高晓松老师说:“人生不是故事是变乱”。人们习惯把安适“外包”给专业机构,只有当祸事袭来才会痛定思痛,这大概是人性的最大bug,因此安适从来不能一劳永逸。如今,全国有12亿人像我们一样,每天与手机为伴。越来越多的安适隐患是从“手机”这个最单薄环节攻入的,很多网络犯罪分子也已纷纷“转型”线上了。
在第5届中国互联网安适大会(ISC2017)上,360掌门人周鸿祎关于“大安适”的演讲刷新了人们对网络安适认知高度,好比万物皆可编程,只有软件是由人编写就必然存在漏洞,就有被攻破的可能性;在未来网络战,系统漏洞是最名贵的战略资源;网络安适标的目的将是军民合作等“大安适”新不雅观念不胜枚举。鉴于移动安适重要性及复杂形势,由360公司组织了ISC2017“移动终端安适论坛”,邀请工信部旗下安适实验室、中国移动、华为、蚂蚁金服、360等活跃在安适产业第一线重要角色参加。
笔者作为媒体代表有幸受邀不雅观摩学习,感慨作为一名安适小白享受着移动互联网带来便捷和繁荣,很少设想网络底层“地基”是否安稳?忧虑过是否有不速之客闯入手机“愉逸窝”的可能?如果被攻破还没有察觉,就像被人骗了还在给人数钱一样昏聩,那么,我们的手机未来会真的更安适吗?
一、手机系统漏洞发作,智能手机产业链让安适形势更严峻
主流的智能手机操作系统要么是iOS,要么是Android,国产手机几乎全部基于安卓的开源系统,安卓机市场占据智能手机份额的70%以上。据CVE Details年初的陈诉,去年安卓软件的漏洞高达523处,高居所有软件漏洞之首;此前360互联网安适中心就出具陈诉显示,超9成安卓机处于系统高危状态。
好在安卓系统更新非常勤快,升级新版块一般会把以往公布的漏洞进行修补,那漏洞应该会越来越少才对。让人沮丧的是,在ISC移动安适终端论坛上,360 Alpha小组安适研究员杨文林公布了一组数字,2015年谷歌官方公布了64个漏洞,2016年则公布了498个,2017年上半年谷歌官方已披露了1000个,其安适漏洞数量不降反增,预计2018年系统漏洞还将数以千计发作。
在ISC2017移动终端安适论坛上,中国信息通信研究院泰尔终端实验室信息安适部副主任杨正军在其演讲中,就移动安适形势越来越严峻的原因做了梳理:
1. 智能手机上下游产业链极其庞杂,其中芯片厂商、手机厂商、App应用开发者等每个环节都可能产生漏洞。
2. 各个手机厂商之间彼此竞争、各自为政,对自身UI的安适程度纷歧,好比谷歌发布CV1漏洞后国内各个手机厂商及主要应用修复、升级较为滞后。
3. 用户手机安置众多App,有的App存在敏感信息泄露;随着智能手机所连接的智能设备越来越多,云端密码、用户隐私信息泄露风险加大。
(摘自《2017年中国手机安适生态陈诉》,差别App对用户隐私权限纷歧样,整体来看非常严重)
要按以往PC时代安适思维,用户安适直接交给专业网络安适公司、装个杀毒软件或手机安适管家就OK了,但移动安适产业链牵一发而全身,系统漏洞防失慎防,如果不能从全产业链上“团结”起来,很难打击网络犯罪分子及黑客大盗的嚣张气焰。据了解,去年全球网络犯罪所造成的损失高达3万亿美金,预计2021年会达到6亿美金。
二、打击网络犯罪,移动互联网全产业链大协作才能“治本”
智能手机不但是人们的认证中心(手机号与社交资料构成人的身份证及通行证);还是个人的财富中心(支付宝和微信在很多城市已经取代现金支付,还与银行卡进行绑定)。
这意味着网络犯罪分子只要搞定用户手机,绝不成能白手而归,网络犯罪离广大网民并不遥远,据2017年Q2手机安适陈诉,360猎网平台共接到网络诈骗举报达6807起,涉案金融高达1.2亿元,人均损失17582元,其人均损失基数有逐年上涨态势。
打响移动安适掩护战首先要升级的全行业的忧患意识,以系统漏洞侦查甄别及修复为“牛鼻子”顺藤摸瓜。从这个角度讲,安适互联网公司向手机厂商公布或提示漏洞并非要“砸场子”或“搞事情”,而是帮手手机厂商提升自身的防御力。
以苹果为例,去年iOS系统开始尝试安适接口的开放,以拦截骚扰电话、垃圾短信、钓鱼链接等,360推出防骚扰大师等安适软件;而谷歌、微软也会对系统漏洞举报者给予奖励,其中全球安适厂商之中,360提供的漏洞数量最多。