?
hotnews

當這個滿頭包的禿子承認腦袋上確有一個虱子

編輯/作者:安安 2017-12-14 我要評論

最近安全圈大新聞大概就是下面這個了 于是各大安全廠商的表演開始 當然易安睿龍也不能免俗 熱鬧不過兩天,相信這一波關注會很快過去,但這個漏洞暴漏出來的問題是...

  最近安全圈大新聞大概就是下面這個了

5-8.png

  于是各大安全廠商的表演開始

表演.png

  當然易安睿龍也不能免俗

enss.jpg

  熱鬧不過兩天,相信這一波關注會很快過去,但這個漏洞暴漏出來的問題是升級一下系統,修正下APP程序簽名,打一兩個補丁,更新一下防毒碼就能解決的嗎?

01.png

  哪些安卓版本受到影響呢?

淪陷.png

  讓我們再看看這幾個貨的市場占有率

12月12日.jpeg

  高達79.8%安卓用戶受到影響,主流的安卓應用無一幸免。

02.png

  這個漏洞的特點是APP可以被黑客任意修改而不被發現。那么黑客利用這一點會干什么呢?插入代碼吸費,打廣告,騙流量?凡是這么干的黑客只能是賺點小錢,相信有能力利用這個漏洞的大部分黑客都有中上的技術水準,一般應該不屑于此。

  那么怎么利用這個漏洞呢?上上策是通過插入代碼的形式來滲透服務器,因為企業的網絡安全系統不得不在安全和性能之間找平衡,所以通常企業的安全策略是對自己的應用不設防。因此,其安全設備在判斷出是自己的APP發起的鏈接請求后,基本都不再做這部分請求的流量過濾了。資深的黑客怎么會放過這么好的入侵口子,直接改了APP,想辦法在獲取企業的核心數據后悄悄地在企業服務器上種幾個木馬,再利用企業政策剪剪羊毛,拉取企業服務器程序和數據瞬間copy個一樣的應用出來。大數據時代,黑客不要賺的太爽!

  差一點的,可以修改APP的banner等醒目位置,打上自己的廣告,然后想辦法大面積散出去。用著別人的服務給自己賺著流量和廣告,躺著就能賺錢,黑客做夢都要笑醒了。至于把首頁改成**大法好這類的,黑客要么收了海外某些勢力的錢,要么就是受雇于某個敵對公司,真的想搞死這個APP所屬的企業。

  最次的,黑客會利用修改過的APP發動DDOS攻擊,偶爾用來炫技或要挾看得上的網絡服務運營商,說起來哥也是有幾萬肉雞的人,就憑這句話,身價立刻6位數起。還有真的透過某些APP去獲取用戶的root權限的黑客,獲得權限以后便會立刻隱藏起來,絕不會動機主的錢。至于機主的身份信息、銀行密碼等等,那是肯定沒有辦法幸免了,但是如果不是特別急用,黑客一般很珍惜自己已經擁有root權限的肉雞,絕不想輕易引起機主的警覺。

  綜上,事實上直接受損的是APP的所有者和運營者,黑客通過倒賣服務器數據等方式對廣大APP使用者造成損害,而使用者沒有直接的感知,也不會加以關注。近年頻發的大規模數據泄露事件,就是由于被攻擊方式極少見諸報端,不能引發大眾的思考及關注。然而就算漏洞被堵住了,由此泄露的數據已成定局,由此被掛碼的服務器依舊被控制。

  所以,不管是直接受損的企業還是間接受損的吃瓜群眾,刀口還在,血仍在流。

03.png

  其實這類漏洞就是禿子頭頂的虱子明擺著的,而且不止一只,而是一群,只是剛剛被禿子承認了一個而已。

  這個漏洞可以直接偽造更新包,受影響的用戶和應用多不勝數,谷歌怎么可能在長達三年的時間里一無所覺?不是不知道,只是不能說而已。在沒有更好的解決方案之前,如果谷歌說了,誰還敢用安卓?

  雖然Janus漏洞被指了出來,但類似的虱子還有很多。Janus擁有可以“繞過簽名”的技術,可“偽造簽名”的辦法根本不需要去繞,黑客只需自己注冊個公司申請簽名,修改APP后,留下自己公司簽名就好了,畢竟沒有多少人會在安裝微信后再回頭看自己安裝的微信程序簽名是不是騰訊公司的。即便會看,也未必能發現其中的差異。不信,來咱們玩個大家來找茬,注意別眼花。

face.png

  來,親,現在請告訴我,上圖中哪個facebook是真的?哪些是是黑客仿冒的?相信大部分人都不能保證100%選對,現在知道谷歌這個禿子為什么不得不拎出來一個虱子了吧?

