2010年可以被認(rèn)為是現(xiàn)代移動安全的元年。在此之前,移動平臺的主要威脅是Symbian上泛濫了六年之久的惡意代碼和系統(tǒng)漏洞。這一年,蘋果發(fā)布了iOS 4,Google也接連發(fā)布了Android 2.1、2.2和2.3,智能手機真正成熟并普及起來。也是在這一年,第一個Android惡意代碼FakePlayer出現(xiàn),Android的root漏洞利用代碼Exploid被公開,跨平臺手機網(wǎng)銀木馬Zitmo被發(fā)現(xiàn),手機游戲的盜版和破解已經(jīng)如火如荼。還是在這一年,iOS越獄在美國被承認(rèn)合法,頂級學(xué)術(shù)會議開始出現(xiàn)對Android安全的各類研究,烏云平臺的白帽子們開始報告移動應(yīng)用的漏洞,國內(nèi)的創(chuàng)業(yè)團隊和IT巨頭也逐漸將目光投向這個新興領(lǐng)域。
在這個領(lǐng)域,無論是技術(shù)上還是商業(yè)上,新的平臺與老的思路不斷交融,出現(xiàn)了許多值得記住的事件、公司和人物。今天,我們就從這個角度出發(fā),回顧移動平臺惡意代碼、軟件漏洞和軟件版權(quán)問題走過的路。
限于篇幅,我們的討論將主要圍繞Android、iOS進行,而不涉及Symbian、Windows Mobile、Windows Phone、webOS、BlackBerry OS、Firefox OS等已經(jīng)衰落或還未崛起的系統(tǒng)。另一方面,移動安全還應(yīng)包括通信安全BYOD/MDM、設(shè)備取證、數(shù)據(jù)恢復(fù)、嵌入式設(shè)備安全等方向,也不在本文討論范疇。
移動惡意代碼
iOS的第一個蠕蟲Ikee是2009年11月在澳大利亞被發(fā)現(xiàn)的。它攻擊越獄后的iOS設(shè)備,利用越獄后ssh服務(wù)的默認(rèn)密碼是“alpine”來傳播自身(如圖1所示)。2010年8月,第一個公認(rèn)的Android惡意代碼FakePlayer在俄羅斯被發(fā)現(xiàn),主要行為是發(fā)送扣費短信。其實早在2010年初,Android上就出現(xiàn)了廣告件和敲詐件。
圖1 Worm.iPhoneOS.Ikee.a的關(guān)鍵代碼(來自Kaspersky)
2010年12月29日,Android平臺第二個木馬Geinimi(“給你米”)出現(xiàn),這也是第一個國產(chǎn)Android惡意代碼。這個很早期的家族將之后一年內(nèi)的主流攻擊技術(shù)一次到位地進行了實現(xiàn):在攻擊上,實現(xiàn)了遠(yuǎn)程控制、攔截刪除短信、回傳短信、撥打電話、安裝軟件等,在對抗上,采用了代碼混淆、代碼加密、入口點代碼變形、TCP層直接通信等技術(shù)。移動平臺簡單便捷的軟件開發(fā),讓攻擊者得以充分發(fā)揮想象力,并快速地將想法實現(xiàn)。
表1 Android惡意代碼增長情況(來自安天實驗室)
從2011年起至今,Android惡意代碼的數(shù)量開始出現(xiàn)指數(shù)級增長(如表1所示)。產(chǎn)生這一局面的原因包括:
重打包(repackaging)技術(shù)的出現(xiàn)以及隨后自動化工具的完善,使得在Android上自動化海量制造病毒成為可能;Android軟件開發(fā)門檻極低,直到2014年,依然有完全由新手在短期內(nèi)制造蠕蟲的事件出現(xiàn),并被巨頭和媒體夸大炒作;Smali這一Dalvik匯編工具的出現(xiàn),使得對Android二進制代碼進行自動化混淆、變形、變換的難度降低,加大了對抗難度;國內(nèi)用戶沒有養(yǎng)成,(限于政策原因)也不可能養(yǎng)成從官方市場下載應(yīng)用軟件的習(xí)慣,而沒有門檻、沒有技術(shù)、沒有安全意識的第三方市場、軟件下載站和玩家論壇為惡意代碼傳播提供了便利;手機銷售渠道的不規(guī)范,誕生了刷機這一灰色產(chǎn)業(yè),進一步成為惡意代碼新的傳播途徑。
