你眼中的安全就是真正的安全嗎?
來源:界面新聞
作者:饒文怡
當你以為你的移動電子設備已經做好了所有的安全防護措施,萬無一失的時候,在黑客以及技術安全人員的眼中,漏洞依然無處不在。
來自德國柏林安全研究實驗室(Security Research Labs)的首席科學家 Karsten Nohl應該對這一點深有體會。大部分用戶日常使用的安卓手機系統,在他看來,安全性始終不能得到很好的保證。
這是由于,大部分用戶對于安卓系統的特性依然不熟悉,因此自然沒有辦法很自在地使用。各種條件的作用下,相比于封閉性更高的iOS系統,安卓系統更容易受到外來的攻擊。
比如說,2015年,安卓平臺上Chrome瀏覽器的一個安全漏洞就被發現,會允許攻擊者獲得受害者手機的全部管理員訪問權限;今年年初,一個名為“應用克隆”的攻擊威脅模型以短信、二維碼、新聞頁面等方式誘導用戶進行消費行為,安卓平臺上的支付寶、餓了么等應用都受到了攻擊。
在這樣的基礎上,用戶對于安卓系統的安全補丁了解不多,也就只能夠使用不同軟件廠商提供的安全補丁,但這些補丁的防護能力并不完善。
手機廠商們也似乎并沒有試圖改善這一局面。Karsten Nohl發現,部分廠商并不會為用戶提供及時的補丁更新,讓用戶的手機固件升級到最新版本;更有甚者,一些手機廠商還會屏蔽軟件更新的提醒。這對于手機的系統安全始終是一個隱患。
這是在香港舉行的AsiaSecWest 國際安全技術峰會的其中一個論壇內容。AsiSecWest由在加拿大舉行的CanSecWest發展而來,后者被視為是全球范圍內最老牌的安全技術會議之一。這一屆的AsiaSecWest,也是會議第一次在中國國內舉辦。
和一般的黑客大賽不同的是,AsiaSecWest的競賽色彩并不濃厚,這更像是一場黑客和安全專家之間的技術交流論壇。日常我們最頻繁使用的一些軟件,盡管看起來萬無一失,但實際上,只要這些專家愿意的話,幾行代碼的加入,就可以完全獲取對這些軟件的控制權。
除了上面提到的安卓系統之外,我們日常使用的瀏覽器也存在著一些難以察覺的技術缺陷。而安全技術人員們也在這次會議上進行了相關的展示。
騰訊安全玄武實驗室發現,微軟為網頁瀏覽器開發的JavaScript引擎中,依然有部分漏洞;這些漏洞可能會被不法人士使用,從而繞過現有的瀏覽器防護,從而掌控對設備的控制權。
如果說安卓系統和網頁瀏覽器本身對外交互頻率高的屬性提升了它們的受攻擊概率的話, Adobe Flash易受攻擊,則是因為這款軟件的強工具屬性。
來自荷蘭埃因霍溫科技大學的Bjorn Ruytenberg在會議上介紹稱,由于Flash是操作系統和包括Office、PDF閱讀器、網頁瀏覽器等各種軟件之間的連接器,這讓它也成為了攻擊的對象。他于去年在Adobe Flash中找到了兩個沙盒漏洞,這些漏洞使得黑客能夠獲取用戶儲存在電腦中的本地數據。
除了展示各自找到的技術漏洞之外,在AsiaSecWest上,來自全球各地的專家也會針對目前行業內的新趨勢,探討可能出現的安全技術趨向。包括物聯網、AI等,都是這次會議上討論的主題。
無論是AI技術,還是物聯網,它們的落地在很大程度上都要建立在大數據之上。因此,對于數據的保護也成為了重中之重。
對此,CanSecWest創始人Dragos Ruiu表示,AI技術的發展目前還在比較初始的階段;隨著智能程度越來越高;技術人員對于安全性會提出相應程度的重視。
但在最近,圍繞數據安全出現的爭議卻屢見不鮮。3月底,Facebook的“數據泄密門”事件大規模爆發,超過8700萬名Facebook用戶的個人資料被盜取。
而在國內,百度CEO李彥宏在“中國高層發展論壇”上則表示:“我想中國人可以更加開放,對隱私問題沒有那么敏感,如果他們愿意用隱私交換便捷性,很多情況下他們是愿意的,那我們就可以用數據做一些事情。”這句話也引發了軒然大波。
技術的進步也因此意味著,安全技術人員們在未來將會面對比如今復雜得多的數據保護環境。騰訊安全聯合實驗室玄武實驗室負責人于旸在這次會議上就提到,在萬物互聯之后,技術人員要面對的聯網設備數量將會出現倍數級增長。
“當聯網的設備數量達到10億級別的時候,安全問題就不能僅僅依賴工作人員,而是要借助技術本身的力量。”他表示。
換言之,在未來針對AI等技術的安全防護上,技術人員可能還要引入這些新技術來作為防御手段。于旸就認為,在未來,信息安全和AI等技術之間的關系一定會非常緊密。可以說,技術不僅僅會成為人們解決網絡問題的工具,也有可能會成為解決自身缺陷的工具。
“掌”握科技鮮聞 (微信搜索techsina或掃描左側二維碼關注)
