【關(guān)于作者】趙涏元目前在KB投資證券公司負(fù)責(zé)安全工作,管理安全防范項(xiàng)目(boanproject.com)。他曾在A3 Security公司、KTH安全團(tuán)隊(duì)有多年、深入的經(jīng)驗(yàn),并著有或與人合著多部作品。在本文中,趙涏元介紹了Android平臺(tái)的安全問題特點(diǎn)以及如何判斷一個(gè)應(yīng)用是否安全。
我本人目前從事滲透測試(Penetration)、安全應(yīng)急響應(yīng)(Cert)、數(shù)字取證(Forensic)業(yè)務(wù),所以會(huì)嘗試從多角度進(jìn)行分析。比如在《Android惡意代碼分析與滲透測試》中,我既講解了惡意代碼分析、介紹了滲透測試漏洞分析,也從數(shù)字取證分析角度講述了如何獲得移動(dòng)設(shè)備內(nèi)置信息。其實(shí)Android惡意代碼分析、Android移動(dòng)滲透測試、Android數(shù)字取證分析等的區(qū)別僅在于研究方法,他們使用的技術(shù)是相同的。
Android平臺(tái)上的安全問題與其他平臺(tái)上的有何不同?
Android平臺(tái)延續(xù)了用戶非常熟悉的基于Linux內(nèi)核的開源政策,而且在世界范圍內(nèi)得到最廣泛的應(yīng)用,隨著IoT環(huán)境的普及,這個(gè)比例會(huì)更驚人。Android平臺(tái)正在為用戶提供很多便利,安裝應(yīng)用時(shí),用戶可以隨意控制,rooting時(shí)也很方便。雖然金融界和游戲服務(wù)都在強(qiáng)化安全功能,但如果用戶稍感不便,他們就會(huì)降低安全度,將所有問題歸結(jié)于用戶的責(zé)任。保證用戶便利的同時(shí)強(qiáng)化安全,這是開發(fā)人員的共同使命,但并非易事。
人們認(rèn)為Android比iOS更易成為安全隱患也正是因?yàn)?strong>使用Android手機(jī)的用戶越來越多。攻擊者想獲取更多的用戶信息,所以更關(guān)注Android。如果iOS的用戶也增多,那么攻擊者也會(huì)更多地研究iOS(近來針對(duì)iOS用戶的惡意代碼也發(fā)布了很多)。
對(duì)安全而言,眾多領(lǐng)域中只要有一個(gè)被打破,那么所有領(lǐng)域都會(huì)受到同樣的威脅。Android今后也會(huì)保持開源政策,但各制造商應(yīng)加強(qiáng)系統(tǒng)防御,Google也會(huì)逐漸強(qiáng)化安全。因此我認(rèn)為,安全得到保障的同時(shí),用戶體驗(yàn)并不會(huì)受到影響。
現(xiàn)在,企業(yè)如果不重視安全問題,那么黑客攻擊或感染惡意代碼就有可能導(dǎo)致“一夜回到解放前”。最近,勒索軟件(Ransomware)正在急速擴(kuò)散。過去只要將感染惡意代碼的PC終端斷開網(wǎng)絡(luò),備份文件后格式化或殺毒即可。但勒索軟件對(duì)PC終端的所有重要文件加密后,我們無法解密,甚至?xí)?duì)具有寫權(quán)限的所有網(wǎng)絡(luò)共享文件造成危害。積攢數(shù)十年的公司資產(chǎn)可能一瞬間就化為烏有,令公司難以為繼。我們需要?jiǎng)訂T所有安全領(lǐng)域的監(jiān)測力量,研究這個(gè)惡意代碼是通過什么路徑進(jìn)行滲透的。另外,還必須監(jiān)測/攔截外部試圖入侵的眾多攻擊。安全是公司經(jīng)營中必不可少的項(xiàng)目。以前那種遭到網(wǎng)絡(luò)攻擊后一帶而過的時(shí)代已經(jīng)結(jié)束了,包括安全負(fù)責(zé)人在內(nèi)的所有員工都應(yīng)當(dāng)逐步開展安全工作。
有人提出這樣的觀點(diǎn):學(xué)習(xí)新技術(shù)能夠獲取更大的利益,學(xué)習(xí)安全方面的知識(shí)卻未必會(huì)帶來經(jīng)濟(jì)價(jià)值。對(duì)于“學(xué)習(xí)安全方面的知識(shí)未必會(huì)帶來經(jīng)濟(jì)價(jià)值”,我是有不同意見的。無論哪個(gè)領(lǐng)域,僅滿足于公司月薪的話,那么其價(jià)值也不過就是公司年薪而已。國外很多國家都鼓勵(lì)舉辦黑客大賽并積極推進(jìn)人才培養(yǎng)計(jì)劃,政府也給予很多投資。從事安全工作的人應(yīng)當(dāng)靈活運(yùn)用這些資源,通過多種活動(dòng)將市場中的價(jià)值變?yōu)樽陨韮r(jià)值。
測試:怎樣判斷一個(gè)應(yīng)用是否安全?