與PC和Symbian時代的歷史不同,從一開始,Android惡意代碼就體現(xiàn)出完全的逐利性。這與地下產(chǎn)業(yè)鏈分工的逐漸成熟有很大關(guān)系。在國內(nèi),手機惡意代碼的獲利可以分為兩個階段。2012年之前,以向SP號碼發(fā)送扣費短信訂閱增值服務(wù)為主,攻擊者與SP隨后進行分成。2012年后,國家部門整頓SP的不規(guī)范行為,逐漸轉(zhuǎn)為以軟件推廣、廣告推送為主,并開辟了水貨刷機、行貨預(yù)裝等新渠道。同樣,由于個人信息販賣的“產(chǎn)業(yè)”發(fā)展并不成熟,竊取短信、通話記錄、軟件信息等行為雖然也時有出現(xiàn),但并不是主要的威脅。
在西方國家,由于產(chǎn)業(yè)環(huán)節(jié)的缺失,手機金融和手機支付成為攻擊者更看重的目標(biāo)。手機網(wǎng)銀相關(guān)的木馬中,最著名的是Zitmo,也就是PC上著名的網(wǎng)銀盜號木馬Zeus(宙斯)的手機版(如圖2所示)。2010年9月25日,Zitmo的Symbian和BlackBerry版本被發(fā)現(xiàn);2011年,又發(fā)現(xiàn)了Android和Windows Mobile版本。它通過釣魚感染用戶的手機,與Zeus協(xié)作,攔截銀行發(fā)送至手機的mTANs(短信驗證碼)。到2012年底,Zitmo在歐洲竟感染了超過3萬用戶、盜走3600萬歐元!
圖2 Zeus傳播Zitmo的釣魚界面(來自NSS Labs)
在智能手機時代,攻擊者只需編寫短短數(shù)行代碼,就能做到閱讀短信、攔截短信、以用戶身份發(fā)送短信等。然而直到今天,國內(nèi)外的銀行、支付平臺、金融機構(gòu)和其他各類在線服務(wù)商,始終將短信看作一種安全的身份認(rèn)證因素。這種不合理的假設(shè)體現(xiàn)了傳統(tǒng)行業(yè)的因循守舊和對新平臺安全特性的極度不適應(yīng)。
2012年起,Google開始注重Android框架層的安全性增強。當(dāng)年2月,他們還宣布了名為Bouncer的項目,對Google Play的軟件進行動態(tài)沙盒分析,尋找其中的惡意代碼。到2013年,業(yè)界已經(jīng)可以明顯感覺到 Google Play上惡意代碼數(shù)量得到了較好的控制,國外用戶遭遇Android惡意代碼的情況相對減少,這一問題的“前沿技術(shù)發(fā)展”基本轉(zhuǎn)到國內(nèi)。最典型的代表是我在2014年1月發(fā)現(xiàn)的Oldboot家族,作為Android平臺第一個真正的引導(dǎo)區(qū)病毒,它通過渠道刷機的方式進入Android系統(tǒng)的boot分區(qū),由于該分區(qū)的特點,普通殺毒軟件甚至沒有權(quán)限掃描到樣本文件,即便是提取后能檢出,也無法通過常規(guī)方法予以清除。
再來看iOS平臺。自從Ikee被發(fā)現(xiàn)后,這個系統(tǒng)上只出現(xiàn)過幾個針對越獄后設(shè)備的間諜件和廣告件。唯一一個針對非越獄設(shè)備的iOS惡意代碼是2012年7月出現(xiàn)的FandAndCall,其主要惡意行為是搜集和回傳通訊錄、批量發(fā)送短信推廣自身。它甚至躲過了蘋果的應(yīng)用審核流程,進入了App Store。
但是到2014年上半年,iOS平臺一下子就出現(xiàn)了三個新的惡意代碼。它們都基于Cydia Substrate框架實現(xiàn),針對越獄后設(shè)備 。其中,AdThief通過替換14種廣告庫的推廣ID攫取其他開發(fā)者的廣告推廣收益;Unflod通過監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)盜取用戶的Apple ID和密碼;AppBuyer在盜取Apple ID和密碼的基礎(chǔ)之上進一步模擬iTunes協(xié)議從App Store購買軟件實現(xiàn)“軟件推廣”。這三個新的惡意代碼攻擊來源和攻擊目標(biāo)均位于國內(nèi),AdThief更是感染了超過75000臺iOS設(shè)備。
