对于移动互联网而言,2017是充满挑战的一年。2017年5月,以WannaCry为代表的勒索病毒肆虐全球,并逐步向移动端转移;数据泄露问题加剧,仅2017年上半年全球被盗数据就已超过2016年全年被盗数据总量;2017年也是有史以来遭遇网络攻击最多的一年,移动平台成为主要的攻击对象之一......
2017年已经结束,但以上这些威胁并不会随之消逝。反之,2018年的移动互联网将面对更为复杂多变的安全形势。蓝盾移动通过对2017年安全状况进行深度总结,结合前沿的移动科技动态,提出2018年移动安全几大发展趋势,希望能为业界提供一定的参考建议。
一、AI技术成为移动安全的“药”与“毒”
1、AI技术将推动传统网络安全行业技术变革
近年来,AI(人工智能,Artificial Intelligence)得到了愈加广泛的重视,机器学习被应用于网络安全领域也成为重要趋势之一。据P&S最新的市场报告预测:人工智能在未来的安全体系中将扮演不可或缺的角色,到2023年,全球人工智能安全市场的总体价值将达到182亿美元,其中以亚太地区市场增长最快。
被应用于网络安全领域的AI技术也将极大助益移动互联网安全。AI技术通过机器学习,极大提高了识别安全威胁的准确度,以及移动安全机制的应激反应速度,促进经济发展的同时有效维护网络安全。目前,谷歌就正在利用机器学习技术对安卓系统上运行的移动终端威胁进行分析,以及在受感染手机系统上识别和移除恶意软件。
2、AI技术带来全新而严峻的安全挑战
AI技术作为正在发展中的新兴科技,本身存在不少安全隐患,且安全保护机制尚未形成,安全现状严峻。其中,汇丰银行的语音AI安全系统Voice ID就曾被一对双胞胎兄弟通过模仿彼此声音成功访问对方账户,在此之前汇丰一直声称它和指纹 ID 一样安全;苹果iPhone X的FaceID 面部识别发布时被称为目前最安全的AI激活方式,却也被3D打印的面具和一对双胞胎相继打脸。
新兴技术一直是一把双刃剑。AI技术在为网络安全领域注入新鲜血液的同时,也带来了新的安全威胁——网络犯罪分子通过AI技术实现自动化漏洞检测和网络攻击。AI技术被不法分子广泛应用,在提高攻击规模和攻击效率的同时,降低了攻击成本,这将促发更多的网络攻击行为和安全事故。
二、BYOD移动办公的发展带来新的安全威胁
随着移动办公观念的深化,BYOD(Bring Your Own Device,携带自己的设备办公)已经成为主流的办公模式之一。但与移动办公场景的日趋普遍不相符是,BYOD模式的“私机公用”背后潜伏着巨大的安全威胁。
与传统办公设备不同的是,个人移动设备本身存在较多安全漏洞,用户本身对设备的安全维护意识不足,工作机密企业隐私的安全堪忧;但出于隐私考虑和使用方便,员工对企业要求安装的EMM(enterprise mobile management,企业移动管理)工具较为抵触。
另一方面,当移动设备被赋予工作用途,对于续航、CPU和内存的要求自然有所提高,员工对于EMM工具等不具备明显工作意义,却占用了一定的设备资源的应用程序比较反感。
如何调整移动安全策略以及安全工具,以满足企业和员工在安全和使用等多方面需求,是2018年移动互联网安全需要关注问题之一。
三、物联网成为争夺隐私数据的新战场
物联网的普及正在让人们生活变得更智能。小到运动手环,大到汽车飞机,物联网在不断尝试为人们的日常生活提供更多便利时,也通过移动互联网将安全威胁带入到日常生活场景中。
2017年,国内智能摄像头重大安全隐患被曝光,市面上超过八成的智能摄像头可被轻易破解;儿童智能手表频曝安全隐患,黑客可定位孩子位置并与孩子通话......
