ISC探秘移动支付安全威胁 恶意程序开发者走向“正规军”

• ISC，移动支付安全

8月16日，第四届中国互联网安全大会（ISC 2016）在北京国家会议中心隆重召开，众多与会嘉宾再度聚焦与大众息息相关的移动安全问题。来自盘古、360、华为、安天等各安全公司一线研究人员和加州大学、复旦大学等国内外高校专家纷纷聚集在本届ISC移动安全发展论坛，分别从系统安全、数据隐私、移动互联网黑产、移动支付安全等热点话题出发，揭秘移动安全新威胁，并分享了解决思路。

图1：移动安全领域专家齐聚ISC移动安全论坛

恶意程序开发从“小作坊”走向“正规军”

移动端的恶意程序对于很多人来说并不陌生，一个链接、一个扫码、甚至一个点击就让这些无孔不入的恶意程序悄悄潜入手机中，资费消耗、恶意扣费、隐私窃取、流氓行为、远程监控等都是其常见恶行。

图2：陈宏伟介绍企业级恶意程序开发者概况及应对策略

在本届ISC移动安全发展论坛上，360烽火实验室高级安全研究员陈宏伟围绕“‘企业级’恶意程序开发者搅局移动安全”进行了讨论。他指出，从前的“小作坊制毒”具备功能单一、渠道单一、传播范围小、破坏程度有限等特点。不过，随着“企业级”恶意程序开发者逐渐“大显身手”，恶意程序则呈现功能复杂、传播渠道多样、影响范围广、具备多重破坏力的特征。

陈宏伟介绍，早在2015年8月360互联网安全中心就曾发现一批应用名为TimeService、MonkeyTest等的恶意程序，这批恶意程序可使用户手机感染病毒致经济损失，且程序难以删除可导致用户反复感染。经360烽火实验室研究分析发现，这一系列恶意程序的幕后黑手最终指向国内某公司，而并非个人。

对此，陈宏伟建议，开发者应谨慎选择植入的SDK，留意SDK所需权限，避免被恶意利用；手机用户需尽量从较大的应用市场下载应用，安装手机安全软件并保持更新；应用市场则需加强开发者的审查，从正规渠道获取应用；手机厂商需及时为用户推送安全更新，增强对隐私数据的保护；运营商则要加强对服务提供商的监管；他同时呼吁，政府建立健全相关法律法规，加大打击和惩罚力度，提高作恶的成本。

保守估计国内超10万人从事移动支付黑产

近两年，移动支付愈发普及，然而其安全性问题向来是人们质疑的焦点，频发的安全事件让很多用户望而却步。然而事实上，血流不止的移动支付问题背后实有完整的黑色产业链条作祟。

图3：陈家林揭秘移动支付黑产

安天实验室武汉移动安全公司副总经理陈家林在名为《揭秘移动银行和支付黑产-DarkMobileBank》的演讲中介绍，通过数据研究发现，短信拦截马已导致超过100万用户的手机存在安全风险，而保守估计，目前我国有超过10万人从事移动支付黑产。陈家林认为，威胁移动支付安全的黑产链中，通过物料准备、经验传授、精细分工后，黑产从业者开始制作木马、钓鱼网站、注册大量域名、邮箱、手机号，然后借助伪基站，将木马伪装成正常应用诱导用户安装、授权，最后通过短信网络远控、隐身防卸载的方式藏匿在用户手机中作恶，从而实现隐私数据贩卖、精准攻击等目的。

此外，陈家林还揭秘了延伸的黑色产业链，如新封号产业链、拦截马地下链、微信地下链、苹果地下链、DDoS地下服务、攻击敲诈哦勒索等，如今都已形成完整且精细化的各类互联网黑产。

图4：华为高级安全总监王梓解析移动支付问题

论坛上，华为高级安全总监王梓也就移动支付的现状、安全演进进行了分享。他表示，移动支付业务的风险主要有两种，一是用户输入的信息可能被窃取，二是用户输入可能被篡改。对此，王梓结合自身多年的一线工作经验，介绍了移动支付多层次的防护方案。