  這些問題就是開放性平臺如windows·linux和安卓的頑疾,是打娘胎里帶出來的,蘋果越獄以后也是一樣。

  通過這次漏洞,警鐘再一次高亢的鳴響,就像我們易安睿龍一直在向大眾傳遞的那樣:在我們在現有網絡安全體系里,為了自由度,為了大廠家的利益,為了快速擴散,我們已經無視了太多對應用程序安全的保護。在移動應用基本普及的今天,忽視程序安全對企業、對用戶的損害正在毀掉我們現在的應用環境。

  這也重點說明了在互聯網這個零信任環境里,僅靠簽名技術和應用加固、代碼混淆之類的傳統攻防手段是遠遠不夠的。

04.png

  虱子已經逮住了一只,但真正解決這個問題,必須要全世界所有的APP開發者和運營者像重視身份認證一樣重視程序認證,全世界的APP使用者像認可身份認證一樣認可程序認證,每一次APP在連接到服務器之前都經過一次針對程序的認證,確定程序沒有被篡改后才建立連接,并且認證過程所用的算法要是動態的,這樣才能保證認證過程是黑客難以復制和仿冒的。只有這樣,才是追本溯源的從根源解決問題,才是針對互聯網這個零信任環境下負責任的移動應用安全解決方案。

  易安睿龍的ACR產品應運而生,融合了應用商店、應用校驗、應用修復、應用準入、問題回溯等多個功能在一個綜合控管平臺管理,并可以同CA身份認證系統和VPN系統聯動構成立體防御。其中:

  。企業應用商店實現企業應用生命周期管理,幫助企業構建安全的移動應用管理體系;

  。應用校驗保障了企業接入APP的安全性;

  。應用修復保障了企業應用的連續性;

  。應用準入幫助企業構建統一的移動應用接入規范和標準;

  。問題樣本回傳使企業可開展問題定位分析,指導APP開發規范的進一步增強;

  。開放性API可以幫助企業構建以業務為核心的統一的立體化安全防護機制。

  同時,該產品具有自主知識產權的“雞尾酒算法”,實現了:

  。校驗碼一機器一次一密碼;

  。正確的校驗碼永遠只存在于服務器;

  。校驗流程要求在線校驗;

  。通信要求基于TLS1.2加密

  在這種強安全性的保證下,除非黑客攻破位于數據中心內的ACR服務器的同時,又反編譯了包括ACR client端的全部APP客戶端,以及TLS 1.2加密算法。否則,是無法對企業的數據和形象造成任何影響的,反而會因為嘗試反編譯企業APP而被企業感知到并進行針對性處理。

  雖然讓全世界的應用開發者立刻實現應用程序動態認證是不現實的,但易安睿龍正在朝著這個方向努力。

  易安睿龍上線ACR2.0 SaaS版,可免費為全球的開發者提供應用校驗功能,并且其它的收費功能也采用了非常友好的“伴你成長”定價策略。對用戶數量少的應用只做象征性收費或免費,對用戶數量大的應用采取正常收費。我們竭盡所能幫助全世界所有的APP開發者和運營者成為“更被廣大用戶信任的開發者和運營者”。

go.png

  北京易安睿龍科技有限公司(http://www.yundragon.com),2013年創建,是業界領先的移動應用安全領導廠商, 致力于開發、推廣以ACR為核心的企業移動應用安全解決方案。以獨 創的專利技術,幫助用戶實現動態安全邊界、端到端應用安全防護,有效管控BYOD風 險。

文章來源:互聯網

1.本站遵循行業規范,任何轉載的稿件都會明確標注作者和來源;2.本站的原創文章,請轉載時務必注明文章作者和來源,不尊重原創的行為我們將追究責任;3.作者投稿可能會經我們編輯修改或補充。4、對于網友投稿的文章請仔細核對其真實性,如遇要求匯款轉賬情況,請格外謹慎。

相關文章
  • 長春華山皮膚病醫院好嗎 誠信醫療贏得患者信賴

    長春華山皮膚病醫院好嗎 誠信醫療贏得患者信賴

  • 八大處整形趙延勇:術后表情僵硬的主要影響因

    八大處整形趙延勇:術后表情僵硬的主要影響因

  • 威海董立鵬整形美容平價收費嗎 只為讓你更美麗

    威海董立鵬整形美容平價收費嗎 只為讓你更美麗

  • 北京加減美黃寅守:用黃種鼻打造亞洲人專屬美鼻

    北京加減美黃寅守:用黃種鼻打造亞洲人專屬美鼻

? 云南快乐十分开奖结果i