ISC2015揭秘移动安全暗战带你掘开手

2019-05-15 04:04:59 来源: 武威信息港

9月29日,亚太信息安全领域权威的年度峰会2015中国互联安全大会(ISC2015)在北京国家会议中心召开。在下午的智能移动终端攻防论坛上,来自CORE Team、盘古团队、安天实验室、上海交大、乌云实验室、通付盾移动以及360的各位安全专家分别揭秘了移动端的安全暗战。

图1:移动安全分论坛受关注

安卓多媒体库急需止血

安卓平台的安全问题一直让用户为之感到苦恼,安卓多媒体库也总是血流不止,陷入不断的有漏洞曝出、不断的补漏循环。

7月份stagefright框架漏洞影响95%的安卓用户的消息更让友们为之震惊。来自CORE Team的两位专家,吴家志和吴磊在ISC2015的智能移动终端攻防分论坛上就深度解析和分析了此漏洞,一个彩信就能黑掉一部,并采取蠕虫攻击模式通过用户通讯录继续蔓延。吴家志提到,stagefright漏洞影响十分广泛主要由于其权限级别高。

目前,CORE Team的两位专家还在不断研究此漏洞。他们提到,通过研究stagefright框架漏洞,CORE Team还发现了安卓多媒体库中的其他漏洞,其中3个已被谷歌认定为高危漏洞。但是,直至本日stagefright漏洞还未完全被修复,想要为安卓多媒体库止血需要在不断发现、修复漏洞中完善,相信日后安卓平台代码审核机制也会更加严格。

一根数据线也能攻破安卓

图2:ISC2015移动安全论坛专家齐聚

在智能移动终端攻防论坛上,各位佳宾除带来技术讲解外,现场实验更让气氛活跃。为了让大家意识到移动安全问题就在身边,360高级安全研究员周亚金事先准备了一个存在危险的二维码,观众在扫二维码后相关信息即被获得并显示在了屏幕上。

其实不仅一个二维码,址链接、数据线都可能造成安全问题。360高级安全研究员周亚金首先解析了如何利用一条数据线攻破安卓系统,到达控制用户、窃取隐私的目的,周亚金表示这一切的始作俑者就是能影响所有安卓系统版本、被谷歌认定为高危漏洞的JDWPExposed。

iOS从来都不是安全

29日下午的智能移动终端攻防论坛上,盘古团队首席科学家王铁磊的演讲以XcodeGhost事件作为开场,一一解析了影响上亿iOS用户的XcodeGhost带来的危险。王铁磊表示,非官方的XcodeGhost在编译生成APP的同时植入额外代码,新增代码可搜集和上传用户部分隐私数据,也具有伪造弹窗、分发广告等。

XcodeGhost事件后,苹果的安全神话不再。王铁磊表示,iOS从来都不是安全的,从0防护到安全措施在逐渐完善,其中安全威胁一直存在,iOS8.2、iOS8.3等都存在未被保护的区域。

移动端安全防护不容忽视

ISC2015移动安全分论坛上,上海交通大学博士生导师束骏亮也带来了他的研究成果。众所周知,在PC端,磁盘数据安全已是很经典的战场了,而在移动平台上,存储敏感数据成为如今趋势。束骏亮提到,目前个人磁盘的攻击价值已经远超个人电脑。90%的安卓设备磁盘数据都面临泄露风险,这就关系到个人隐私、财产安全问题。

图3:移动安全分论坛现场 专家演讲

对此,束骏亮提到,为避免风险,安卓用户需尽可能将设备升级至版本,在抛弃旧前确保使用正确的recovery进行恢复出厂设置,擦除磁盘数据。而作为设备制造商或ROM开发商,束骏亮呼吁引入加密芯片来支持上层全磁盘加密,或提供安全擦除接口的磁盘芯片。对用户的基本安全,厂商需要提升底线和门槛。

除了漏洞,我们了解到,病毒也是移动端的顽疾。安天移动安全公司总经理潘宣辰在移动安全分论坛上带来了移动反病毒工程化体系中的降维思惟主题演讲。

安天移动安全公司主要在反病毒引擎工程、自动化技术和病毒防御方面做出努力。潘宣辰提到,在整个对抗能力体系建设时,他的团队将恶意代码分为3块:传播类相干的(通过离线分发进入用户或是以传播手段进入而后长期潜伏,如家黄色软件)、攻击目的高度相关的(此类恶意代码攻击手段呈现出多样性的特点,代码结构差异化也非常之大)、价值和目标高度相关的(如通过伪基站短信完成套现、窃取信息等类型的恶意代码)。经过多年研究,安天移动安全公司构成工程体化的体系来进行反病毒工作,分别从以上三点出发投入技术资源及战略布局,提升对恶意代码的对抗能力。

29日下午的智能移动终端攻防论坛的,乌云实验室高级高级研究员王晖及来自通付盾移动安全的研究员宋超,分别发表了题为OAuth协议安全分析以Android平台为例和移动互联时期的源码审计和保护技术(Android篇)的演讲,我们认识到,移动互联发展至今日,移动端的安全防护措施还未遇上移动互联发展的脚步。

不过谈及移动互联的存在问题,诚如宋超所言:如果没有移动互联,我们就没有与传统安全强国分庭抗礼的机会。移动互联纵然存在不可忽视的安全问题,但也给世界带来更多机会。

2015中国互联安全大会作为亚太地区信息安全领域范围的年度安全会议,聚焦国家络空间安全、信息安全产业发展、物联安全、移动安全、数据安全、新兴威胁、软件安全等热门话题。相信随着全球安全团队、安全专家、研究学者和安全厂商的不断努力,络安全问题终会趋于完善。

月经量多贫血怎么治疗
什么中药治痛经
痛经吃什么中药止痛
本文标签: