不提网络安全公司卡巴斯基。这家厂商发布报告称,发现了一个复杂、高级的苹果手机“iMessage信息”漏洞,这个名为“Operation Triangulation”的漏洞,可以植入恶意程序,收集麦克风录音、照片、地理位置等数据。
据了解,该漏洞活跃期于2019年至2022年,在此期间仅需发送一段恶意“iMessage信息”,无需用户点击,黑客就能通过硬件级别的“后门”,直接获得苹果手机最高权限,从而开展后续恶意操作。虽然重启手机就能关闭漏洞,但重新入侵也较为容易。
从本次微软披露的报告看,文中除了详细介绍了“Dirty Stream”漏洞的技术细节外,也给出具体建议。比如,尽快更新Android设备,只安装来自可信来源的应用,注意授予应用权限,使用移动安全应用来扫描设备是否存在恶意软件等。
移动端设备安全“薄弱环节”在哪?电子科技大学教授、网络安全系主任杨浩淼介绍,智能手机等移动设备普遍存在的安全漏洞,主要包括恶意软件侵入、数据泄露、系统自身安全缺陷、软件编程错误或更新不及时等。攻击者利用这些漏洞可以窃取用户的个人信息、银行账户数据,甚至远程控制受害者的设备。
“随着人们对智能手机等移动设备的依赖,移动设备中通常存储着大量的个人信息和敏感数据,一旦设备被盗或丢失,这些数据就可能面临泄露的风险。”卡巴斯基大中华区总经理郑启良这样说。
360发布的《2023年度中国手机安全状况报告》显示,2023年出现的、迭代的新型简易组网GOIP、1人1包、无感盗刷远控等技术,已凸显了现阶段黑产行业的整体变革,从早期使用引导话术“麻痹”用户,到现在全方位技术“升级”,甚至可以对安全行业的反诈手段做定向绕过。比如,在推广引流方面,新型简易组网GOIP利用高频电话风控“漏洞”,绕过呼叫频率、离散度风控模型。
从360的另一份《2023年全球高级持续性威胁研究报告》可以发现,在2023年披露的APT(高级持续性威胁)攻击所利用的0day漏洞分布中,漏洞往往集中于影响面广的浏览器软件和操作系统。其中,针对移动端系统的0day漏洞利用数量增长明显。
AI带来的安全问题,交由AI来解决
中国互联网络信息中心(CNNIC)最新统计显示,截至2023年12月,我国手机网民规模达10.91亿人,使用手机上网的网民比例达99.9%。另一方面,从根据中消协发布的调查结果来看,2023年,个人信息泄露问题仍然困扰着消费者,排在各类问题的首位(37.3%)。
“移动端安全漏洞的攻击重点,主要涉及五个方面——数据泄露和隐私侵犯、恶意软件和病毒、应用程序漏洞、对设备的物理访问和盗窃、网络钓鱼和社会工程学。”谈及移动端安全问题现状,杨浩淼这样总结。
北京长亭科技移动安全负责人张一峰介绍,移动端的系统和应用在近十几年才蓬勃发展起来。它吸收了很多PC端的经验教训,在安全性的考虑上较为完善。与PC端的安全漏洞相比,移动端的安全漏洞发现和挖掘难度较大,利用起来也更为困难。
张一峰还进一步阐释认为,移动端的操作系统碎片化严重,除非发现安卓或苹果系统的底层通用漏洞,否则即便发现了移动端安全漏洞,影响范围相对有限,且攻击者也存在“投入产出比”的考量;同时,移动端的系统和应用版本迭代更加快速和便捷,出现安全问题后的修复相应地更为迅速。
“新技术催生了更智能化的攻击手段。”杨浩淼提到,借助AI,攻击者可以生成批量的钓鱼邮件、逼真的语音和图像,或进行自动化的网络攻击。此外,及时识别新型应用中的未知漏洞也是一大挑战,特别是在防范0day攻击方面。
“网络攻击的门槛越来越低,甚至开始出现对漏洞的自动化利用。”张一峰提到,新技术是矛与盾的两面体,也正在成为移动安全防护的关键工具。当前,国内众多网络安全厂商推出了安全大模型,辅助进行安全风险的分析和处置,且AI等新技术也开始被用于辅助漏洞挖掘和修复。
“以AI对抗AI,或者说是‘以魔法打败魔法’,已经成为移动安全技术发展的必然趋势。这也体现了在新技术发展背景下,攻防双方都在进行迅速的技术进化。”杨浩淼说。
“日用而不觉”的风险以信息安全为主
对于风险隐患,为何“日用而不觉”?在人们日常使用移动设备时,往往不会深入了解操作系统的底层逻辑和应用程序的代码实现,一些安全隐患往往不易被用户所察觉。
对此,国家信息中心研究员李新友这样归纳——一是应用权限滥用:许多应用在安装时会请求各种权限,比如,访问位置信息、通讯录、麦克风、摄像头等,如果用户不仔细阅读权限申请,可能会授予应用过多的权限,从而导致隐私泄露或安全风险;二是钓鱼攻击:这是攻击者常用的一种欺诈手段,可以伪造网站或应用界面,诱骗用户输入个人信息或点击恶意链接,钓鱼攻击通常通过电子邮件、短信或社交媒体进行;三是社会工程攻击:攻击者利用心理操纵欺骗用户泄露信息或执行操作的一种攻击手段,可能会假扮成客服人员、朋友、家人,诱骗用户泄露密码或安装恶意软件;四是供应链攻击:主要指攻击者攻击软件供应链,将恶意代码植入到合法的软件或应用中,当用户安装或使用这些软件或应用时就会受到攻击;五是0day攻击:很多时候在软件厂商发现和修复漏洞之前,攻击者就已经利用该漏洞发起攻击,这类攻击非常危险,且很难被防御。
“当前移动设备对大众带来的安全问题,主要以信息安全问题为主。”张一峰认为,类似“Dirty Stream”安全漏洞,以及其他从非官方渠道或不安全来源下载应用,由于缺乏官方应用市场审查,往往带有非法信息收集甚至恶意软件问题,容易成为电信网络诈骗的源头。
杨浩淼也强调,信息安全方面的隐患,总体上包括App后台过度收集个人信息、系统未及时更新导致的安全漏洞,以及通过公共Wi-Fi网络进行的不安全数据传输等。这些隐患都可能导致用户个人信息被不法分子窃取利用。
“一些移动设备还可能存在物理安全隐患。比如,被盗或丢失后的数据泄露问题。虽然许多设备配备了远程锁定和擦除功能,但如果用户没有及时启用这些功能,设备中的数据也可能被他人获取。”郑启良建议,仔细阅读应用程序的权限请求,并谨慎授权;使用强密码和多重身份验证来保护账户和数据的安全性;使用专业的安全软件来保护设备免受恶意软件和病毒的攻击;启用远程锁定和擦除功能,以便在设备丢失或被盗后保护数据。此外,用户需定期检查App权限,保持操作系统和应用程序的及时更新;在使用公共Wi-Fi时,应采用加密措施来保护数据安全。(记者 李政葳 孔繁鑫 李飞)
