Android平台上的安全问题与其他平台上的有何不同?

Android平台上的安全问题与其他平台上的有何不同?的照片 - 1

我本人目前从事渗透测试(Penetration)、安全应急响应(Cert)、数字取证(Forensic)业务,所以会尝试从多角度进行分析。比如在《Android恶意代码分析与渗透测试》中,我既讲解了恶意代码分析、介绍了渗透测试漏洞分析,也从数字取证分析角度讲述了如何获得移动设备内置信息。其实Android恶意代码分析、Android移动渗透测试、Android数字取证分析等的区别仅在于研究方法,他们使用的技术是相同的。

Android平台上的安全问题与其他平台上的有何不同?

Android平台延续了用户非常熟悉的基于Linux内核的开源政策,而且在世界范围内得到最广泛的应用,随着IoT环境的普及,这个比例会更惊人。Android平台正在为用户提供很多便利,安装应用时,用户可以随意控制,rooting时也很方便。虽然金融界和游戏服务都在强化安全功能,但如果用户稍感不便,他们就会降低安全度,将所有问题归结于用户的责任。保证用户便利的同时强化安全,这是开发人员的共同使命,但并非易事。

人们认为Android比iOS更易成为安全隐患也正是因为使用Android手机的用户越来越多。攻击者想获取更多的用户信息,所以更关注Android。如果iOS的用户也增多,那么攻击者也会更多地研究iOS(近来针对iOS用户的恶意代码也发布了很多)。

对安全而言,众多领域中只要有一个被打破,那么所有领域都会受到同样的威胁。Android今后也会保持开源政策,但各制造商应加强系统防御,Google也会逐渐强化安全。因此我认为,安全得到保障的同时,用户体验并不会受到影响。

现在,企业如果不重视安全问题,那么黑客攻击或感染恶意代码就有可能导致“一夜回到解放前”。最近,勒索软件(Ransomware)正在急速扩散。过去只要将感染恶意代码的PC终端断开网络,备份文件后格式化或杀毒即可。但勒索软件对PC终端的所有重要文件加密后,我们无法解密,甚至会对具有写权限的所有网络共享文件造成危害。积攒数十年的公司资产可能一瞬间就化为乌有,令公司难以为继。我们需要动员所有安全领域的监测力量,研究这个恶意代码是通过什么路径进行渗透的。另外,还必须监测/拦截外部试图入侵的众多攻击。安全是公司经营中必不可少的项目。以前那种遭到网络攻击后一带而过的时代已经结束了,包括安全负责人在内的所有员工都应当逐步开展安全工作。

有人提出这样的观点:学习新技术能够获取更大的利益,学习安全方面的知识却未必会带来经济价值。对于“学习安全方面的知识未必会带来经济价值”,我是有不同意见的。无论哪个领域,仅满足于公司月薪的话,那么其价值也不过就是公司年薪而已。国外很多国家都鼓励举办黑客大赛并积极推进人才培养计划,政府也给予很多投资。从事安全工作的人应当灵活运用这些资源,通过多种活动将市场中的价值变为自身价值。

Android平台上的安全问题与其他平台上的有何不同?的照片 - 2

  • 测试:怎样判断一个应用是否安全?

与我们诊断Web服务时使用的方法一样,在诊断Web服务时,同时检查服务器和终端PC中发生的变化,从而找出漏洞。此时可以参考OWASP TOP 10或SANS发布的诊断指南,或各机构发布的指南。

Android平台上的安全问题与其他平台上的有何不同?的照片 - 3

在移动应用诊断时,诊断的则是服务器移动终端中发生的变化。OWASP TOP 10也发布了检查项目,可以对照参考进行测试。而金融界需要保护的用户资产数据很多,应当安装并重点检查应用安全解决方案。

作为一个Android用户和一个程序员,我在考虑移动安全时,总使用与用户终端PC一样的方法。终端PC中,为了不感染恶意代码,我们要拒绝访问可疑网站,不安装可疑文件。移动环境也是如此,尤其不要下载可疑文件,也不要安装贴吧中附带的应用(APK)。另外,应当安装可信赖的杀毒软件进行预防。

最近,一款名为“Brain Test”的恶意程序攻破了Google Play应用商店,波及上百万Android用户,而Brain Test很难被彻底删除。Google应用商店也有防止恶意代码注册的系统,如果连这个系统都绕过了,那么用户确实束手无策。最好的方法就是在移动终端安装杀毒软件,定期升级固件。从企业角度讲,需要引入完整性验证解决方案,实时监测并拦截用户运行的应用。

  • 企业:社会工程防范应得到重视

根据我在证券公司负责安全工作的经验,在安全体系中,技术手段防范与社会工程防范二者是同样重要的。现在很难预测恶意代码将会感染什么地方,社会工程攻防技术往往源于恶意代码,因此,员工安全意识诊断(电子邮件恶意代码应对培训等)的持续安全活动很重要。在“员工访问的所有网站都可能通过DBD(drive-by download)攻击感染恶意代码”的假设下,需要365*24运行控制监测业务。另外,应当时刻关注最新热点,提前掌握与自己公司服务相关的攻击技术,进行事前拦截。

Android平台上的安全问题与其他平台上的有何不同?的照片 - 4

移动环境今后会有更长足的发展,IoT环境也在蓬勃生长。不仅是移动终端,家中的所有事物都将与移动设备连接。那时,更多基础设施将得到建设,人们也会使用更多应用。我们应当继续监测移动环境中可能发生的威胁,加深研究。与其学习如何分析一两个应用,不如构建可以自动分析大量应用的系统环境,深入研究高效的诊断方法。

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: