看地铁里的豹子:在移动世界中绘制安全地图

本篇文章3038字，读完约8分钟

前言:一切都源于这样一个事实，即计算机网络在其诞生之初并没有将安全性视为一个关键问题。从这个有缺陷的框架中衍生出来的移动互联网的安全性可以用我的脚趾想象出来。(电脑房的声音带着慌乱、悲伤、语无伦次等。) 漏洞！漏洞！目前，几乎所有的信息技术安全问题都源于各种各样的漏洞。软件级、硬件级和人类行为级……如果有一天人类的脑波可以与计算机网络相连，那么就像在电影《黑客帝国》和《盗梦空间》中一样，人类精神层面和思维层面的“漏洞”也会被恶意攻击者利用。 移动互联网的世界正在迅速发展，面对移动性，这种“传统”被稀疏的内部打破，其中包括那些安全的“传统”，如传统的安全边界，如传统的安全防御思想等。我们将尝试用漏洞作为坐标来绘制移动世界的安全地图。这张地图可能(或肯定)不全面，但人们仍然希望它能帮助人们摆脱移动世界的束缚，从更广的角度来审视移动世界的安全问题。 移动安全地图第一部分:应用 APP是英语应用程序的简称，现在APP主要指移动设备上的第三方应用程序，即个人电脑上的软件。移动世界的主要安全问题现在来自这些应用。移动互联网的快速发展促使了大量应用的开发和推出，许多应用的开发者都是编写传统个人电脑软件的程。这些程人，在个人电脑时代打字时很少考虑安全问题，把娄的这种习惯延伸到移动应用的开发。此外，由于专业安全人员严重短缺，APP自然成为当前移动安全的焦点。 无法抵挡丰富应用的诱惑，许多人在购买苹果手机后，总是首先“逃离”苹果的iOS操作系统，试图绕过苹果对iOS版本应用的严格审查。手机越狱了，假APP很开心，扣了一笔费用，偷偷转了账户，太简单了！运行在安卓平台上的应用程序有更多这样的问题。在这种情况下，安全加固APP非常重要。事实上，安全防御的思想之一是增加破解者和攻击者的难度，因此在代码级别加强APP是一种可行的安全保护方法，以增加其复杂性，并使其在反编译时难以阅读。 移动安全地图第2部分:浏览器 浏览器帮助人们看到广阔的世界，黑客“看到”存储在我们系统中的所有信息。 说到浏览器，这真的很让人头疼。浏览器是一件好事。浏览器将世界各地的人们连接起来，跨越时间和空到网络。浏览器使人们对信息技术的控制逐渐摆脱了单机的束缚。甚至在几年前，人们就推测将来除了操作系统和浏览器之外，没有必要在个人电脑上安装任何其他应用程序。然而，大多数早期的程序设计没有考虑到安全问题，导致浏览器漏洞的频繁暴露和利用，尤其是受到批评的微软的IE浏览器。到目前为止，许多恶意攻击仍在利用IE的0天漏洞发起。 虽然浏览器程序也集成到早期的智能移动终端中，但人们更习惯于安装和使用各种应用程序。然而，随着HTML5等新技术的出现以及智能移动终端固有的局限性，未来很可能会通过浏览器使用各种应用。虽然移动浏览器都非常重视安全问题，但两个拳头不能打败四只手。随着越来越多的数据在移动浏览器上传输，地下黑色产业链中的挖洞者肯定会有所收获。我相信围绕移动浏览器的安全之战将会更加激动人心。 移动安全地图第3部分:操作系统 当每个人都在编写自己版本的安卓操作系统时，安全漏洞就变得必不可少了。 谷歌在2005年收购了成立22个月的高科技公司安卓，并接管了其同名操作系统的开发，该系统现在广泛用于智能移动设备。随后，谷歌采取了开放战略，建立了一个全球联盟组织，其成员都可以为安卓系统开发开放源代码。这些成员技术标准的不均衡使得所开发的安卓操作系统安全问题层出不穷，如WebView组件漏洞、WiFi功能组件缓冲区溢出漏洞等。 然而，苹果的iOS操作系统在人们的印象中一直是高度安全的，也有安全风险。