移動惡意代碼的出現(xiàn)與泛濫,給安全產(chǎn)業(yè)帶來的新的方向。2010年開始,傳統(tǒng)安全廠商的目光開始轉(zhuǎn)向Android。到現(xiàn)在,國內(nèi)的騰訊、百度、360、金山網(wǎng)絡(luò)(獵豹)等巨頭均已推出以殺毒為核心功能的Android安全產(chǎn)品,獲得數(shù)以億計的用戶,阿里也正在進行Android反病毒引擎的自主研發(fā)。
由于技術(shù)門檻看似不高,這個方向也涌現(xiàn)出不少創(chuàng)業(yè)公司。然而,海量病毒的出現(xiàn)與攻擊對抗技術(shù)的不斷演進,只有積累了深厚經(jīng)驗并反應(yīng)迅速的專業(yè)團隊才能取得長期的勝利。比如長期專注于反病毒引擎的安天實驗室在2013年AV-TEST全年測試中最終獲得Android惡意代碼防護的全球第一名,實現(xiàn)了亞洲反病毒公司的突破。圍繞惡意代碼防護,國內(nèi)也出現(xiàn)一些另辟蹊徑的新產(chǎn)品,比如LBE安全大師基于主動防御實時發(fā)現(xiàn)攔截惡意行為,這種技術(shù)后來成為國內(nèi)手機安全產(chǎn)品的一種標(biāo)配。
在硅谷,圍繞Android反病毒的華人創(chuàng)業(yè)團隊也成績斐然。2013年2月,Trustgo通過在Android殺毒引擎上取得的傲人成績最終被百度收購;而Trustlook和VirusThreat則圍繞APT和大數(shù)據(jù)關(guān)聯(lián)分析等主題開始了新一輪征程。
在Android惡意代碼攻防的歷史中,華人(尤其是國內(nèi)的)研究人員通過學(xué)術(shù)研究和開源項目的方式,對整個產(chǎn)業(yè)作出了杰出的貢獻。比如,泮曉波的dex2jar至今都是最流行的APK反編譯工具;蔣旭憲博士和周亞金等發(fā)現(xiàn)了近30個新的惡意代碼家族,并發(fā)布Android Malware Genome這樣惠及全球的項目;楊坤參與了惡意代碼沙箱DroidBox的開發(fā);鄭聰和田園則開發(fā)了第一個開源的綜合交互式分析工具APKInspector。在近年的Top 4學(xué)術(shù)會議上,近一半移動安全的成果都由華人學(xué)者取得,其中復(fù)旦大學(xué)的楊珉博士在2013年的ACM CCS同時發(fā)表兩篇移動安全的論文,讓人高山仰止。
移動系統(tǒng)和軟件漏洞
先來看iOS的系統(tǒng)安全問題。從發(fā)布的第一天起,iOS就和“越獄”這個詞綁在了一起。傳統(tǒng)的越獄,一是為了解除iOS硬件設(shè)備對移動運營商的鎖定;二是為了繞過iOS對普通應(yīng)用軟件的簽名要求和沙箱限制,以安裝第三方應(yīng)用軟件、實現(xiàn)更復(fù)雜的軟件功能甚至直接對系統(tǒng)功能進行定制修改。這種行為本質(zhì)是用戶對自己設(shè)備自由控制權(quán)的追求,因此,在EFF的推動下,2010年美國開始承認(rèn)iOS越獄的合法性。然而,傳入國內(nèi)后,iOS越獄更多地與軟件盜版聯(lián)系到一起,成為一種灰色的行為。
早期iOS系統(tǒng)的安全設(shè)計并不完善。2007年7月10日,也就是iOS 1.0發(fā)布11天以后,對其的越獄就已經(jīng)出現(xiàn)了,甚至比第一臺iOS設(shè)備出現(xiàn)的時間還早。同年,天才黑客George Hotz第一個完成了對iPhone的解鎖。越獄工具JailbreakMe在3.0版中利用了Safari移動版對PDF文件做渲染時的一個漏洞,實現(xiàn)了訪問一個網(wǎng)址就能越獄的效果(如圖3所示)。
圖3 JailbreakMe 3.0訪問網(wǎng)站即可越獄
蘋果隨后修復(fù)了這一漏洞,從此開始了與越獄社區(qū)一輪又一輪的技術(shù)對抗。從2.0到6.0,iOS系統(tǒng)的越獄均在系統(tǒng)正式發(fā)布后九天之內(nèi)就出現(xiàn)。到iOS 7.0,由于各類防御機制和及時的補丁修復(fù),用戶等了95天才迎來evasi0n7的發(fā)布。本文寫作時iOS最新的版本是 7.1。這一版本的首個公開完美越獄由華人安全研究小組0x557為基礎(chǔ)組成的盤古團隊完成,這也是華人第一次發(fā)布iOS越獄工具。