與我們?cè)\斷Web服務(wù)時(shí)使用的方法一樣,在診斷Web服務(wù)時(shí),同時(shí)檢查服務(wù)器和終端PC中發(fā)生的變化,從而找出漏洞。此時(shí)可以參考OWASP TOP 10或SANS發(fā)布的診斷指南,或各機(jī)構(gòu)發(fā)布的指南。
在移動(dòng)應(yīng)用診斷時(shí),診斷的則是服務(wù)器和移動(dòng)終端中發(fā)生的變化。OWASP TOP 10也發(fā)布了檢查項(xiàng)目,可以對(duì)照參考進(jìn)行測試。而金融界需要保護(hù)的用戶資產(chǎn)數(shù)據(jù)很多,應(yīng)當(dāng)安裝并重點(diǎn)檢查應(yīng)用安全解決方案。
用戶:自身如何保護(hù)移動(dòng)安全
作為一個(gè)Android用戶和一個(gè)程序員,我在考慮移動(dòng)安全時(shí),總使用與用戶終端PC一樣的方法。終端PC中,為了不感染惡意代碼,我們要拒絕訪問可疑網(wǎng)站,不安裝可疑文件。移動(dòng)環(huán)境也是如此,尤其不要下載可疑文件,也不要安裝貼吧中附帶的應(yīng)用(APK)。另外,應(yīng)當(dāng)安裝可信賴的殺毒軟件進(jìn)行預(yù)防。
最近,一款名為“Brain Test”的惡意程序攻破了Google Play應(yīng)用商店,波及上百萬Android用戶,而Brain Test很難被徹底刪除。Google應(yīng)用商店也有防止惡意代碼注冊(cè)的系統(tǒng),如果連這個(gè)系統(tǒng)都繞過了,那么用戶確實(shí)束手無策。最好的方法就是在移動(dòng)終端安裝殺毒軟件,定期升級(jí)固件。從企業(yè)角度講,需要引入完整性驗(yàn)證解決方案,實(shí)時(shí)監(jiān)測并攔截用戶運(yùn)行的應(yīng)用。
企業(yè):社會(huì)工程防范應(yīng)得到重視
根據(jù)我在證券公司負(fù)責(zé)安全工作的經(jīng)驗(yàn),在安全體系中,技術(shù)手段防范與社會(huì)工程防范二者是同樣重要的。現(xiàn)在很難預(yù)測惡意代碼將會(huì)感染什么地方,社會(huì)工程攻防技術(shù)往往源于惡意代碼,因此,員工安全意識(shí)診斷(電子郵件惡意代碼應(yīng)對(duì)培訓(xùn)等)的持續(xù)安全活動(dòng)很重要。在“員工訪問的所有網(wǎng)站都可能通過DBD(drive-by download)攻擊感染惡意代碼”的假設(shè)下,需要365*24運(yùn)行控制監(jiān)測業(yè)務(wù)。另外,應(yīng)當(dāng)時(shí)刻關(guān)注最新熱點(diǎn),提前掌握與自己公司服務(wù)相關(guān)的攻擊技術(shù),進(jìn)行事前攔截。
移動(dòng)環(huán)境今后會(huì)有更長足的發(fā)展,IoT環(huán)境也在蓬勃生長。不僅是移動(dòng)終端,家中的所有事物都將與移動(dòng)設(shè)備連接。那時(shí),更多基礎(chǔ)設(shè)施將得到建設(shè),人們也會(huì)使用更多應(yīng)用。我們應(yīng)當(dāng)繼續(xù)監(jiān)測移動(dòng)環(huán)境中可能發(fā)生的威脅,加深研究。與其學(xué)習(xí)如何分析一兩個(gè)應(yīng)用,不如構(gòu)建可以自動(dòng)分析大量應(yīng)用的系統(tǒng)環(huán)境,深入研究高效的診斷方法。
京公網(wǎng)安備 11010502049343號(hào)