刀疤 daohacker221 中国将近10万人利用短信拦截马从事黑产 短信拦截

移动端的恶意程序对于很多人来说并不陌生,一个链接,一个扫码,甚至一个点击就让这些无孔不入的恶意程序悄悄潜入手机中,资费消耗、恶意扣费、隐私窃取、流氓行为、远程监控等都是其常见恶行,目前主流的手机木马就是短信拦截马

形成完整产业链超10万人从事移动支付黑产

  近两年,移动支付愈发普及,然而其安全性问题却是人们质疑的焦点。事实上,移动支付安全事件频发的背后是由于有一条完整的黑色产业链条在作祟。

  安天实验室武汉移动安全公司副总经理陈家林在题为《揭秘移动银行和支付黑产-DarkMobileBank》的演讲中介绍说,通过数据研究发现,短信拦截马(一种可以拦截他人短信的木马)已导致超过100万用户的手机存在安全风险,而保守估计,目前我国有超过10万人从事移动支付黑产(利用病毒木马来获得利益的行业)。

  陈家林说,威胁移动支付安全的黑产有一条完整的产业链:通过物料准备、经验传授、精细分工后,黑产从业者开始制作木马、钓鱼网站,注册大量域名、邮箱、手机号,然后借助伪基站,将木马伪装成正常应用诱导用户安装、授权,最后通过短信网络远控、隐身防卸载的方式藏匿在用户手机中,从而实现隐私数据贩卖、精准攻击等目的。

  此外,陈家林还揭秘了延伸的黑色产业链,如新封号产业链、拦截马地下链、微信地下链、苹果地下链、DDoS地下服务等,如今都已形成完整且精细化的各类互联网黑产。

  论坛上,华为高级安全总监王梓也就移动支付的现状、安全演进进行了分享。他表示,移动支付业务的风险主要有两种,一是用户输入的信息可能被窃取,二是用户输入可能被篡改。对此,王梓结合自身多年的一线工作经验,介绍了移动支付多层次的防护方案。

  没有绝对安全的系统博弈造就更安全

  苹果的iOS系统向来被认为是安全的,不过在盘古团队首席科学家王铁磊看来,没有绝对安全的系统。

  盘古团队在iOS领域的越狱工作与成就让其在国际上享誉盛名,此次王铁磊在论坛上为大家揭开了iOS的越狱秘籍。王铁磊提到,大部分iOS的安全机制都在iOS内核中出现,因此越狱工具需要通过攻击内核漏洞才能突破这些安全机制。盘古团队之所以能够发布包括iOS9在内的几代iOS系统越狱工具,正是因为iOS系统中也有漏洞存在。

  王铁磊说,盘古团队主要是通过用户态漏洞获得沙盒外代码执行、沙盒外任意文件读写漏洞、沙河外任意代码执行漏洞,再经过相关技术技巧,构成路径遍历漏洞,导致任意文件读写。

  这几年,越狱“大神”与苹果之间的博弈也在轮番上演,寻找漏洞、封堵漏洞,看似一唱一和的戏码,却演绎出了苹果与越狱团队之间的博弈。而正是由于像盘古这样的团队对苹果严苛的系统漏洞挖掘,造就了苹果系统的安全性不断完善。

  手机网民超6.5亿移动终端安防不容忽视

  8月初CNNIC最新披露的报告显示,截至2016年6月,我国手机网民规模已达6.56亿,网民中使用手机上网的人群占比达92.5%,我国网民使用手机支付的比例提升至64.7%。移动安全不仅关乎我们的隐私,同样关乎我们的财产。而在隐秘的各类移动安全暗战中,任何一处漏洞都可能产生巨大损失,移动安防问题不容忽视。

  在ISC 2016移动安全发展论坛上,加州大学戴维斯分校计算机系教授陈浩也带来了其研究成果。众所周知,大部分手机软件都是免费的,那收入从哪来?陈浩提到,广告收入占了很大比重,这些免费软件的广告中常常暗藏玄机。

  据陈浩介绍,移动广告平台通过将广告插件内置于手机APP中,实现广告的海量投放及管理,同时使开发者用户流量变现为广告收益,最终形成一个由广告主、手机广告代理商、广告平台、APP开发者、移动运营商、手机终端厂商和手机用户构成的移动广告利益链。而对于用户来说,这些内置于手机APP中的广告插件往往存在偷窃隐私的行为。

  此外,复旦大学系统软件与安全实验室副主任张源也就“移动平台应用软件隐私威胁与保护”这一议题发表演讲。张源提到,在移动平台上,用户输入的账号、密码、地址、资金账户信息等是隐私数据的主要来源,这些敏感数据是软件安全应当着重关注的要点。

  论坛上,移动终端的身份认证与安全问题受到了在场嘉宾的极大关注。传统观念中,我们认为身份安全、身份认证通过密码和指纹就能实现。然而,事情并不是这么简单。西安交通大学副教授沈超表示,由于移动终端已经进入各行各业,并且能够存储并访问越来越多的安全和隐私信息,其面临的挑战也愈发丰富。