面对移动安全风险,需要“AI对抗AI”
——从微软披露“Dirty Stream”漏洞事件说开去(二)
近日,微软发布报告称,“Dirty Stream”安全漏洞正悄然威胁数十亿的安卓应用用户。近年来,类似事件屡见不鲜,移动安全也成了老生常谈却又不得不谈的话题。当前,移动安全漏洞呈现怎样特征?面对各类漏洞攻击如何守护用户安全?
攻击面不断翻新,应对策略需要持续调整
从微软报告可以看出,“Dirty Stream”漏洞的核心在于恶意应用可以操纵和滥用安卓的内容提供程序系统。对此,瑞星副总裁唐威认为,“Dirty Stream”漏洞的出现,暴露了移动设备操作系统和应用软件中存在的安全漏洞。这些漏洞可能导致攻击者获得设备的控制权,或窃取设备上的敏感信息。
在电子科技大学教授、网络安全系主任杨浩淼看来,近些年,移动端攻击重点和背后的安全问题主要有五个方面:数据泄露和隐私侵犯、恶意软件和病毒、应用程序漏洞、对设备的物理访问和盗窃、网络钓鱼和社会工程学。
其实,不止是智能手机设备。卡巴斯基研究人员预测,APT(高级可持续性威胁)攻击者将在移动设备、可穿戴设备和智能设备上引入新的漏洞利用程序,并利用它们组成僵尸网络,改进供应链攻击方法。此外,随着智能家居设备的普及,这些设备也成为了潜在攻击目标。
卡巴斯基大中华区总经理郑启良认为,应采取多层次的防御策略,包括应用程序控制、设备控制和网页控制功能,以精细化控制哪些应用程序能在系统上运行、哪些IT资源可访问,以及如何允许员工使用可移动设备和互联网。
唐威也建议,要利用机器学习、自然语言处理等技术,从而更有效地发现和阻止攻击;构建零信任安全架构,从而有效降低攻击者,利用已攻破的设备或账户进行进一步攻击。
“应更加关注由新的攻击面而导致的新漏洞。”北京长亭科技移动安全负责人张一峰表示,应用的开发语言、组件、架构等都在不断迭代,都会产生新的攻击面。一个漏洞或者一种漏洞利用机制,看似在一个场景中威胁不足,但换到一个新的场景,可能会衍生出新的安全问题,以及新的漏洞利用机制。“移动安全的攻击面是一个不断变化和衍生的过程,需要加强研究,从而准确、全面地发现移动安全威胁所在”。
因“漏”施策,“以AI对抗AI”
伴随AI等新技术的不断发展,移动端漏洞主要呈现攻击手段更加智能化、攻击目标更加多元化、攻击方式更加隐蔽化等趋势。郑启良举例说,AI工具正在简化鱼叉式网络钓鱼邮件的制作,甚至可以冒充特定的个人;攻击者还可以通过收集在线数据并将其提供给LLM(大型语言模型)来设计创造性的自动化方法,以模仿与受害者有关联的人的风格来制作信件。
随着GPT大模型等人工智能技术的应用,网络攻击的门槛也越来越低,甚至开始出现对漏洞的自动化利用。面对AI驱动的安全威胁,业内逐渐形成运用AI赋能的安全防护方式。
“AI技术在移动端安全中主要应用于威胁检测和行为分析,通过自动化识别和响应异常活动,大大提升了防护效率。”杨浩淼认为,在智能威胁检测方面,通过AI模型分析大量数据,有效识别异常行为和潜在安全威胁;AI技术特别适合于检测未知威胁和0day攻击,AI模型能够持续学习、适应新的威胁模式;AI技术也被用于内容安全管理,比如,文本、图片、视频内容的自动审查,通过识别和过滤不当内容,保护用户免受有害信息的影响。
郑启良也认为,AI技术可以通过建立基于机器学习的模型,学习并识别网络中的异常流量和恶意行为。这种技术可以实时监测网络流量和用户行为,发现潜在的安全威胁。通过自动化流程和智能决策系统,AI可以迅速响应网络安全事件,缩短响应时间,并减少人为因素带来的错误。
国家信息中心研究员李新友还提到,利用AI技术进行生物特征识别,为移动设备和应用提供更加安全可靠的身份认证方式;利用AI技术自动扫描移动设备和应用,识别潜在的安全漏洞和缺陷,并提供修复建议。
需要多方发力,也要做好重点防范
截至2023年12月,我国手机网民规模达10.91亿人,使用手机上网的网民比例达到了99.9%。移动设备等必需品如何变得更安全?张一峰认为,针对特定人群,尤其是“高价值”人群,移动端漏洞可能成为攻击的主要武器。经常被用来对“高价值”目标进行高级持续性威胁(APT)攻击,以获取较大的经济或其他方面利益,对此要高度重视、重点防范。
唐威建议,用户应及时安装移动设备厂商发布的安全补丁,以修复已知的安全漏洞;从官方应用商店下载应用软件,并谨慎授权应用软件访问敏感信息;提高安全意识,了解常见的安全威胁和攻击手段,并采取必要的防护措施。
除了用户应提高对风险的关注了解外,行业从业者要对AI功能模块的安全性加大研究投入,提前发现安全问题,避免造成各种安全事件。
“移动端安全漏洞是移动应用所集成的AI功能模块可能带来新的威胁面。比如,如果移动应用嵌入的AI框架存在安全漏洞,可能导致攻击者利用漏洞破坏移动应用的安全性。”奇安盘古安全专家谢斯建议,可以考虑在技术发展和行业研究层面引入AI、大数据等技术,进行辅助自动化的漏洞检测以及推动网络诈骗治理等。
杨浩淼也表示,在技术发展层面,企业和研究机构正在不断探索更安全的移动支付解决方案。同时,通过探索个人数据的分类分级和脱敏技术,来保障个人隐私安全;也在进行跨平台安全系统的研发,以确保用户在不同设备和系统间的数据安全。,loudong
近年来,我国在移动安全方面出台了多项监管和治理举措,以加强网络安全和个人信息保护。李新友介绍,主要有《个人信息保护法》《移动互联网应用程序信息服务管理规定》等政策法规。同时,我国不断加强移动支付安全监管、网络安全铜墙铁壁的构建。“这些政策和措施体现了政府部门在提升移动安全、保护个人信息以及推动数字经济健康发展方面的决心。”(记者 李政葳 李飞 孔繁鑫)