2011年9月《安全天下事之手机是怎样变成的》
手机是怎样变成的
(2011年9月)文/江海客
本月影星Scarlett Johansson的半裸照开始在网上传播,当事人已经向FBI报案。看起来这只是今年3月传出的好莱坞多名影星的电子邮件账户等遭到入侵事件的延续,但一篇未经确认的分析已经在网上开始流传,即一部分攻击可能源于攻击者在机场设置了仿冒基站或AP,并以此为手段将劫持到的手机引导到一个仿冒的iOS注入的页面。这算是给本月非常火热的移动安全话题再度加入了一些佐料。
本月多家传统IT平面媒体开始关注移动安全问题,其矛头直指各种恶意的应用,这说明手机安全问题已经逐渐浮出水面。
就像当年的桌面反病毒需要把大量非官方预装版的天生可能带有安全漏洞和流氓软件的系统版本作为一个既定事实来看一样,手机安全厂商亦面临着大量水货智能机的非地下灌装版本的倾向,而更尴尬的是,恶意代码和流氓软件一经刷入,就变成通过一般方式无法卸载的东西。而其和安全软件反而处于权限不对等的局面当中。而看起来为了获取更高的装机量,似乎手机安全软件的发布者也需要和这些地下OS来进行某种交流。这种大陆产业独有的怪像值得思索。
本月笔者分析了这样一个有趣的应用,某个“地下电子市场”的实现,这是一个仿冒Android Market的应用。但其原理十分有趣,其自身并非是一个直接的恶意扣费、刷流量等的程序,而且数据获取源确实来自Android Market,改变的就是Android Market的排名,其可能把自己提交的、或者向其支付某种费用的应用,排在前面,而大部分是一些中文书籍和成人软件,而这些软件确实是在Android Market提交成功了的。这样就不存在会被手机提示是否安装非Android Market获取的程序的问题。同时,其还套取了用户登录Android Market的账户,之后可以再利用这个账户完成类似给某个软件好评的工作,从而形成一个体系。
这种应用的存在,比目前国内出现多个第三方电子市场,还要危险,因第三方电子市场为了保证自己的信誉,往往还要承担一定的安全审查责任。但这种“地下”电子市场,则完全归于与地下经济的产业链条,只要其装机量足够大,任何一款带有恶意应用或者提权的软件,在通过Android Market并不严格的安全审查后,无论其多么不知名,都可以通过这种地下市场的推荐达到很高的装机量。而过去我们在评价类似Android Market遭遇恶意提交时,并没有考虑到类似事件的影响,Google也看似做出了应对,但其应对是否能到达这种用户呢?从安全的角度来看,这不仅是一条不可控的通道,而且还具有“放大器”的价值。
综合来看,手机安全的尴尬是因其面临过长的不可控的产业链条,从被曝光的某固件厂商问题,到其预装、零售的环节,有大量不可靠不可控的节点,而从传统非智能机市场的大量ICP来看,其驾轻就熟的恶意扣费线路也必然将与智能机合流。而其安全态势的威胁则更多不是面对传统PC平台早期的病毒、蠕虫、木马等,而是直接和应用进行合流。攻击者扮演着应用篡改者的角色,或者就是扮演着应用开发者的角色。
而同时传统PC的安全威胁和手机安全威胁的合流化趋势也十分明显,如基于autorun和sync等机理进行跨平台的交叉感染;和Zeus(PC端)+Zimto(手机端)的组合来讲用户的网银账号、密码与手机确认码采集在一起来完成恶意行为。
当然手机安全虽然是热点,但不是唯一的热点,本月大量曝光的CA问题,让安全工作着有数字签名体系正在崩塌之感,uTorrent软件也一度被替换为假冒反病毒软件的恶意程序。而Linux kernel服务器被入侵,导致者Linus Torvalds进行了源码“搬家”工作。
如果整个世界已经是一座燃烧的库,那么手机变成也是必然。而本月让我感觉欣慰的一件事情则是,由于利用防盗软件获取自己丢失笔记本使用者的照片等信息并张贴。
因而开发防盗追踪软件的公司、失主和警方都被购买了这台“2手”笔记本的使用者起诉。法院的判决是——虽然软件开发者可能在帮助校区追回手提电脑方面有着高尚的目的,但是“一个明理的陪审团发现他们越过了非法边界。”
安全工作者从不是世界的拯救者,只有在法制精神持续得以伸张,隐私权利持续受到尊重的大前提下,他们才能是勇敢的排雷工兵,而不是炮灰。
作者微博:http://www.weibo.com/seak
历史各期安全天下事:http://blog.csdn.net/antiy_seak
2011年9月《安全天下事之手机是怎样变成的》相关推荐
- 2011年9月《安全天下事之手机是怎样变成手雷的》
手机是怎样变成手雷的 (2011年9月)文/江海客 本月影星Scarlett Johansson的半裸照开始在网上传播,当事人已经向FBI报案.看起来这只是今年3月传出的好莱坞多名影星的电子邮件账户等 ...
- 今日微语早报简报 精选12条新闻摘要 每天一分钟 知晓天下事 3月22日
今日新闻早报 微语简报12条 每日新闻晨报 每日精选12条新闻简报 今日微语早报--365资讯简报,每日精选12条热点新闻,每天一分钟,知晓天下事! 2021年3月22日 星期一 农历二月初十 1.联 ...
- 每日新闻摘要 每天精选12条新闻简报 每天一分钟 知晓天下事 5月13日
今日新闻摘要|每日新闻摘要|每日简报|热点新闻简报|一分钟简报|每日早报精选12条新闻简报 今日早报--365资讯简报,每日精选12条热点新闻,每天一分钟,知晓天下事! 2021年5月13日 星期四 ...
- 今日早报 每日精选12条新闻简报 每天一分钟 知晓天下事 9月24日
今日早报--365资讯简报,每天精选12条热点新闻简报1条微语,每天一分钟,知晓天下事! 2021年9月24日 星期五 农历八月十八 1.我国研发全球首个对多种变异株均有效的疫苗. 2.延迟退休真的要 ...
- 今日早报 每日精选12条新闻简报 每天一分钟 知晓天下事 8月13日
今日早报|每日晨报|每日简报|热点资讯简报|一分钟资讯简报|每日早报精选12条新闻简报 今日早报--365资讯简报,每天精选12条热点新闻简报1条微语,每天一分钟,知晓天下事! 2021年8月13日 ...
- 今日简报 每日精选12条新闻简报 每天一分钟 知晓天下事 4月23日
今日新闻早报 早报简报12条 每日新闻晨报 每日精选12条新闻简报 今日早报--365资讯简报,每日精选12条热点新闻,每天一分钟,知晓天下事! 2021年4月23日 星期五 农历三月十二 1.国办发 ...
- 今日新闻早报 精选简报12条 每天一分钟 知晓天下事 2月3日
今日新闻早报,365资讯简报,精选热点新闻简讯12条,每天一分钟,知晓天下事! 2021年2月3日 星期三 农历腊月廿二 今日立春 1.交通运输部:6周岁以下或者身高1.2米以下,二者之一可享儿童票. ...
- 今日早报 每日精选12条新闻简报 每天一分钟 知晓天下事 2月17日
今日早报,365资讯简报,每日精选12条热点新闻,每天一分钟,知晓天下事! 2021年2月17日 星期三 农历正月初六 1.最高检:强迫性劝酒.未将醉酒者安全护送等4种劝酒出事要负法律责任. 2.河南 ...
- 今日早报 每日精选12条新闻简报 每天一分钟 知晓天下事 7月11日
今日早报|每日晨报|每日简报|热点新闻简报|一分钟简报|每日早报精选12条新闻简报 今日早报--365资讯简报,每天精选12条热点资讯简报1条微语,每天一分钟,知晓天下事! 2021年7月11日 星期 ...
最新文章
- 城市大脑全球标准研究1:城市大脑产生的时代背景是什么?
- JavaScript 调试
- leetcode1721. 交换链表中的节点
- B. Make it Divisible by 25
- Win11如何使用多桌面功能?Win11使用多桌面功能的方法
- Multisim14.0详细安装教程图文
- 计算机程序试题答案,历年计算机软考程序设计模拟试题及答案
- excel 图表 保持矢量图格式 粘贴进word
- HTTP协议5之代理--转
- 求一个方阵的主对角线及次对角线的和(C语言)(二维数组)
- AGV调度系统解决方案
- 手机您的浏览器不允许第三方_手机壁纸:我的世界不允许你的消失,不管结局是否完美...
- 新Macbook入手后必安装的好用的软件
- 如何定义项目生命周期?
- 数据库简明教程-高琪-专题视频课程
- 运用四色建模法进行领域分析
- 想要成为一名优秀的程序员,这十八招必看
- Pandas+Pyecharts | 上海市餐饮数据分析可视化
- vue3 watch 和watchEffect()
- linux那些事之page fault(AMD64架构)(1)