没有绝对安全的系统 博弈造就更安全

iOS系统向来被认为是安全神话般的存在，不过在移动安全论坛上盘古团队首席科学家王铁磊则让我们看到其实没有绝对安全的系统。

图5：盘古专家透露iOS破解纯干货

盘古团队在iOS领域的越狱工作与成就让其在国际上享誉盛名，此次王铁磊就为在座听众揭开了iOS越狱秘籍。王铁磊提到，大部分iOS安全机制都在iOS内核中出现，因此越狱工具需要通过攻击内核漏洞才能突破这些安全机制。盘古团队之所以能够实现对iOS7、8、9代发布操作系统越狱工具，正是因为iOS系统中也有漏洞存在。

王铁磊表示，盘古团队越狱特色主要是通过用户态漏洞获得沙盒外代码执行、沙盒外任意文件读写漏洞、沙河外任意代码执行漏洞，再经过相关技术技巧，构成路径遍历漏洞，导致任意文件读写。

这几年间，越狱大神与苹果之间的博弈也在轮番上演，寻找漏洞、封堵漏洞，看似一唱一和的戏码，却演绎出了苹果与越狱团队之间的博弈。而正是由于像盘古等这样的团队对苹果严苛的系统漏洞挖掘，也造就了苹果系统安全性不断完善，正所谓“博弈造就更安全。”

手机网民超6.5亿 移动终端安防不容忽视

8月初CNNIC最新披露的报告显示，截至2016年6月，我国手机网民规模已达6.56亿，网民中使用手机上网的人群占比达92.5%，我国网民使用手机支付的比例提升至64.7%。移动安全不仅关乎我们的隐私，同样关乎我们的财产。而在隐秘的各类移动安全暗战中，任何一处漏洞都可能产生巨大损失，移动安防问题不容忽视。

图6：陈浩教授揭秘山寨软件窃隐私问题

在ISC 2016移动安全发展论坛上，加州大学戴维斯分校计算机系教授陈浩也带来了其研究成果。众所周知，大部分手机软件都是免费的，那收入从哪来？陈浩提到，广告收入则占了很大比重，这些免费软件的广告中常常暗藏玄机。

据陈浩介绍，移动广告平台通过将广告插件内置于手机APP中，实现广告的海量投放及管理，同时使开发者用户流量变现为广告收益，最终形成一个由广告主、手机广告代理商、广告平台、APP开发者、移动运营商、手机终端厂商和手机用户构成的移动广告利益链。而对于用户来说，这些内置于手机APP中的广告插件往往存在窃隐私的行为。

图7：张源谈隐私保护

此外，复旦大学系统软件与安全实验室副主任张源也就“移动平台应用软件隐私威胁与保护”这一议题发表演讲。张源提到，在移动平台上，用户输入的账号、密码、地址、资金账户信息等是隐私数据的主要来源，这些敏感数据是软件安全应当着重关注的要点。

论坛上，移动终端的身份认证与安全问题受到了在场嘉宾的极大关注。传统观念中，我们认为身份安全、身份认证通过密码和指纹就能实现。然而，事情并不是这么简单。西安交通大学副教授沈超表示，由于移动终端已经进入各行各业，并且能够存储并访问越来越多的安全和隐私信息，其面临的挑战也愈发丰富。

第四届ISC大会云集全球数百名安全大咖

据悉，中国互联网安全大会（ISC）是亚太地区规格最高、规模最大、影响力最深远的安全峰会，ISC2016以“协同联动：共建安全＋命运共同体”为主题。经历此前三届大会的积淀，今年的第四届大会分别召开了两大安全峰会和14个专业论坛，分享了120个有关网络安全战略、技术和产业趋势、投资创业、人才培养、法律法规等议题，并同步举办了安全训练营、第二届安全极客狂欢节（HackPwn）、安全创客汇等特色活动及赛事，吸引了近200家海内外媒体到场。

大会云集了全球数百名互联网安全领域的知名专家、智库，McAfee公司创始人约翰·迈克菲，前美国陆军少将、美国Palo Alto Networks副总裁、首席安全官约翰·戴维斯，卡巴斯基全球安全服务主管、副首席技术官Sergey Gordeychik，俄罗斯安全互联网联盟主席Denis Davydor、著名刑事鉴识专家李昌钰、微软可信赖计算部网络安全战略总监褚诚云、360公司创始人周鸿祎等纷纷到场，共同论道互联网安全。