398
黑客教父龔蔚:掃碼應用要警惕 公共WiFi攻不破支付軟件
中國黑客教父、WiFi萬能鑰匙首席安全官龔蔚
3月8日下午消息,WiFi萬能鑰匙首席安全官龔蔚近日就互聯網安全發表演講,在這場科普性為主的安全講座中,龔蔚從安卓手機的安全後門、應用層攻擊、流量劫持、大數據黑產、山寨軟件以及熱點WiFi安全等講訴了網絡攻擊的主要方式,以幫助用戶提升安全認知。
龔蔚曾在2015年出任WiFi萬能鑰匙首席安全官引起過討論,但其後現身次數並不多。實際上,這位江湖人稱“Goodwell”的技術大牛,素有中國黑客教父之稱,是中國最早一代黑客的代表人物。其後還發起創立了綠色兵團和COG。
關於這次科普性為主的網絡安全講座,要點如下:
Root權限曾是最大安全威脅
移動互聯網最早的安全威脅隱患來自於係統權限本身的威脅,早期係統在設計的時候不是那麼完美,有各種各樣的潛在的係統安全問題,這些係統安全漏洞可能導致被提權、遠程的溢出等。
早期的係統漏洞都被一些攻擊者利用來做提權取得係統root權限,這個root權限就是係統最高的權限,可以超越所有的用戶對手機的操作。
惡意軟件一旦取得root權限可以做很多超越用戶所做的事情,比如手機關機以後可以竊聽周邊的環境。
當有係統最高權限的時候,按關機鍵的時候,我會給你放一段原本這個手機的關機畫麵,但是手機沒有真正關機。
同時把你的手機做一個唿叫轉移或者限製撥號,任何人打進來給他提示音“用戶關機”,隻有特定號碼打過來你會自動接聽並且開啟免提,不會震屏、響屏,當按完關機用特定的號碼打給你的手機,你的手機就會自動接聽我的號碼,並且開啟免提。
不過隨著時代的發展,現在主要的漏洞被發布,越來越完善,取得這些權限也會越來越難,尤其比如大家知道越獄、root越來越難,原本製作惡意軟件的人會把攻擊的目標或者重心移向到應用層,而且以前要獲取用戶的root權限是為了竊取你的銀行帳號或者錢財的轉帳或者其它信息它能夠獲利。
路邊的掃碼應用要警惕
隨著互聯網的發展,可以用更多的手段來獲利,也就是說它已經不需要root權限,在應用層就可以變現。
應用層如何變現?應用層主要攻擊的入口。首先是權限的聲明,然後是惡意軟件還有山寨的泛濫以及代碼的植入。權限聲明很簡單,現在所有的應用層的軟件都會大量申請各種各樣的係統權限,GPS位置、定位、通話記錄等等。
來自CNSeart的數據,2013年惡意軟件被感染的用戶數量是609萬,2014年2292萬,2015年1點多億,惡意軟件的數量從2011年6000多個,到2015年的16萬個,惡意軟件是一個惡意程序,國家也好,法規也好,用戶也好,安全意識的提高,它的生存空間越來越小。
它們以前通過惡意軟件植入手機獲取你的隱私來變現倒賣,現在因為打擊力度越來越大,轉向另一種盈利的模式,我們把它叫做山寨軟件。
在所有的應用市場尤其工具類,一款知名的移動端App至少有一百多種以上的山寨,它可能是LOGO一樣、名稱相似、皮膚一模一樣,這些山寨的程序很難讓用戶分辨清楚哪些是真哪些是假,這些山寨的應用有很多變現的方法。
比如走在路上很多人讓你掃一下碼裝一個應用軟件,如果遭遇山寨軟件仿冒進入手機,它先是仿冒某一款進去,然後晚上12點後通過後台推送大量的軟件,如果發現你的手機經常第二天開機多了幾個軟件的話,可能就是在半夜被推入一些軟件,而這些推送可以大量變現,一個軟件的成本可能達到15元。
當植入這些山寨軟件以後,並不帶有明顯的攻擊行為,有一些惡意程序會仿冒直接進來偷取信息帳號,還有大部分潛伏在那裏,可能也提供一些通常的服務,隻是你不知道你用的是山寨的,但它往往在後台會有一些其它的變現手段,或者某一天它就用你的手機去投票,甚至晚上給你推一個軟件過來等等。
代碼植入
在移動互聯網應用層還有一件事情不得不說新形態,叫做代碼植入。
去年開始,有些惡意程序找到了源頭,比如Xcode事件,所有蘋果開發的人員都會用一款開發工具叫做Xcode,用這款工具開發iPhone手機端的移動App。
惡意攻擊者會對原有的Xcode進行代碼改編植入一個後門,所有用這個軟件開發的蘋果App都會被相應植入後門,就像基因遺傳一樣,在原始的開發工具裏麵植入了一段後門。
為什麼開發者會下到改過代碼的程序?一般來講,Xcode需要到蘋果官網去下,但因為國外網站打開速度慢,於是有些程序員便通過搜索引擎直接下載,或者一些網盤的資源,這成為隱患。
大數據黑產
目前移動安全的一些新形態值得我們關注,比如在數據層。我們現在都知道每家公司都在做大數據、都在講大數據,隨著數據的搜集,對用戶的精準畫像。
但數據搜集帶來用戶隱私的問題越來越突出,更可怕的是這方麵黑道走在白道前麵。
我們所知道的所有大數據廠商大家所知道的知名BAT,從來沒有聽說過BAT大數據共享的,比如你在淘寶買的什麼東西可以和你在百度搜索過什麼東西大家互相結合來刻畫你。
但是黑客產業鏈的信息是互通的,今天我有你一張身份證,明天和有你電話號碼的那個人進行資源互換,後天和有你銀行卡的人資源互換,在地下產業非常頻繁,而且它們這種大數據的整合能力勾劃你整個人是怎麼樣的,非常強,互相合作的意識非常強,他們做規劃的時候非常精準,他們走在你的前麵。
所以權限方麵要慎重。
我們剛才講到了,在數據層很多廠商為了獲取信息希望獲取更多的權限,這些權限就可能被濫用。
比如一款看圖軟件也會要通話記錄、通訊錄等。哪怕是計算機都會要你去GPS位置,一個日曆應用也會要你GPS,可能有些廠商是為了以後更好服務,但現在沒有明確的法律和標準來規範,這就存下隱患。
WiFi熱點能攻破支付類軟件?
往常大家講到連接公共WiFi的時候談虎色變,很多人都說不能連公共WiFi,公共WiFi會怎麼樣怎麼樣,經常也有一些展示綿羊牆讓你上牆,隱私泄露。
在這兒給大家做一個技術普及,幾乎所有的支付類軟件和大部分知名品牌的軟件在核心數據交換的時候都是加密通信的,銀行類的軟件、支付類的軟件,支付的時候是加密通信的,這是有法規要求的,必須加密。
而加密通信的流量完全可以放心,就算流量挾持,不知道裏麵是什麼東西,無法篡改,本身支付類軟件設計的時候就考慮到被挾持這樣的問題。
流量挾持可能泄漏你的隱私,看過什麼樣的網站、搜索過什麼東西,可能這些都是明文沒有加密的傳輸,這些可以獲取得到。
但是支付類的、銀行類的,轉帳之類絕對放心。從我們安全的角度來說,都有加密保護,如果沒有加密保護就不符合合規性的要求。
還有公眾好奇WiFi熱點連接怎麼做安全。從我們WiFi萬能鑰匙安全解決方案來說,主要有三個架構,從事前、事中和事後。
首先在事前,我們會對所有的WiFi熱點包括曆史的數據進行畫像,在用戶還沒有連上WiFi的那一刻,我就可以告訴你這個節點是否安全。
當一枚硬幣拋向空中那一刻,其實結果已經確定,隻是我們不知道而已。如果能捕獲到所有和拋硬幣相關的力度,角度、高度等等參數,我就能準確預測它的結果。同樣,WiFi是否安全也不是隨機的,隻要我能捕捉到它的所有數據就能算出來。
基於這個理念,我們對所有的WiFi節點取樣,並分析曆史數據,比如一個WiFi節點位置是否發生過移動?它的存活時長是一天還是一年前就存在?有哪些人連接過它?這個WiFi熱點的硬件廠商是怎麼樣?曆史上有沒有發生過ARP的攻擊?通過這些數據建模,進行分析就可以實現相當準確的安全判定。
當你連接上WiFi以後,我們會幫你實時檢測當前連接的環境是否存在攻擊行為。同時提供一個叫安全隧道的數據加密功能。我們的設計初衷是:即使這是一個釣魚節點,即使這是一個惡意攻擊者部署的竊取信息用戶隱私的節點,我照樣要使用它的熱點,而且做到信息不泄露,現在我們的加密隧道已經完全可以做到。在這之後,我們提供了一個WiFi安全險,假設你使用WiFi萬能鑰匙連接WiFi之後遭遇了相關的攻擊,引起覺財產損失,可以向我們理賠,但目前該保險推出了一年多,還沒有一起索賠的事件。
總之,移動安全由一開始的單一形態向如今紛繁複雜的多形態發展後,安全威脅變得越來越多,WiFi萬能鑰匙作為一款以分享經濟幫助用戶連接免費公共WiFi的上網工具,也希望能為公眾WiFi安全做出一些貢獻,幫助提升公眾整體網絡安全水平。
本文轉自d1net(轉載)
最後更新:2017-07-11 15:02:44