梆梆资讯
从摩斯密码到APP安全 ——“01”背后的暗战硝烟
2016-05-17
前言:110000000000,好多的“0”,1100亿——这是如今国内黑产的“市值”,庞大、不可想象!巨大利益面前,黑与白之间的斗法愈加甚嚣尘上。
摩斯密码,即Morse code(摩尔斯电码),由美国人萨缪尔·摩尔斯于1844年发明。它是一种时通时断的信号代码,通过不同的排列顺序来表达不同的英文字母、数字和标点符号。
说起笔者对于摩斯密码最早的接触还是来自于那部著名的推理电影《尼罗河上的惨案》,比利时大侦探波洛在船舱里遭遇眼镜蛇威胁时,通过在墙壁上敲击出三短、三长、三短的声音“滴滴滴,哒哒哒、滴滴滴”,向住在隔壁的罗斯上校报警求助,这就是摩斯密码里的求救信号SOS(对应摩尔斯电码为···ˉˉˉ···),1912年泰坦尼克号游轮首航遇险时也在最后时刻发出了这个求救信号,可惜为时已晚。
摩斯密码由于其编码简单清晰、二义性小的特性,得到了极为广泛的应用,并拥有其他编码方案无法超越的长久生命。即便时至今日,全球业余无线电爱好者依然在乐此不疲的使用着摩尔斯电码。
摩斯密码的出现,给人们带来了全新的沟通交流方式,更是直接、间接促进了全球诸多领域、行业以及整体经济态势的发展。在移动互联网愈加与人们生活紧密融合的今天,丰富多样的移动应用(APP)在促进全球行业变革等方面与摩斯密码很是有些异曲同工之妙。
在快速发展的移动互联网时代,人们发现借助于移动化可以更为便捷的实现信息的沟通、交流与搜集。如果说摩斯密码是工业时代变革重要的推动要素,那么APP则是移动化时代变革的重要要素之一,在可以预见的万物互联世界里APP在逐渐成为不可或缺的基础节点。小小APP的背后,远超千万亿的经济市场规模在变得愈加清晰。人人为之动容,骇客、网络犯罪分子们更是贪心大动。在网络时代起就未曾停止的“01”世界里的暗战,于APP上变得更加激烈。
APP生存的土壤是移动互联网,而移动互联网则是互联网在移动维度中的延伸。这意味着,互联网天生的安全缺陷也被移动互联网所继承。而移动化的某些特性,则使得黑白之间的较量更加聚焦于代码层面。
IT的迅速发展,使得人们逐渐养成的诸多陋习无法得到及时清除,在代码安全性上这些陋习尤为凸显。现在的APP大多重视了功能与性能,但对APP代码自身安全性的重视程度却落后太多。随着越来越多代码逻辑、业务逻辑上的漏洞被大量“挖掘”出来,在恶意攻击者的眼中,众多的APP就是一座座不设防的城市,可以随意进出、篡改、重新打包“发布”。
于是乎,盗版APP出现了,里面夹杂着非法广告的APP出现了……有数据显示,约有14%的广告收入和10%的用户被“克隆APP”所抢夺(数据来源:Gibler et al 2013)。十分之一,高乎哉?不高矣?APP的开发、发布者们,辛苦劳碌最终的结果竟然是白白给骇客打了工。
千万不要以为那个用被咬了一口的苹果为品牌的手机里的应用就是绝对安全的,正如那句“没有绝对的安全”所言,苹果应用商店的安全审查机制也不是万能的,许多“淘气”的同学通过一些代码层面的技巧,在想出越来越多绕过安全审查的方法。
想当年,在某些打车软件疯狂烧钱期间,有些人就学会了“APP刷单”技能,无需真正接单、行驶,就可以享受高额补贴。在这期间,打车应用厂商与骇客之间展开了数轮的斗智斗勇:接单战、地理位置战、行驶速度战……你查地理位置,好,给你地理位置;你查路况信息看行驶状况,没问题,我结合路况再生成一个行驶路线图;你发动态验证码,这个太简单破解了,截获手机短信,搞定;语音验证?够狠,不过你忘记了呼叫转移哦,嘿嘿嘿~后面的故事还有很多很多。
移动时代下,这类暗战随时随地都在发生,并显露出与时俱进的特征。例如随着屡禁不绝的伪基站开始进行技术升级(IT技术升级、诈骗技术升级),攻防之间较量也在加速升级:防御者通过大数据技术对伪基站进行排除,伪基站就通过冒充真实基站进行反侦察。而有的防御者则发大招主动出击,通过给伪基站发送一条特殊短信让其彻底崩溃。
在APP加速时代变革的当下,攻防之间的暗战将愈加纠缠不休。防御者要想不再被攻击者牵着鼻子走,就需要洞察先机,透过弥漫的战争硝烟找到APP安全防护的本质。逐步建立起全面、完善的移动安全防御体系,弥补上那关键的一环。
后记:本文思路来源于此前参加的由梆梆安全组织的“APP运营安全及技术沙龙”,感谢中科院信息工程研究所信息安全国家重点实验室陈恺教授、梆梆安全移动威胁感知系统专家李亮、恒安嘉新资深技术专家傅强,以及锤子、乐视、微软、IBM等公司安全技术大咖们对移动安全的精彩解读。
注:本文转载自【IT独立观察家】,可点击http://mp.weixin.qq.com/s?__biz=MzA3MzgyODI4OQ==&mid=2650463435&idx=1&sn=c86655ad9ba62e896aeb9db1e724d707#rd查看原文。
Copyright ©2022. All Rights Reserved 京ICP证160618号 京ICP备11006574号-1