梆梆资讯
校园移动应用成勒索攻击“帮凶”?冤啊!
2017-05-06
北京时间5月12日晚上,国内大学教育系统相继遭受“永恒之蓝”勒索病毒袭击,随后扩展到国内几乎所有地区,影响范围遍布高校、火车站、自助终端、邮政、加油站、医院、政府办事终端等多个领域,被感染的电脑数字还在不断增长中。病毒影响仍在蔓延,并已经出现2.0变种,好在安全厂商陆续推出了查杀工具、免疫工具,各机构网络安全管理人员已经更新了操作系统补丁,病毒扩展速度得以减缓。
勒索软件是当前互联网所面临的最广泛和最具破坏性的网络威胁攻击方式之一。2016年12月5日,加拿大卡尔顿大学就曾遭到黑客攻击,黑客用勒索软件锁定教学系统,要求支付39比特币(约合20万元人民币)进行解锁。攻击导致学校邮箱、图书馆网络等多项功能无法运行。教育行业在勒索软件的巨大破坏威力下,面临严峻考验。
学校频繁遭遇黑客攻击孰之过?
学校网络面临的最大安全风险之一来自于每年学生携带到校园里的电子设备。如今,学生正在将越来越多的电子设备携带到校园里,从个人电脑、平板电脑、智能手机到游戏控制台等,一旦这些电子设备连接到学校网络,将会给校园网带来大量的安全漏洞隐患。一些学生登录在线游戏时关闭安全功能的动作,甚至可能会直接触发恶意软件攻击行为。
随着针对学校网络攻击威胁的日益增长,学校在逐渐成为黑客的高价值攻击目标,他们盗取学校网络里的个人身份信息、研究材料等重要数据,破坏正常的教学秩序。尤其是在逐步推进信息化的学校,在使用新技术的同时必须考虑保证网络的安全。
安全性堪忧的教育行业APP将成勒索软件新“帮凶”?
越来越多的学校在开始采用APP作为日常教学、生活的辅助工具,甚至很多中小学一校通、家校通等APP作为家长和学校联系的纽带已经被广泛使用。梆梆安全对近百家教育单位APP的537次人工+自动化安全检测结果显示,近65%的APP安全漏洞数量超过20个,更有23%的APP安全漏洞数量超过了30个。这些移动应用安全漏洞很容易被黑客所利用,黑客可以通过这些漏洞在各类校园APP里放置探针,窃取学校APP里的真实个人信息、家庭信息等隐私数据。黑客将盗取的隐私数据贩卖给地下黑产犯罪团伙后,犯罪团伙会利用这些数据实施通讯信息诈骗、钓鱼欺诈等。2016年影响极为严重的系列校园电信诈骗事件背后所折射出来的,就是相关隐私数据泄露的问题。
同时,梆梆安全的威胁情报分析人员发现,近年来针对智能手机等移动终端所发起的勒索软件攻击,基本都是以恶意移动应用为主要载体。这意味着,黑客可以利用校园APP安全漏洞,进行反编译分析,并在里面添加勒索攻击代码。在相关安全防护措施缺乏的前提下,一旦“永恒之蓝”勒索软件犯罪分子将移动端作为新的攻击目标,那么校园师生将再次遭受重创。
古人云,“吾虽不杀伯仁,伯仁由我而死”。各类校园移动应用本是用于正向推进教育工作的进行,但安全问题上的缺陷,却使得这些APP间接成为了恶意攻击者的“帮凶”。怎一个大写的“冤”字了得!
而究其原因,却是由于教育行业移动客户端多交与第三方公司开发,开发人员安全开发能力薄弱,重功能实现,轻安全设计,这直接导致开发过程安全不可控、后续版本迭代缺乏安全测试、人工渗透测试成本高时间长、移动应用整体安全性薄弱等系列安全问题的产生。
“APP成为获取数据绿色通道”怎么破?
APP安全性的缺失会导致其成为黑客获取隐私数据的“绿色通道”,而当APP本身被破解山寨变身重新上架应用市场后,窃取数据将变得更为简单。对于这种情况手机防火墙、杀毒软件均无法实现有效的安全防御,此时需要借助专业移动应用安全防护解决方案从本质层面解决问题。
以市场上最早涉足移动应用安全领域的梆梆安全为例,梆梆安全为移动应用提供涵盖开发、打包、发布、运行全生命周期的一体化安全保障服务,梆梆安全应用加固通过dex加壳、内存防护、so库文件加密、资源文件加密等多种APP安全加固技术协同实施保护,实现对APP静态安全、动态安全、交易验证安全、数据安全、发布完整性等APP安全性增强的目标,抵御反编译、恶意篡改、二次打包等入侵攻击行为。除应用加固外,梆梆安全还提供源码加固、SDK加固以及安全组件等。梆梆安全应用安全保护体系通过对APP实施多重加固安全保护,消除各类安全缺陷,能够有效解决“堡垒被从内部攻破”的安全问题。
划重点 检测教育行业应用软件安全风险
教育部办公厅印发的《教育行业网络安全综合治理行动方案》工作内容第2条第2点详细说明需要检测应用软件的安全风险。目前一校通、家校通、课程表等普及度较高的APP作为教育行业应用软件的一部分(尤其是涉及到新技术的部分),需严查死守相关信息安全问题。而在安全业内已经推出了可以对应用软件进行自动化检测的成熟工具平台。
例如梆梆安全的移动应用安全测评云平台就非常适用于确定安全标准下的大批量移动应用安全检测。梆梆安全移动应用安全测评云平台覆盖范围广,能够代替80%的人工渗透测试工作,覆盖安全检测、风险评估、漏洞扫描三大类近百个检测项;测评报告丰富,涵盖详细问题定位、描述、危害、修复建议;时间成本非常低,平均APP的检测时间仅为3-5分钟,无时间、次数限制,检测成本低。实现技术驱动向管理驱动的转变,保障开发过程中及后续版本迭代的有效安全管控,检测标准统一,能够避免人工测试人员水平对检测结果的影响。
梆梆安全助力还教育行业网络一片净土
教育行业作为网络攻击的一个“重灾区”,其在现阶段的网络安全防护策略相对较弱。但是,相信随着《网络安全法》的实施以及教育部办公厅印发的《2017年教育信息化工作要求》、《教育行业网络安全综合治理行动方案》的落实,教育行业网络安全将会大幅提升。
梆梆安全愿携移动安全、物联网安全领域解决方案助力还教育行业网络一片净土!
Copyright ©2022. All Rights Reserved 京ICP证160618号 京ICP备11006574号-1