過去幾年,拒絕服務(wù)、信息泄露、遠(yuǎn)程代碼執(zhí)行、XSS、鎖屏繞過等漏洞在iOS系統(tǒng)上也屢見不鮮(如圖4所示)。比如,2013年8月出現(xiàn)的CoreText渲染引擎問題就影響了iOS 6中的Safari和其他使用了WebKit的應(yīng)用軟件,導(dǎo)致國內(nèi)微博、微信等出現(xiàn)收到特殊消息就再也無法打開軟件的事件。
圖4 iOS系統(tǒng)漏洞數(shù)量和類型統(tǒng)計(來自CVEdetails.com)
在iOS系統(tǒng)漏洞方向,國內(nèi)的Keen Team在2013年兩次奪得代表業(yè)內(nèi)漏洞研究最高水平的Pwn2Own比賽大獎,展現(xiàn)了他們對iOS和Safari安全研究的頂級水準(zhǔn)。美國佐治亞理工大學(xué)王鐵磊博士對iOS漏洞利用技術(shù)的研究結(jié)果也已經(jīng)多次發(fā)表在頂級學(xué)術(shù)會議上。
與iOS相比,Android有著更加開放的系統(tǒng)設(shè)計和產(chǎn)業(yè)生態(tài),加上設(shè)備占有率越來越高,這個“接地氣”的系統(tǒng)上出現(xiàn)的漏洞始終引人注目。
Android的第一個root出現(xiàn)在2008年11月5日,針對 第一臺Android手機HTC G1,用戶root自己手機的主要目的是對系統(tǒng)進行定制(如圖5所示)。除了root,另一種定制系統(tǒng)方法是對bootlOAder進行解鎖,然后直接刷入第三方ROM。因此,漏洞不僅存在于操作系統(tǒng),還會出現(xiàn)在bootloader中。
圖5 最新的通用root工具TowelRoot
2010~2012年,在Android中出現(xiàn)了不少通用的root漏洞,利用代碼也被公開。比如2010年7月的Exploid、2011年2月的Zimperlich、5月的GingerBreak、2012年8月的Mempodroid,以及RageAgainstTheCage、Zergrush等。它們針對的是系統(tǒng)版本從 2.1到4.0。這一時期出現(xiàn)的許多惡意代碼都包含了這些root漏洞利用代碼,它們以此獲得root權(quán)限,將自身安裝成系統(tǒng)預(yù)裝軟件等。
2012年6月,Google發(fā)布Android 4.1,之后逐步引入完整ASLR、PIE、SELinux、nosetuid、FORTIFY_SOURCE等安全機制,這些通用漏洞逐漸告一段落。然而,2014年,Android上再次出現(xiàn)了兩個新的通用提權(quán)漏洞,一是Android Bug 12504045(這個漏洞在地下世界知道多年之后才被公開);二個是CVE-2014-3153(就是Towelroot使用的Linux futex漏洞)。目前還未發(fā)現(xiàn)利用它們的惡意代碼,但相信已不久遠(yuǎn)。
除了root漏洞,Android的框架層也曾出現(xiàn)各類問題,比如CVE-2013-6271鎖屏繞過等。其中最有名、影響最大的莫過于2013年的Master Key系列漏洞和2014年的FakeID漏洞(請關(guān)注《程序員》2014年9月刊《詳解Android假ID簽名漏洞》),它們最初都由一家名為Bluebox的新創(chuàng)公司發(fā)現(xiàn)。通過這四個漏洞,攻擊者可以偽造Android安全模型中最基本的應(yīng)用簽名,進一步繞過Android的權(quán)限模型,開展各類攻擊。這些漏洞影響當(dāng)時幾乎所有版本的Android,而原理與利用代碼在各手機廠商推送安全更新前就已經(jīng)被徹底公開,從而導(dǎo)致絕大的安全問題。2013年8月,我們就發(fā)現(xiàn)國內(nèi)一個應(yīng)用市場上所有的軟件都利用了第一個Master Key漏洞。值得一提的是,第二個Masker Key漏洞是Marvell中國的安全團隊“安卓安全小分隊”(后改名“鲇魚”)所發(fā)現(xiàn)。
