黑客教父龚蔚演讲：钓鱼WiFi 也能照用不误

很久很久以前，网络安全没现在这么复杂。移动互联网时代骤然来临，如同一声响雷，移动安全威胁也像狂风骤雨一般接踵而至，人们没反应过来就已被淋得浑身湿透。这一切都看在龚蔚的眼里。这位安全界的元老级人物见证过中国网络安全的发展，也经历了移动安全从蛮荒时代到多样化威胁的变迁，对于移动安全，他有着自己的思考和安全之道。

作为 WiFi 万能钥匙的首席安全官，goodwell 龚蔚在 3月7日 WiFi 万能钥匙举办的安全之道线下沙龙，和观众们聊了聊他看到的移动安全变迁，以及他们为之所做的努力。以下是演讲内容，小编整理发布（其中小标题为小编()编辑所加）：

早期移动安全的威胁主要来自于系统层面。那时系统在设计时不那么完美，有各种各样的潜在系统安全漏洞，这些漏洞可能导致被提权、远程内存溢出等问题。

root 最高权限的争夺打开了潘多拉的魔盒，恶意软件一旦取得 root权限，就等于得到了设备的控制权，做很多超越用户所做的事情，比如手机关机以后窃听周边的环境。

手机关机之后还能窃听？在座（记者）可能不太相信，但这在安全界是常识。举个简单的例子，当我有系统最高权限时，你按关机键，我就给你播放一段关机画面，手机没有真正关机，但是屏幕、震动等状态表现地和关机一样，然后你的手机就会自动接听我的号码，并且开启免提，这样我就可以窃听你了。

正是由于root这种至高无上的权利，成为恶意软件争夺的制高点，安全厂商为了防范这些获取root权限的恶意软件，它原来在应用层是无法对抗这些恶意软件的，所以它也要必须取得和它相同水平的甚至于高于它的权限。因此，那时系统权限是安全厂商和恶意攻击者争夺的制高点。

随着时代的发展，漏洞发布修复体系越来越完善，不再像早期刚发布没几个月就蹦个高危漏洞来。恶意软件想取得系统最高权限越来越难，手机的越狱、root也越来越难。

于是，原本制作恶意软件的人会把攻击的重心移向到应用层，以前获取 root 权限是为了窃取用户的银行帐号或者钱财的转帐或者其它信息来获利。后来获利手段越来越多，不需要 root 权限，在应用层就可以变现。应用层成为主要攻击入口，在这几个方面体现的非常明显：

现在大部分软件都会大量申请各种各样的系统权限，GPS 位置、定位、通话记录等等，过多的权限声明就造成了权限滥用。一款看图软件也要你的通话记录、通讯录；一个计算器也要你的 GPS 位置。在权限申请这块，目前还没有明确的法律法规或者行业标准来限制，因此该问题也有待规范。

近年最典型的就是X-code 事件，苹果软件的开发人员都会用一款叫做 Xcode的开发工具，恶意攻击者对原有的Xcode进行代码改编植入一个后门，发布在网上，使得所有用该工具开发的苹果APP都会被相应植入后门，最终造成了大范围的APP感染。

根据 CNSeart的数据，2013年恶意软件被感染的用户数量是609万，2014年2292万，2015年1点多亿，恶意软件的数量也从2011年6000多个，到2015年的16万个。

在恶意软件方面，国家打击的力度越来越大，2015 年互联网应急中心就累计向302家应用市场商店网盘通报恶意软件1.7万余起，查杀的力度越来越大。于是恶意软件转向另一种盈利模式——山寨软件。

在应用市场里，一款知名的移动端APP很可能有上百个的“李鬼”，它可能是LOGO一样、名称相似、皮肤一模一样，这些山寨程序很难让用户分辨清楚谁真谁假。很多人说他做一个山寨软件可能也不带恶意行为。但是它为了变现，可能会在晚上12点后台推送大量的软件，假如你发现第二天开机多了几个软件，可能就是山寨软件所为。

为了获取金钱和利益，大量的山寨软件产生，但山寨软件又不是恶意程序，很难把它定义为是非法程序，它只是皮肤、LOGO或者名称和合法正版的某款软件长得很像，不带有明显恶意攻击的行为。对山寨软件的查杀力度不严，导致应用市场普遍存在这样的现象。

去年WiFi万能钥匙就联合各大应用市场和手机厂商做了打击山寨的活动，查出1387款WiFi万能钥匙的山寨应用，经过我们的努力最终有1305款山寨下线，但是山寨软件又像雨后春笋一样，砍掉一个又出来很多个，不断有大量仿冒的山寨软件出来。

这里我做了一个截图，在某应用移动市场上搜WiFi万能钥匙，出现大量长得和我们LOGO一模一样的应用软件，一共有19页，当翻到第15页的时候还可以看到有类似LOGO的。

除此之外，我们会发现安全形势从最开始的单一形态衍生出了各式各样的新威胁形态，比如：

现在每家公司都说要做大数据，通过数据的搜集，对用户进行精准画像，但是，数据的搜集也让用户隐私泄露的问题越来越突出。尤其在这里我想说，在大数据做用户画像上，黑道走到白道的前面。

我们知道，像BAT这样的大公司都在做大数据，但从没有听说BAT之前有做数据互享的，你在淘宝买东西的数据，和你在百度搜索内容的数据，是没有相互结合来刻画你的身份画像的。但是在黑色产业链，你所有信息是互通的。有你身份证信息的那个人，会跟有你电话号码的那个人资源互换，会和有你银行卡的人资源互换，它们这种强大的数据整合，最终会勾勒出你整个人的互联网画像。地下黑产们的合作意识非常强，这一点走在了我们的前面。

2016年网络敲诈被定义为超过恶意软件的网络安全威胁。中了敲诈软件的情形，和电影《电锯杀人狂》里的情节有些类似 ：

我现在跟你做一个游戏，你电脑上的文件正在一点一点地被我删除，每过一段时间删除一点。如果你重启电脑，我会一下子删除一千个文件，如果你把我删除的话，你将再也找不会你所有的文件。

网络敲诈行情价一般便宜的25美金，一般贵的150美金。而且根据你支付的时长递增，第一天不付100，第二天150，不收转帐只收比特币。

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!