点击右上角微信好友

朋友圈

请使用浏览器分享功能进行分享

正在阅读:移动安全风险频出,祸根究竟在哪?
首页> 网安频道> 要闻 > 正文

移动安全风险频出,祸根究竟在哪?

来源:光明网2024-05-28 15:18

移动安全风险频出,祸根究竟在哪?

——从微软披露“Dirty Stream”漏洞事件说开去(一)

  

  日前,微软发布报告披露“Dirty Stream”安全漏洞一事,宛如“一石激起千层浪”,引发人们对移动端安全的聚焦思考。报告显示,该漏洞可能涉及多款、有着数十亿下载量的Android(安卓)应用,利用漏洞攻击者可以悄然控制应用,并未经授权访问敏感用户数据;此类漏洞并非个例,不少流行的安卓应用程序也存在各类安全漏洞。

  无独有偶,今年年初,iPhone(苹果)也曝出“史上最复杂攻击”。当前,在AI(人工智能)、大数据等技术的快速发展下,各类移动端安全漏洞正在不断变换花样,并滋生新威胁、新风险。

  移动端存在哪些“软肋”?

  如果回溯iPhone(苹果)的这次“史上最复杂攻击”,便不得不提网络安全公司卡巴斯基。这家厂商发布报告称,发现了一个复杂、高级的苹果手机“iMessage信息”漏洞,这个名为“Operation Triangulation”的漏洞,可以植入恶意程序,收集麦克风录音、照片、地理位置等数据。

  据了解,该漏洞活跃期于2019年至2022年,在此期间仅需发送一段恶意“iMessage信息”,无需用户点击,黑客就能通过硬件级别的“后门”,直接获得苹果手机最高权限,从而开展后续恶意操作。虽然重启手机就能关闭漏洞,但重新入侵也较为容易。

  从本次微软披露的报告看,文中除了详细介绍了“Dirty Stream”漏洞的技术细节外,也给出具体建议。比如,尽快更新Android设备,只安装来自可信来源的应用,注意授予应用权限,使用移动安全应用来扫描设备是否存在恶意软件等。

  移动端设备安全“薄弱环节”在哪?电子科技大学教授、网络安全系主任杨浩淼介绍,智能手机等移动设备普遍存在的安全漏洞,主要包括恶意软件侵入、数据泄露、系统自身安全缺陷、软件编程错误或更新不及时等。攻击者利用这些漏洞可以窃取用户的个人信息、银行账户数据,甚至远程控制受害者的设备。

  “随着人们对智能手机等移动设备的依赖,移动设备中通常存储着大量的个人信息和敏感数据,一旦设备被盗或丢失,这些数据就可能面临泄露的风险。”卡巴斯基大中华区总经理郑启良这样说。

  360发布的《2023年度中国手机安全状况报告》显示,2023年出现的、迭代的新型简易组网GOIP、1人1包、无感盗刷远控等技术,已凸显了现阶段黑产行业的整体变革,从早期使用引导话术“麻痹”用户,到现在全方位技术“升级”,甚至可以对安全行业的反诈手段做定向绕过。比如,在推广引流方面,新型简易组网GOIP利用高频电话风控“漏洞”,绕过呼叫频率、离散度风控模型。

  从360的另一份《2023年全球高级持续性威胁研究报告》可以发现,在2023年披露的APT(高级持续性威胁)攻击所利用的0day漏洞分布中,漏洞往往集中于影响面广的浏览器软件和操作系统。其中,针对移动端系统的0day漏洞利用数量增长明显。

  AI带来的安全问题,交由AI来解决

  中国互联网络信息中心(CNNIC)最新统计显示,截至2023年12月,我国手机网民规模达10.91亿人,使用手机上网的网民比例达99.9%。另一方面,从根据中消协发布的调查结果来看,2023年,个人信息泄露问题仍然困扰着消费者,排在各类问题的首位(37.3%)。

  “移动端安全漏洞的攻击重点,主要涉及五个方面——数据泄露和隐私侵犯、恶意软件和病毒、应用程序漏洞、对设备的物理访问和盗窃、网络钓鱼和社会工程学。”谈及移动端安全问题现状,杨浩淼这样总结。

  北京长亭科技移动安全负责人张一峰介绍,移动端的系统和应用在近十几年才蓬勃发展起来。它吸收了很多PC端的经验教训,在安全性的考虑上较为完善。与PC端的安全漏洞相比,移动端的安全漏洞发现和挖掘难度较大,利用起来也更为困难。

  张一峰还进一步阐释认为,移动端的操作系统碎片化严重,除非发现安卓或苹果系统的底层通用漏洞,否则即便发现了移动端安全漏洞,影响范围相对有限,且攻击者也存在“投入产出比”的考量;同时,移动端的系统和应用版本迭代更加快速和便捷,出现安全问题后的修复相应地更为迅速。

  “新技术催生了更智能化的攻击手段。”杨浩淼提到,借助AI,攻击者可以生成批量的钓鱼邮件、逼真的语音和图像,或进行自动化的网络攻击。此外,及时识别新型应用中的未知漏洞也是一大挑战,特别是在防范0day攻击方面。

  “网络攻击的门槛越来越低,甚至开始出现对漏洞的自动化利用。”张一峰提到,新技术是矛与盾的两面体,也正在成为移动安全防护的关键工具。当前,国内众多网络安全厂商推出了安全大模型,辅助进行安全风险的分析和处置,且AI等新技术也开始被用于辅助漏洞挖掘和修复。

  “以AI对抗AI,或者说是‘以魔法打败魔法’,已经成为移动安全技术发展的必然趋势。这也体现了在新技术发展背景下,攻防双方都在进行迅速的技术进化。”杨浩淼说。

  “日用而不觉”的风险以信息安全为主

  对于风险隐患,为何“日用而不觉”?在人们日常使用移动设备时,往往不会深入了解操作系统的底层逻辑和应用程序的代码实现,一些安全隐患往往不易被用户所察觉。

  对此,国家信息中心研究员李新友这样归纳——一是应用权限滥用:许多应用在安装时会请求各种权限,比如,访问位置信息、通讯录、麦克风、摄像头等,如果用户不仔细阅读权限申请,可能会授予应用过多的权限,从而导致隐私泄露或安全风险;二是钓鱼攻击:这是攻击者常用的一种欺诈手段,可以伪造网站或应用界面,诱骗用户输入个人信息或点击恶意链接,钓鱼攻击通常通过电子邮件、短信或社交媒体进行;三是社会工程攻击:攻击者利用心理操纵欺骗用户泄露信息或执行操作的一种攻击手段,可能会假扮成客服人员、朋友、家人,诱骗用户泄露密码或安装恶意软件;四是供应链攻击:主要指攻击者攻击软件供应链,将恶意代码植入到合法的软件或应用中,当用户安装或使用这些软件或应用时就会受到攻击;五是0day攻击:很多时候在软件厂商发现和修复漏洞之前,攻击者就已经利用该漏洞发起攻击,这类攻击非常危险,且很难被防御。

  “当前移动设备对大众带来的安全问题,主要以信息安全问题为主。”张一峰认为,类似“Dirty Stream”安全漏洞,以及其他从非官方渠道或不安全来源下载应用,由于缺乏官方应用市场审查,往往带有非法信息收集甚至恶意软件问题,容易成为电信网络诈骗的源头。

  杨浩淼也强调,信息安全方面的隐患,总体上包括App后台过度收集个人信息、系统未及时更新导致的安全漏洞,以及通过公共Wi-Fi网络进行的不安全数据传输等。这些隐患都可能导致用户个人信息被不法分子窃取利用。

  “一些移动设备还可能存在物理安全隐患。比如,被盗或丢失后的数据泄露问题。虽然许多设备配备了远程锁定和擦除功能,但如果用户没有及时启用这些功能,设备中的数据也可能被他人获取。”郑启良建议,仔细阅读应用程序的权限请求,并谨慎授权;使用强密码和多重身份验证来保护账户和数据的安全性;使用专业的安全软件来保护设备免受恶意软件和病毒的攻击;启用远程锁定和擦除功能,以便在设备丢失或被盗后保护数据。此外,用户需定期检查App权限,保持操作系统和应用程序的及时更新;在使用公共Wi-Fi时,应采用加密措施来保护数据安全。(记者 李政葳 孔繁鑫 李飞)

[ 责编:刘昊 ]
阅读剩余全文(

相关阅读

您此时的心情

光明云投
新闻表情排行 /
  • 开心
     
    0
  • 难过
     
    0
  • 点赞
     
    0
  • 飘过
     
    0

视觉焦点

  • 林诗栋夺得男单冠军

  • 孙颖莎夺冠

独家策划

推荐阅读
2024年9月19日,云南省文山市小马厂城市田园综合体内,5000亩梯田水稻金黄满溢,农机轰鸣,穿梭其间加速秋收。
2024-09-19 15:44
2024年9月19日,呼和浩特市玉泉区通顺街小学学生在进行秋收作物运输比赛。
2024-09-19 15:23
“干,才是马列主义!” 中国石油大学暑期实践追寻铁人精神 “干,才是马列主义,不干,半点马列主义也没有!”“宁可少活二十年,拼命也要拿下大油田!” 以“铁人”王进喜为代表的老一代石油人喊出的铮铮誓言,激励着中国石油大学学子追寻铁人精神迈出坚实脚步。
2024-08-27 10:35
奔跑吧·少年2024年内蒙古自治区棒垒球邀请赛在鄂尔多斯市康巴什区开赛。
2024-04-20 17:03
4月2日,随着57652次检测车从南充北站5道缓缓驶出,标志着新建汉中至巴中至南充铁路南充至巴中段(以下称"巴南高铁")启动联调联试,进入工程验收关键阶段,为全线早日开通奠定了坚实基础
2024-04-03 15:11
为切实织密森林“防火网”各地组织人员巡查防火。
2024-04-03 15:11
2024年3月31日,“知音湖北 遇见浪漫孝感”春赏花活动在湖北省孝感市金卉庄园景区启动。金卉庄园花团锦簇,五彩斑斓花卉竞相绽放。人们穿梭在花海之间,享受明媚春光。
2024-04-02 15:40
2024年3月23日,由中国服装设计师协会主办的2024秋冬中国国际时装周在北京开幕。
2024-03-26 21:07
3月17日,原创独立设计师品牌SHANG1 BY SHANGYI 2024秋冬系列时装发布会在北京举行。
2024-03-18 16:39
2024年2月28日,新疆维吾尔自治区巴音郭楞蒙古自治州博湖县境内的博斯腾湖出现推冰景观。
2024-02-29 18:59
云南省曲靖市罗平县马街镇钻天坡,盛开的油菜花梯田在初升太阳映照下,勾勒出一幅田园春景图
2024-02-23 10:59
美丽的三亚湾
2024-01-20 17:42
2024年1月12日,江西省吉安市吉州区庐陵文化生态园层林尽染,色彩斑斓,市民徜徉其间,尽享生态之乐。
2024-01-13 19:43
2023年12月26日,在云南省红河哈尼族彝族自治州元阳县新街镇黄草岭村附近,游客在冬樱花与梯田边游览。
2023-12-26 15:39
2023年12月12日,新疆哈密市巴里坤县第十九届冰雪文化旅游节采冰仪式在高家湖二渠水库进行。仪式主要展示了"头冰"的开采上岸过程。开幕式上还举行迎风旗、祈福词、喝出征酒等仪式。
2023-12-13 16:08
2023年12月13日,河北省正定古城迎来降雪,古城内外银装素裹,犹如一幅淡雅的水墨画,美如画卷。
2023-12-13 15:59
2023年11月28日,贵州省六盘水市明湖国家湿地公园层林尽染,景色迷人。
2023-11-29 15:42
2023年11月28日,江西吉安长塘镇中心小学,老师指导学生剪纸。
2023-11-29 15:42
三角梅原产于巴西,现主要分布在中国、秘鲁、阿根廷、日本、赞比亚等国家和地区。其中,以海南三角梅最为出名。
2023-11-29 11:13
2023年11月23日清晨,朝霞初现,三峡库区湖北省宜昌市秭归县沿江公路G348国道的绝壁岩体上,工人们正在铺设防护网,以防止岩崩和落石。
2023-11-24 15:15
加载更多