除了操作系統(tǒng),iOS和Android的應(yīng)用軟件中存在的安全漏洞也不少,具體可以參考我此前在《程序員》發(fā)表的幾篇文章 。除了常見的數(shù)據(jù)存儲、數(shù)據(jù)傳輸、旁路泄露等,在Android上出現(xiàn)過一類極具平臺特色的問題:應(yīng)用間通信接口暴露導(dǎo)致的權(quán)限重委派(permission re-delegation)和能力泄露。早期這類問題存在于幾乎過半的應(yīng)用軟件中,甚至在不少Android預(yù)裝軟件中都有發(fā)現(xiàn)。比如,2012年11月,蔣旭憲博士發(fā)現(xiàn)Android預(yù)裝短信應(yīng)用中存在接口暴露,任何第三方軟件既不需要相關(guān)權(quán)限,也不需要調(diào)用相關(guān)系統(tǒng)API,即可本地構(gòu)造出接收到的短信。一周后,我們在國內(nèi)發(fā)現(xiàn)利用了這一漏洞的新病毒,它們給惡意代碼檢測模型帶來的例外情況。
即便普遍存在,iOS和Android應(yīng)用軟件漏洞至今仍未引起開發(fā)者的充分重視。這也許與其攻擊面和攻擊后果有關(guān)。絕大部分情況下,要利用這類漏洞,需要目標(biāo)設(shè)備安裝了有漏洞的軟件,然后往目標(biāo)設(shè)備上安裝另一個軟件進行本地攻擊。這已經(jīng)夠難了,即便如此,攻擊成功最多也就是獲得一個用戶的賬戶或數(shù)據(jù)。與此相比,絕大部分傳統(tǒng)的服務(wù)器端漏洞或Web系統(tǒng)漏洞既可以隨時掃描和攻擊,也可以一次性獲得系統(tǒng)所有用戶的數(shù)據(jù)。
然而例外總是存在。比如addJavaScriptInterface遠(yuǎn)程代碼執(zhí)行的問題,可以導(dǎo)致對普通應(yīng)用的遠(yuǎn)程攻擊。Android中JavaScript接口問題其實早在幾年前就已經(jīng)被業(yè)內(nèi)所知,Google和其他安全公司已經(jīng)在文檔中多次強調(diào)說明。然而,2013年,國內(nèi)許多流行軟件(尤其是絕大部分手機瀏覽器)中基本還是存在這個漏洞,讓人扼腕嘆息。從2014年新出現(xiàn)的UXSS等問題來看,WebView的特性和漏洞給普通應(yīng)用帶來的安全問題可以還會長期發(fā)展下去。
設(shè)備制造商中,三星是重視安全的典范。他們從2013年初主推的KNOX解決方案對其設(shè)備中的Android做了大量安全加固,其中一部分將從2014年底開始并入Android上游主干。
隨著移動平臺系統(tǒng)和軟件漏洞的不斷出現(xiàn),國內(nèi)也陸續(xù)出現(xiàn)了一些第三方的創(chuàng)業(yè)團隊和新產(chǎn)品。其中一些頗具中國特色,比如“一鍵root”類產(chǎn)品。這種工具通常集成各類已知或獨立發(fā)現(xiàn)的root提權(quán)漏洞,對流行的手機型號進行適配,并將root過程全自動化,并裝入root管理工具。這類產(chǎn)品提供了更穩(wěn)定的技術(shù)方案,節(jié)省了用戶尋找root方案的時間,降低了技術(shù)門檻,因而頗受歡迎。對用戶而言,利用root權(quán)限除了可以進一步定制手機系統(tǒng)(尤其是精簡預(yù)裝軟件等),還可以賦予安全軟件更高的權(quán)限,使其與高級惡意代碼至少擁有相同的權(quán)限。到2013年底,國內(nèi)此類產(chǎn)品已經(jīng)超過10種,其中KingRoot被騰訊收購,百度、360等也先后推出了相關(guān)產(chǎn)品。
