你眼中的安全就是真正的安全吗?
来源:界面新闻
作者:饶文怡
当你以为你的移动电子设备已经做好了所有的安全防护措施,万无一失的时候,在黑客以及技术安全人员的眼中,漏洞依然无处不在。
来自德国柏林安全研究实验室(Security Research Labs)的首席科学家 Karsten Nohl应该对这一点深有体会。大部分用户日常使用的安卓手机系统,在他看来,安全性始终不能得到很好的保证。
这是由于,大部分用户对于安卓系统的特性依然不熟悉,因此自然没有办法很自在地使用。各种条件的作用下,相比于封闭性更高的iOS系统,安卓系统更容易受到外来的攻击。
比如说,2015年,安卓平台上Chrome浏览器的一个安全漏洞就被发现,会允许攻击者获得受害者手机的全部管理员访问权限;今年年初,一个名为“应用克隆”的攻击威胁模型以短信、二维码、新闻页面等方式诱导用户进行消费行为,安卓平台上的支付宝、饿了么等应用都受到了攻击。
在这样的基础上,用户对于安卓系统的安全补丁了解不多,也就只能够使用不同软件厂商提供的安全补丁,但这些补丁的防护能力并不完善。
手机厂商们也似乎并没有试图改善这一局面。Karsten Nohl发现,部分厂商并不会为用户提供及时的补丁更新,让用户的手机固件升级到最新版本;更有甚者,一些手机厂商还会屏蔽软件更新的提醒。这对于手机的系统安全始终是一个隐患。
这是在香港举行的AsiaSecWest 国际安全技术峰会的其中一个论坛内容。AsiSecWest由在加拿大举行的CanSecWest发展而来,后者被视为是全球范围内最老牌的安全技术会议之一。这一届的AsiaSecWest,也是会议第一次在中国国内举办。
和一般的黑客大赛不同的是,AsiaSecWest的竞赛色彩并不浓厚,这更像是一场黑客和安全专家之间的技术交流论坛。日常我们最频繁使用的一些软件,尽管看起来万无一失,但实际上,只要这些专家愿意的话,几行代码的加入,就可以完全获取对这些软件的控制权。
除了上面提到的安卓系统之外,我们日常使用的浏览器也存在着一些难以察觉的技术缺陷。而安全技术人员们也在这次会议上进行了相关的展示。
腾讯安全玄武实验室发现,微软为网页浏览器开发的JavaScript引擎中,依然有部分漏洞;这些漏洞可能会被不法人士使用,从而绕过现有的浏览器防护,从而掌控对设备的控制权。
如果说安卓系统和网页浏览器本身对外交互频率高的属性提升了它们的受攻击概率的话, Adobe Flash易受攻击,则是因为这款软件的强工具属性。
来自荷兰埃因霍温科技大学的Bjorn Ruytenberg在会议上介绍称,由于Flash是操作系统和包括Office、PDF阅读器、网页浏览器等各种软件之间的连接器,这让它也成为了攻击的对象。他于去年在Adobe Flash中找到了两个沙盒漏洞,这些漏洞使得黑客能够获取用户储存在电脑中的本地数据。
除了展示各自找到的技术漏洞之外,在AsiaSecWest上,来自全球各地的专家也会针对目前行业内的新趋势,探讨可能出现的安全技术趋向。包括物联网、AI等,都是这次会议上讨论的主题。
无论是AI技术,还是物联网,它们的落地在很大程度上都要建立在大数据之上。因此,对于数据的保护也成为了重中之重。
对此,CanSecWest创始人Dragos Ruiu表示,AI技术的发展目前还在比较初始的阶段;随着智能程度越来越高;技术人员对于安全性会提出相应程度的重视。
但在最近,围绕数据安全出现的争议却屡见不鲜。3月底,Facebook的“数据泄密门”事件大规模爆发,超过8700万名Facebook用户的个人资料被盗取。
而在国内,百度CEO李彦宏在“中国高层发展论坛”上则表示:“我想中国人可以更加开放,对隐私问题没有那么敏感,如果他们愿意用隐私交换便捷性,很多情况下他们是愿意的,那我们就可以用数据做一些事情。”这句话也引发了轩然大波。
技术的进步也因此意味着,安全技术人员们在未来将会面对比如今复杂得多的数据保护环境。腾讯安全联合实验室玄武实验室负责人于旸在这次会议上就提到,在万物互联之后,技术人员要面对的联网设备数量将会出现倍数级增长。
“当联网的设备数量达到10亿级别的时候,安全问题就不能仅仅依赖工作人员,而是要借助技术本身的力量。”他表示。
换言之,在未来针对AI等技术的安全防护上,技术人员可能还要引入这些新技术来作为防御手段。于旸就认为,在未来,信息安全和AI等技术之间的关系一定会非常紧密。可以说,技术不仅仅会成为人们解决网络问题的工具,也有可能会成为解决自身缺陷的工具。
“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)
