移动支付黑色产业链:从“小作坊”走向“正规军”

未央网 作者: 侯云龙

在前不久举行的第四届中国互联网安全大会(ISC 2016)上,与大众息息相关的移动安全问题备受关注,来自盘古、360、华为、安天等各安全公司的一线研究人员和加州大学、复旦大学等国内外高校的专家,分别从系统安全、数据隐私、移动互联网黑产、移动支付安全等热点话题出发,揭示了一些移动安全方面的新威胁,并分享了解决思路。

恶意程序开发 从“小作坊”走向“正规军”

移动端的恶意程序对于很多人来说并不陌生,一个链接,一个扫码,甚至一个点击就让这些无孔不入的恶意程序悄悄潜入手机中,资费消耗、恶意扣费、隐私窃取、流氓行为、远程监控等都是其常见恶行。

在本届ISC大会的移动安全发展论坛上,360烽火实验室高级安全研究员陈宏伟围绕“‘企业级’恶意程序开发者搅局移动安全”的主题进行了讨论。他认为,从前的“小作坊制毒”具备功能单一、渠道单一、传播范围小、破坏程度有限等特点。不过,随着“企业级”恶意程序开发者逐渐“大显身手”,恶意程序则呈现功能复杂、传播渠道多样、影响范围广、具备多重破坏力的特征。

陈宏伟介绍说,早在2015年8月,360互联网安全中心就曾发现一批应用名为TimeService、MonkeyTest等的恶意程序,这批恶意程序可使用户手机感染病毒且程序难以删除,导致用户反复感染并因此产生经济损失。经360烽火实验室研究分析发现,这一系列恶意程序的幕后黑手最终指向国内某公司,而并非个人。

对此,陈宏伟建议,开发者应谨慎选择植入的SDK,留意SDK所需权限,避免被恶意利用;手机用户需尽量从较大的应用市场下载应用,安装手机安全软件并保持更新;应用市场则需加强开发者的审查,从正规渠道获取应用;手机厂商也应及时为用户推送安全更新,增强对隐私数据的保护;运营商则要加强对服务提供商的监管。另外,他还呼吁,政府应建立健全相关法律法规,加大打击惩罚力度。

形成完整产业链超10万人从事移动支付黑产

近两年,移动支付愈发普及,然而其安全性问题却是人们质疑的焦点。事实上,移动支付安全事件频发的背后是由于有一条完整的黑色产业链条在作祟。

安天实验室武汉移动安全公司副总经理陈家林在题为《揭秘移动银行和支付黑产-DarkMobileBank》的演讲中介绍说,通过数据研究发现,短信拦截马(一种可以拦截他人短信的木马)已导致超过100万用户的手机存在安全风险,而保守估计,目前我国有超过10万人从事移动支付黑产(利用病毒木马来获得利益的行业)。

陈家林说,威胁移动支付安全的黑产有一条完整的产业链:通过物料准备、经验传授、精细分工后,黑产从业者开始制作木马、钓鱼网站,注册大量域名、邮箱、手机号,然后借助伪基站,将木马伪装成正常应用诱导用户安装、授权,最后通过短信网络远控、隐身防卸载的方式藏匿在用户手机中,从而实现隐私数据贩卖、精准攻击等目的。

此外,陈家林还揭秘了延伸的黑色产业链,如新封号产业链、拦截马地下链、微信地下链、苹果地下链、DDoS地下服务等,如今都已形成完整且精细化的各类互联网黑产。

论坛上,华为高级安全总监王梓也就移动支付的现状、安全演进进行了分享。他表示,移动支付业务的风险主要有两种,一是用户输入的信息可能被窃取,二是用户输入可能被篡改。对此,王梓结合自身多年的一线工作经验,介绍了移动支付多层次的防护方案。

没有绝对安全的系统博弈造就更安全

苹果的iOS系统向来被认为是安全的,不过在盘古团队首席科学家王铁磊看来,没有绝对安全的系统。

盘古团队在iOS领域的越狱工作与成就让其在国际上享誉盛名,此次王铁磊在论坛上为大家揭开了iOS的越狱秘籍。王铁磊提到,大部分iOS的安全机制都在iOS内核中出现,因此越狱工具需要通过攻击内核漏洞才能突破这些安全机制。盘古团队之所以能够发布包括iOS9在内的几代iOS系统越狱工具,正是因为iOS系统中也有漏洞存在。

王铁磊说,盘古团队主要是通过用户态漏洞获得沙盒外代码执行、沙盒外任意文件读写漏洞、沙河外任意代码执行漏洞,再经过相关技术技巧,构成路径遍历漏洞,导致任意文件读写。

这几年,越狱“大神”与苹果之间的博弈也在轮番上演,寻找漏洞、封堵漏洞,看似一唱一和的戏码,却演绎出了苹果与越狱团队之间的博弈。而正是由于像盘古这样的团队对苹果严苛的系统漏洞挖掘,造就了苹果系统的安全性不断完善。

手机网民超6.5亿移动终端安防不容忽视

8月初CNNIC最新披露的报告显示,截至2016年6月,我国手机网民规模已达6.56亿,网民中使用手机上网的人群占比达92.5%,我国网民使用手机支付的比例提升至64.7%。移动安全不仅关乎我们的隐私,同样关乎我们的财产。而在隐秘的各类移动安全暗战中,任何一处漏洞都可能产生巨大损失,移动安防问题不容忽视。

在ISC 2016移动安全发展论坛上,加州大学戴维斯分校计算机系教授陈浩也带来了其研究成果。众所周知,大部分手机软件都是免费的,那收入从哪来?陈浩提到,广告收入占了很大比重,这些免费软件的广告中常常暗藏玄机。

据陈浩介绍,移动广告平台通过将广告插件内置于手机APP中,实现广告的海量投放及管理,同时使开发者用户流量变现为广告收益,最终形成一个由广告主、手机广告代理商、广告平台、APP开发者、移动运营商、手机终端厂商和手机用户构成的移动广告利益链。而对于用户来说,这些内置于手机APP中的广告插件往往存在偷窃隐私的行为。

此外,复旦大学系统软件与安全实验室副主任张源也就“移动平台应用软件隐私威胁与保护”这一议题发表演讲。张源提到,在移动平台上,用户输入的账号、密码、地址、资金账户信息等是隐私数据的主要来源,这些敏感数据是软件安全应当着重关注的要点。

论坛上,移动终端的身份认证与安全问题受到了在场嘉宾的极大关注。传统观念中,我们认为身份安全、身份认证通过密码和指纹就能实现。然而,事情并不是这么简单。西安交通大学副教授沈超表示,由于移动终端已经进入各行各业,并且能够存储并访问越来越多的安全和隐私信息,其面临的挑战也愈发丰富。