在个人电脑时代，苹果的苹果操作系统比微软的视窗操作系统有更少的安全缺陷或漏洞，但它只是“很少”，而不是“没有”。事实上，只要程序是由人编写的，就会有各种安全风险。区别只在于发现的时间和可用的价值。因此，苹果的iOS操作系统被认为很难在没有“越狱”的情况下被黑客攻击，仍然存在安全风险，例如iOS 5导致的iPhone 4S的电池寿命漏洞、iOS 7的解锁和拨号漏洞以及应用程序安装和验证漏洞。 脆弱的安卓系统让恶意攻击者非常乐意窃取它。然而，随着谷歌提高新安早系统的安全性，黑客发起的攻击的成本效益将下降，苹果的iOS系统将成为黑产业链中漏洞挖掘者的目标。在未来，iOS操作系统的安全性将不同于ji和shan。 移动安全地图第4部分:数据 在移动世界中，安全保护的焦点最终仍然是“数据”，它包括各种应用的程序代码、应用操作期间生成的数据以及用户在移动终端上存储的数据。 大多数智能移动终端都是ji (Ji)和yi (yi) small (shi)。如果你想一想那一年的“辉煌照片之门”,你会知道一旦智能移动终端丢失，里面的数据将随时暴露。然而，随着企业用户开始喜欢BYOD，驻留在小型移动电话中的数据将变得更加丰富多彩。 尽管安全厂商正在迅速推出各种针对移动终端的安全产品，但脆弱的移动电话系统允许恶意攻击者轻松利用各种安全漏洞来窃取用户的隐私和机密数据，而这些陷阱可能只是一条短消息或一个链接。 好消息是，全球最大的移动应用安全提供商邦邦安全(Bangbang Security)的专家正在考虑使用虚拟专用网络解决移动终端的数据安全问题:在应用打包后加密网络数据。然而，当数据需要被读取时，它在中间服务器被解密，然后被传输到用户服务器。 移动安全地图第5部分:物联网 曾几何时，物联网只是人们想象的东西。现在智能家居和汽车互联网的迅速出现让人们意识到物联网离我们很近。 不可否认的事实是，人们从老年到年轻越来越依赖互联网。智能移动设备的迅速普及导致家庭对互联网接入的需求快速增长。家庭网络的建设已经开始提上日程。现在许多新建的房子在每个房间都预留了网络电缆插孔。在此基础上，智能家居的雏形也已经显露出来。电视、冰箱、空音可通过无线网络远程控制。然而，一个宅男通过机顶盒入侵女神的液晶电视来表达他的爱，这个消息被女神和她的丈夫看到了，这让人们意识到家庭网络的安全性是如此之弱。 特斯拉很酷，破解汽车网络很简单。如果新的汽车网络不开放无线连接，不与外界交换数据，它仍然是相对安全的，但它不会被称为汽车网络。事实上，许多工业控制系统已经展示了物联网的雏形。为了更加自动化和智能化，它的许多clnp都采用了互联网clnp。便利的背后是漏洞的“引入”。 当人们开始讨论“万物互连”时，他们也应该预先考虑和规划万物互连的安全性。 这里，一个简单的移动世界安全地图已经被逐步勾勒出来。然而，关于移动世界的安全性，仍有许多问题需要讨论。例如，当人们在云中存储更多的数据时，人们在个人电脑时代设想的轻型客户端很可能在移动世界中实现，然后可以从终端、传输管道和云的维度绘制新的安全地图。 在移动互联网时代，恶意攻击者能够以越来越多的方式和手段发起攻击。安全卫士需要改变传统的防护思路，从不同的维度构建全面的安全防线，并利用这一机会进行攻击而不是防御，努力将安全防线推向恶意攻击者，从而实现主动安全防御。 附言:就这些吗？答案当然不是。在更多安全专家的帮助下，移动世界的安全地图将逐渐清晰地绘制出来。不过，冷汗！事实上，在这个以“0，1”为基础的安全攻防战中，攻击者从一开始就占据了先天优势。在不利的战场环境中，防御者需要付出更多的汗水和代价。然而，在安全研究人员、安全专家、白帽子和安全制造商的共同努力下，邪恶不会得逞。