另一類新出現(xiàn)的業(yè)務(wù)是對移動應(yīng)用的安全審計,有兩種模式。一是以烏云眾測為代表的眾包模式。2010年至今,白帽子們在烏云報告了超過300個Android和iOS軟件漏洞。2014年起,移動應(yīng)用成為此類眾包的熱門目標(biāo)。另一種模式是以上海墨貝為代表的移動應(yīng)用滲透測試團隊提供的專業(yè)服務(wù),與眾包相比,可以更全面地評估軟件的安全性。2013年開始,甲方互聯(lián)網(wǎng)企業(yè)開始逐漸重視這個方向的問題,例如當(dāng)年騰訊TSRC曾進行移動客戶端產(chǎn)品的漏洞獎勵專項活動。但是目前無論是眾包平臺還是這些互聯(lián)網(wǎng)巨頭的安全中心,對移動應(yīng)用漏洞的威脅評估仍處于粗糙原始的水準(zhǔn)。
軟件版權(quán)攻防
在移動平臺,當(dāng)?shù)谌綉?yīng)用開始出現(xiàn)、應(yīng)用市場興起,盜版、破解、篡改、重新分發(fā)等也隨之興起。在國內(nèi),這個問題甚至形成了龐大的產(chǎn)業(yè)鏈,成為所有開發(fā)者不得不重視的一個威脅。
技術(shù)上看,這類攻擊的實現(xiàn)與普及,往往與系統(tǒng)架構(gòu)設(shè)計、系統(tǒng)安全機制、產(chǎn)業(yè)生態(tài)環(huán)境、用戶習(xí)慣等緊密相關(guān),防御機制也依賴于這些因素。因此,這些情況一旦發(fā)生大的變動,可能導(dǎo)致攻防情況的急劇變化。最大的一次挑戰(zhàn)來自Android 4.4推出的ART運行時環(huán)境,它將在Android 5發(fā)布時取代Dalvik虛擬機,從而導(dǎo)致各類基于Dalvik運行時修改或動態(tài)加載機制的保護方案幾乎完全失效。
在iOS上,2010年左右,隨著iPhone在國內(nèi)用戶的增長,軟件盜版分發(fā)開始興起,尤其是針對收費游戲的DRM移除。蘋果對所有App Store中的應(yīng)用采用了賬戶和設(shè)備相關(guān)的DRM簽名機制,通過內(nèi)存dump,攻擊者們可以提取出解密后的代碼,制作成新的軟件包進行分發(fā)。安裝此類盜版游戲,也是國內(nèi)普通用戶越獄的一個主要目的。2011年11月,當(dāng)App Store支持國內(nèi)銀行卡用人民幣購買后,短期內(nèi)越獄用戶數(shù)下降比例甚至與一次iOS新版本發(fā)布時相當(dāng)。
國內(nèi)攻擊者在此類盜版行為上最大的創(chuàng)新是,2012年底,“快用助手”等工具實現(xiàn)了不越獄安裝盜版軟件的技術(shù)。它們完全模擬了本地iTunes協(xié)議,通過PC欺騙iOS設(shè)備,使其認(rèn)為同步過來的軟件已經(jīng)購買并獲得了合法授權(quán)。到目前,已經(jīng)有超過六個工具采用了這一技術(shù)。
到2013年,iOS游戲和應(yīng)用的版權(quán)問題已經(jīng)包括:應(yīng)用內(nèi)購買的破解,主要是軟件對收買收據(jù)未作云端驗證情況下的中間人攻擊,這也是另一個不需要越獄的攻擊;應(yīng)用代碼和配置文件修改;網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)闹虚g人攻擊和雙向欺詐;應(yīng)用的關(guān)鍵內(nèi)存定位、內(nèi)存修改;基于調(diào)試的代碼實時修改;軟件購買分發(fā)DRM記錄破解等。而地下產(chǎn)業(yè)鏈已經(jīng)發(fā)展到熱門游戲的本地存檔記錄或者自動化內(nèi)存補丁工具都可以在淘寶上買到。
圍繞iOS游戲與應(yīng)用,還有其他的安全問題,比如被盜信用卡消費問題、國外禮品卡匯率差問題等,以及App Store刷榜問題。本文對此不作詳述。
Android應(yīng)用的版權(quán)問題則更具中國特色。由于眾所周知的原因,2012年起,國內(nèi)用戶無論從系統(tǒng)服務(wù)框架支持上還是網(wǎng)絡(luò)環(huán)境上,均無法直接從Google Play下載軟件,更遑論付費購買軟件或者應(yīng)用內(nèi)支付。除了廣告,國內(nèi)開發(fā)者更習(xí)慣于使用第三方支付平臺或者在線增值服務(wù)的方式實現(xiàn)license機制獲利。因此,對Android軟件的盜版更多轉(zhuǎn)為傳統(tǒng)的通過修改代碼實現(xiàn)license破解。直到2012年底左右,隨著市場秩序的逐漸規(guī)范,國內(nèi)的多個應(yīng)用市場才開始與國外開發(fā)者商談版權(quán)、引入正版軟件,成為新的正版分發(fā)渠道。
