老将李伟：我所见证的移动安全历史

李伟设计的系统，简单来说就是用尽可能准确的诸多行为模型对大量的 App 进行筛查。在2011年的时候，这个系统一天会筛查几万个文件。而为了保证准确性和改进系统，还会有大量的人工复检。“大概每个人每天要审计好几百个 App 的代码”，李伟回忆。

让李伟欣慰的是，这些辛苦没有白付，优化了一年之后，在2012年腾讯的手机病毒检测能力终于到了国内领先的水平，而且在一次国际测评中拿到了满分的成绩。

除此之外，李伟对于初期杀毒引擎的设计一直不满意。用他的话说，设计的“有点糙”。

例如一个游戏的安装包可能达到80M，在手机上的杀毒引擎就会把这80M的文件全部放到内存中，再进行检测。这种处理方法会占用很多内存，而且检测的时间很长。

我们设计了一种方法，向系统申请很小片的内存用于病毒扫描。一个80M 的 APK 安装包里，很可能真正的代码只有 4M，其他的都是资源和图片。这种情况下，只需要把可能包含恶意程序的代码部分放到内存里检测就可以完全实现病毒查杀。

这个原理听上去很简单，对于实验室的技术水平来说，实现起来也并不复杂。事实证明，他们用这种技术，实现了杀毒速度十倍的提升。团队发现，他们发明的这项技术已经走在了病毒查杀的前列，所以还专门申请了专利。“这导致竞争对手必须采用其他的技术路线。”李伟说。

深夜追凶

虽然整个中国的手机杀毒软件技术在飞速进步，但是在利益的驱使下，恶意软件的蓬勃之势丝毫没有减弱。李伟向雷锋网讲述了在2012年，他遇到的最为奇葩，最为忍无可忍的恶意软件。

【2012年，Android 系统恶意软件的分类情况】

病毒检测系统捕捉到了一个恶意程序，我们照例对它进行人工筛查。我们发现这个病毒会在微信等流行的程序上面覆盖一层窗口，恶意推广它的广告，诱导用户下载其他 App。可恶的是，它还会有一些交互的按钮，给用户的感觉就像是微信在推送这些广告一样。更可恶的是，它还会根据入侵的 App 不同，改变按钮的风格，让用户觉得浑然一体。

做了很多年反病毒工作的李伟觉得忍无可忍，黑客居然躺到了自家微信的门口“为非作歹”。更可怕的是，通过利用 Android 的系统权限，这个病毒可以获取很多用户的隐私信息。

李伟和团队经过分析恶意软件的代码，发现了它用于控制和回连的服务器地址。而经过公开资料的查询，居然很容易就定位到了病毒作者的真实姓名和地址。和上层沟通之后，腾讯决定报警。

从发现病毒，到分析研究，定位犯罪分子，到报案出警，所有的事情都发生在一天之内。我记得当天深夜，公安需要团队出人连夜去江苏配合办案，我们团队的人有很多都没有把身份证带在身上。好在有带了身份证的同事，都没有来得及回家，就直接买票去了江苏。当天就把犯罪分子缉拿归案了。

现在想起这个“深夜追凶”的故事，李伟仍然难掩内心的波澜。对于大部分的病毒，杀毒软件只能做到拦截和查杀，但是像这次一样斩草除根的行动并不多。对于他来说，做手机安全十多年，眼前的场景让他坚信了自己工作的价值。

保卫 App

2013年，李伟注意到了一个特别的趋势，那就是很多病毒不再把注意力集中在 Android 系统之上，而是直接“搞 App ”。有了这个想法之后，李伟开始研发一套监测 App 漏洞的系统，并且本能地对自家的微信等 App 进行测试。这一查不要紧，他确实发现了自家产品存在很多问题，这让团队惊出一身冷汗，紧急对微信等核心产品做了修补。

于是李伟注意到，“应用安全”很可能是未来一个非常重要的安全方向。于是他把移动安全实验室的工作重心放到了“应用漏洞”的研究上。

相比攻击 Android 系统，攻击 App 的成本很低。而且 App 和用户最近，里面有很多个人的信息。这些都是黑产最为关心的。通过入侵 App 拿到个人通讯录或者关系链，比入侵系统之后再拿这些数据要简单得多。

李伟说。

对于一个 App 来说，最常见的漏洞有以下几种情况：

1、很多 App 中会使用 Webview 内嵌浏览器，如果安全机制做得不够，这里就有可能成为攻击入口。用户通过 Webview 打开一个恶意url，就会执行远程攻击代码。

2、一些 App 也可能通过自身的协议联网。在这种情况下，黑客可以通过“中间人攻击”或者“伪造服务器”的方法，向客户端发送恶意代码。

3、在 Android 系统中存在一个 App 之间的相互调用机制。如果调用接口安全性不高的话，App 1 就可以利用 App2 执行一些恶意代码，从而窃取 App 内的隐私信息。

通俗来说，如果一个聊天 App 被攻击，那么很可能受害者扫一下二维码，就被盗取了他的通讯录和关系链，而如果漏洞厉害的话（这样的漏洞也屡次被发现），是可能跨 App 攻击的。

他告诉雷锋网，从某种程度上来说，找到 App 的漏洞比找到操作系统漏洞更难，因为攻击需要入口，而 App 对外开放的接口，远没有操作系统对外开放的接口那么多。他说：

App漏洞利用和系统漏洞利用不同。

系统的使用者是 App， App 可能调用所有的系统接口。

而 App 的使用者是人，人一般只会使用有限的几个接口，例如：网络访问、语音、扫码、信息键入。

所以我们只能通过这些接口做文章。

李伟的 App 漏洞挖掘思路，在某种程度上和腾讯的另一位大牛，研究系统漏洞的吴石有些相似。

这种输入特定数据的方法，本质上是虚拟执行。我们必须从这些接口输入特定的数据，造成 App 的运行错误，从而发现和利用漏洞。

数据输入动作很大程度上是自动化的。我们根据经验发现 App 的薄弱环节，然后利用自动化的工具生成一些极端的数据，以此来观察 App 的不同反应。

隐形的对手

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!