物联网是移动互联网络的延伸与发展,受到互联网本身存在的安全隐患的影响。同时,物联网另一端所连接的生活场景,正将个人生活隐私无遮无掩地摊开在黑客眼皮底下。
另一方面,开发者对物联网安全隐患认识不足,相关安全认知仍停留在传统互联网层面,对物联网带来的新的安全威胁无所察觉。
四、勒索病毒攻击方向转向移动互联网
据美国安全公司 Carbon Black发布的2017年勒索软件调查报告显示,与2016年相比,2017年暗网经济中勒索软件的市场规模猛增2502%。这一威胁在2018年同样不容忽视,勒索攻击仍会是2018年主要的网络犯罪手法之一,其攻击对象开始转向移动互联网。
勒索病毒攻击具有成本低、范围广、回报高等特点,吸引了大量以经济回报为目的的犯罪分子涌入。而安全防护机制还在建设阶段的移动互联网安全防护较弱,攻击门槛较低,或将面临攻击情况更为复杂、覆盖范围更广、影响更严峻的攻击。
而另一方面,勒索病毒也在不断“成长”。勒索病毒类型在不断增多,病毒的免杀和传播能力也越来越强,潜伏和定向攻击能力也越发突出,这些变化大幅提高了移动互联网的防护难度。
五、挖矿蠕虫入侵安卓移动设备
以比特币为代表的虚拟货币在2017年出尽风头。2016年还不到1000美元的比特币在2017年一路高涨,截至2017年12月,比特币突破14000美元大关,一年间涨幅超过1400%。在此背景之下,2018年的互联网仍要面临以攫取虚拟货币为目的的网络攻击。
除了勒索攻击,挖矿程序也是获取虚拟货币的主要途径之一。为运行特定算法以挖到更多“矿”,不法分子打起了防范较为薄弱的移动设备的主意。
2018年2月全球首度爆发安卓挖矿蠕虫,24小时内就有5000部设备被病毒感染,中韩两国成重灾区。这是安卓平台首次大规模爆发挖矿蠕虫,有一定的标志意义——移动设备已经成为不法分子恶意挖矿的新目标。
六、移动支付深化 安全威胁剧增
虚拟货币让一众黑客趋之若鹜,现实资金也不示弱。近年来,全球移动支付高速发展,其中以支付宝、微信支付等为首的中国移动支付事业发展飞速,一部手机走天下成为现实。据工信部数据显示,截至2017年10月底我国移动支付交易规模近150万亿元,居全球首位。
移动支付发展前景固然备受期待,但随着移动支付的日愈普及,安全风险也在不断攀升。移动支付通过移动互联网将资金账户与移动设备进行连接,一方面不法分子可通过各种手段控制用户手机,窃取用户个人隐私进行精准诈骗,而移动支付的方便快捷提高了诈骗效率和成功率,加大了被骗资金拦截和追回难度;
另一方面,针对移动支付类病毒继续泛滥。不法分子利用非法渠道获得的个人隐私信息,通过支付类病毒入侵窃取用户短信验证码进行转账。
此外,支付类APP的安全现状也令人担忧。据工信部针对中国银行、建设银行等国内多家大型商业银行的调查显示,国内Android端手机银行APP普遍存在高危漏洞,黑客可通过一定的技术手段劫持用户设备,获取并修改用户转账信息,从而非法窃取用户账户资金。
七、移动安全走向规范
2017年6月《中华人民共和国网络安全法》(下称《网络安全法》)正式落地,移动互联网安全进入有法可依的阶段,《网络安全法》在法律层面确定了运营方的安全责任。《网络安全法》实施不满3月时便启动执法检查,执法之快,监察之严皆属首次,腾讯微信、新浪微博等、今日头条等多个主流移动平台因未尽到管理义务而被立案查处。这给互联网行业敲响安全警钟的同时,也有效肃清移动互联网的各种违法违规行为。
另一方面,以国家立法为契机,等保2.0中正式提出了移动APP等级保护的要求。此举一方面说明了移动APP的安全保护已得到国家层面的重视和支持,安全地位跃升;另一方面,以移动APP为代表的移动互联网的安全审核标准得到统一,安全准入门槛被抬高,2018年移动安全已开始走向规范。