在傳統(tǒng)PC時代,盜版者獲利的主要方式包括植入惡意代碼(收益大但風(fēng)險高)、給在線分發(fā)平臺帶來用戶(風(fēng)險低但收益。。對Android軟件,盜版者們基于重新打包技術(shù)找到了一種新的中間方法來盈利:植入廣告。我們在2010年開始觀察到這一問題,延續(xù)至今仍未有任何減弱的跡象。
另一方面,由于系統(tǒng)的開發(fā)兼容性,以及高比例root用戶的存在,從2011年起,Android平臺還出現(xiàn)了許多強大的游戲修改工具。其中的代表包括金手指(GameCIH,如圖6所示)、八門神器、葫蘆俠、燒餅修改器、叉叉助手等,名字都非常接地氣,其中一些也有推出iOS版本。軟件加速、內(nèi)存自動搜索定位、內(nèi)存鎖定等PC時期非常流行的外掛技術(shù)在2011年就已經(jīng)全部出現(xiàn)在Android上。GameCIH是其中最早的一款,其作者正是大名鼎鼎的計算機病毒CIH的作者陳盈豪。
圖6 Android游戲修改器GameCIH的運行界面
面對這種嚴(yán)峻形勢,國內(nèi)主流手機游戲廠商很早就成立了專門的產(chǎn)品安全團隊,成為最早應(yīng)對移動安全的甲方公司。另一方面,這也催生了一個新的產(chǎn)業(yè):應(yīng)用加固。
技術(shù)上來看,應(yīng)用加固是直接對應(yīng)用軟件的安裝包進行加殼、混淆等,實現(xiàn)反重打包、反逆向分析、反修改破解、反調(diào)試、反內(nèi)存dump、反數(shù)據(jù)篡改等。在Android上,主要基于Dalvik層和Linux/ARM層的代碼動態(tài)加載、代碼自修改、代碼內(nèi)存解密、代碼混淆和變形、Linux反調(diào)試、代碼完整性自校驗、自定義加載器、自定義虛擬機等小眾技術(shù)來實現(xiàn)。這些思路和類似產(chǎn)品早在20世紀(jì)末在PC平臺就已經(jīng)非常流行。但是在Android上國內(nèi)第一個看準(zhǔn)這個機會的是梆梆,這個成立于2010年10月的團隊由來自Symantec等公司的研發(fā)和市場人員組成,六個月后就獲得了千萬美元級別的B輪融資。這導(dǎo)致愛加密、娜迦等更多創(chuàng)業(yè)公司的出現(xiàn)。最終,2013年,騰訊、360和百度在運營第三方應(yīng)用市場時也看到開發(fā)者的這一需求,推出了自己的加固服務(wù);阿里則很早就在旗下產(chǎn)品中使用了內(nèi)部的方案。
應(yīng)用加固技術(shù)的發(fā)展,給其他安全方向帶去了額外的影響。比如,這些加固技術(shù)、工具或在線服務(wù),直接被攻擊者用于保護其惡意代碼免于被分析和檢測。事實上,早在2010年的Geinimi就采用了Google在Android SDK中提供的混淆工具ProGuard,成為這后來很大一部分Android惡意代碼的標(biāo)準(zhǔn)做法。2013年6月出現(xiàn)的所謂史上最復(fù)雜的Android木馬Obad.a,則進一步使用了ProGuard的商業(yè)版保護工具DexGuard對代碼、資源、字符串、清單文件等進行了全面的加密或混淆。2013年底,被梆梆加固過的惡意代碼開始陸續(xù)被國內(nèi)外安全公司發(fā)現(xiàn),目前甚至有國外反病毒公司對梆梆加固過的軟件一律報為危險,嚴(yán)重性可見一斑。由于國內(nèi)企業(yè)對此類產(chǎn)品普遍推行免費使用的互聯(lián)網(wǎng)模式,使原本技術(shù)含量極高的技術(shù)變得人人均可無門檻地獲得。到2014年,已經(jīng)有相當(dāng)大一部分Android惡意代碼使用了商業(yè)級加固方案,移動惡意代碼快速步入在PC時期很長時間才來臨的艱難脫殼時期。
未來五年?
