9月29日,亚太信息安全领域最权威的年度峰会——2015中国互联网安全大会(ISC2015)在北京国家会议中心召开。在下午的智能移动终端攻防论坛上,来自CORE Team、盘古团队、安天实验室、上海交大、乌云实验室、通付盾移动以及360的各位安全专家分别揭秘了移动端的安全暗战。
图1:移动安全分论坛受关注
安卓多媒体库急需“止血”
安卓平台的安全问题一直让用户为之感到苦恼,安卓多媒体库也总是血流不止,陷入不断的有漏洞曝出、不断的补漏循环。
7月份“stagefright框架漏洞影响95%的安卓用户”的消息更让网友们为之震惊。来自CORE Team的两位专家,吴家志和吴磊在ISC2015的智能移动终端攻防分论坛上就深度解析和分析了此漏洞,一个彩信就能“黑”掉一部手机,并采用“蠕虫攻击”模式通过用户通讯录继续蔓延。吴家志提到,stagefright漏洞影响十分广泛主要由于其权限级别高。
目前,CORE Team的两位专家还在不断研究此漏洞。他们提到,通过研究stagefright框架漏洞,CORE Team还发现了安卓多媒体库中的其他漏洞,其中3个已被谷歌认定为高危漏洞。然而,直至今日stagefright漏洞还未完全被修复,想要为安卓多媒体库“止血”需要在不断发现、修复漏洞中完善,相信日后安卓平台代码审核机制也会更为严格。
一根数据线也能攻破安卓
图2:ISC2015移动安全论坛专家齐聚
在智能移动终端攻防论坛上,各位嘉宾除了带来技术讲解外,现场实验更让气氛活跃。为了让大家意识到移动安全问题就在身边,360高级安全研究员周亚金事先准备了一个存在危险的二维码,观众在扫二维码后相关信息即被获取并显示在了屏幕上。
其实不仅一个二维码,网址链接、数据线都可能造成安全问题。360高级安全研究员周亚金首先解析了如何利用一条数据线攻破安卓系统,达到控制用户手机、窃取隐私的目的,周亚金表示这一切的始作俑者就是能影响所有安卓系统版本、被谷歌认定为高危漏洞的JDWPExposed。
iOS从来都不是绝对安全
29日下午的智能移动终端攻防论坛上,盘古团队首席科学家王铁磊的演讲以“XcodeGhost事件”作为开场,一一解析了影响上亿iOS用户的XcodeGhost带来的危险。王铁磊表示,非官方的XcodeGhost在编译生成APP的同时植入额外代码,新增代码可收集和上传用户部分隐私数据,也具备伪造弹窗、分发广告等。
XcodeGhost事件后,苹果的安全神话不再。王铁磊表示,iOS从来都不是绝对安全的,从“0防护”到安全措施在逐步完善,其中安全威胁一直存在,iOS8.2、iOS8.3等都存在未被保护的区域。
移动端安全防护不容忽视
ISC2015移动安全分论坛上,上海交通大学博士生导师束骏亮也带来了他的研究成果。众所周知,在PC端,磁盘数据安全已经是很经典的“战场”了,而在移动平台上,存储敏感数据成为如今趋势。束骏亮提到,目前个人手机磁盘的攻击价值已经远超个人电脑。90%的安卓设备磁盘数据都面临泄露风险,这就关系到个人隐私、财产安全问题。
图3:移动安全分论坛现场 专家演讲
对此,束骏亮提到,为避免风险,安卓用户需尽可能将设备升级至最新版本,在丢弃旧手机前确保使用正确的recovery进行恢复出厂设置,擦除磁盘数据。而作为设备制造商或ROM开发商,束骏亮呼吁引入加密芯片来支持上层全磁盘加密,或提供安全擦除接口的磁盘芯片。对于用户的基本安全,厂商需要提升底线和门槛。
除了漏洞,我们了解到,病毒也是移动端的顽疾。安天移动安全公司总经理潘宣辰在移动安全分论坛上带来了“移动反病毒工程化体系中的降维思维”主题演讲。
安天移动安全公司主要在反病毒引擎工程、自动化技术和病毒防御方面做出努力。潘宣辰提到,在整个对抗能力体系建设时,他的团队将恶意代码分为三块:传播类相关的(通过离线分发进入用户手机或是以传播手段进入而后长期潜伏,如家黄色软件)、攻击目的高度相关的(此类恶意代码攻击手段呈现出多样性的特点,代码结构差异化也非常之大)、价值和目标高度相关的(如通过伪基站短信完成套现、窃取信息等类型的恶意代码)。经过多年研究,安天移动安全公司形成工程体化的体系来进行反病毒工作,分别从以上三点出发投入技术资源及战略布局,提升对恶意代码的对抗能力。
29日下午的智能移动终端攻防论坛的最后,乌云实验室高级高级研究员王晖及来自通付盾移动安全的研究员宋超,分别发表了题为“OAuth协议安全分析——以Android平台为例”和“移动互联网时代的源码审计和保护技术(Android篇)”的演讲,我们认识到,移动互联网发展至今日,移动端的安全防护措施还未赶上移动互联网发展的脚步。
不过谈及移动互联网的“存在”问题,诚如宋超所言:“如果没有移动互联网,我们就没有与传统安全强国分庭抗礼的机会。”移动互联网纵然存在不可忽视的安全问题,但也给世界带来更多机会。
2015中国互联网安全大会作为亚太地区信息安全领域规模最大的年度安全会议,聚焦国家网络空间安全、信息安全产业发展、物联网安全、移动安全、数据安全、新兴威胁、软件安全等热门话题。相信随着全球顶级安全团队、安全专家、研究学者和安全厂商的不断努力,网络安全问题最终会趋于完善。