我們很難估計在接下來五年、三年甚至一年,移動安全領(lǐng)域會發(fā)生什么樣的變化。然而,審看往事,我們可以觀察到技術(shù)和商業(yè)發(fā)展的一些規(guī)律,從而做出基本的趨勢預(yù)判,這也正是探究歷史的目的之一。
在移動安全這個快速發(fā)展的方向上,我們可以看到兩個鮮明的特點:一方面,新的平臺架構(gòu)、新的產(chǎn)業(yè)環(huán)境、新的攻擊方法、目標(biāo)和手段層出不窮,既導(dǎo)致用戶需求不斷變化,也要求安全研發(fā)必須緊跟前沿發(fā)展;另一方面,攻防的技術(shù)思路和產(chǎn)業(yè)假設(shè)并未發(fā)生顯著變化,攻擊者依然需要尋求各種方式傳播惡意代碼并穩(wěn)定獲利,惡意代碼繼續(xù)使用漏洞繞過權(quán)限、利用保護技術(shù)對抗分析,惡意代碼分析檢測、漏洞挖掘、軟件加固的技術(shù)框架依然如故。
沿著同樣的思路,我們可以猜測,接下來一段時間,移動平臺的安全攻防將呈現(xiàn)這樣的局面。
除了傳統(tǒng)攻擊之外,惡意代碼將向三個方向繼續(xù)發(fā)展:第一,與PC平臺威脅一樣逐漸成為高級持續(xù)威脅(APT)的一部分,更加隱蔽并搜集關(guān)聯(lián)信息;第二,與反病毒方圍繞靜態(tài)分析、動態(tài)分析、自動判定、特征檢測、查殺清除這幾個話題展開更深度的技術(shù)對抗;第三,與PC平臺以及智能家居、穿戴設(shè)備、智能汽車等物聯(lián)網(wǎng)設(shè)施關(guān)聯(lián)從而產(chǎn)生對真實世界的威脅。
對系統(tǒng)通用組件(比如WebView/WebKit、第三方庫等)的漏洞挖掘?qū)⒗^續(xù)深入,對框架層和軟件層的漏洞利用將被用于真實的大規(guī)模攻擊;隨著手機成為新的計算和通信中心,上層應(yīng)用軟件數(shù)據(jù)的攻擊價值將進一步凸顯。
軟件加固保護的需求將隨著產(chǎn)業(yè)生態(tài)環(huán)境的成熟和用戶習(xí)慣的變化而逐漸減小,隨著系統(tǒng)架構(gòu)的不斷演進和各類運行環(huán)境的變化,這些技術(shù)方案將一次又一次陷入系統(tǒng)兼容性的困境中。
而在商業(yè)上,我們從前面的案例中已經(jīng)看到,互聯(lián)網(wǎng)巨頭和傳統(tǒng)安全廠商在這個方向反應(yīng)并不夠迅捷,擁有先發(fā)優(yōu)勢的創(chuàng)業(yè)團隊完成了早期技術(shù)引領(lǐng)和市場定義。資本市場上,對安全企業(yè)的投資局勢一直不錯,多起移動安全方向并購案的出現(xiàn)使得投資方和創(chuàng)業(yè)團隊有了較好的退出保障。安全廠商已經(jīng)意識到,在移動安全的技術(shù)對抗上,只有積累了深厚的安全經(jīng)驗,才能推出更有特點的、真正解決問題的產(chǎn)品。這種良好的商業(yè)環(huán)境,促進了技術(shù)的演進、擴展了技術(shù)人員的發(fā)展空間。接下來幾年里,這個方向在國內(nèi)將依然是創(chuàng)業(yè)、并購和巨頭發(fā)力的熱門選擇,而安全研發(fā)人員將成為其中最重要的角色之一。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:移動安全這五年
本文網(wǎng)址:http://www.ezxoed.cn/html/support/11121516618.html