2011年9月《安全天下事之手机是怎样变成手雷的》

手机是怎样变成手雷的

(2011年9月)文/江海客

        本月影星Scarlett Johansson的半裸照开始在网上传播，当事人已经向FBI报案。看起来这只是今年3月传出的好莱坞多名影星的电子邮件账户等遭到入侵事件的延续，但一篇未经确认的分析已经在网上开始流传，即一部分攻击可能源于攻击者在机场设置了仿冒基站或AP，并以此为手段将劫持到的手机引导到一个仿冒的iOS注入的页面。这算是给本月非常火热的移动安全话题再度加入了一些佐料。
        本月多家传统IT平面媒体开始关注移动安全问题，其矛头直指各种恶意的应用，这说明手机安全问题已经逐渐浮出水面。
        就像当年的桌面反病毒需要把大量非官方预装版的天生可能带有安全漏洞和流氓软件的系统版本作为一个既定事实来看一样，手机安全厂商亦面临着大量水货智能机的非地下灌装版本的倾向，而更尴尬的是，恶意代码和流氓软件一经刷入，就变成通过一般方式无法卸载的东西。而其和安全软件反而处于权限不对等的局面当中。而看起来为了获取更高的装机量，似乎手机安全软件的发布者也需要和这些地下OS来进行某种交流。这种大陆产业独有的怪像值得思索。
        本月笔者分析了这样一个有趣的应用，某个“地下电子市场”的实现，这是一个仿冒Android Market的应用。但其原理十分有趣，其自身并非是一个直接的恶意扣费、刷流量等的程序，而且数据获取源确实来自Android Market，改变的就是Android Market的排名，其可能把自己提交的、或者向其支付某种费用的应用，排在前面，而大部分是一些中文色情书籍和成人软件，而这些软件确实是在Android Market提交成功了的。这样就不存在会被手机提示是否安装非Android Market获取的程序的问题。同时，其还套取了用户登录Android Market的账户，之后可以再利用这个账户完成类似给某个软件好评的工作，从而形成一个体系。
        这种应用的存在，比目前国内出现多个第三方电子市场，还要危险，因第三方电子市场为了保证自己的信誉，往往还要承担一定的安全审查责任。但这种“地下”电子市场，则完全归于与地下经济的产业链条，只要其装机量足够大，任何一款带有恶意应用或者提权的软件，在通过Android Market并不严格的安全审查后，无论其多么不知名，都可以通过这种地下市场的推荐达到很高的装机量。而过去我们在评价类似Android Market遭遇恶意提交时，并没有考虑到类似事件的影响，Google也看似做出了应对，但其应对是否能到达这种用户呢？从安全的角度来看，这不仅是一条不可控的通道，而且还具有“放大器”的价值。
        综合来看，手机安全的尴尬是因其面临过长的不可控的产业链条，从被曝光的某固件厂商问题，到其预装、零售的环节，有大量不可靠不可控的节点，而从传统非智能机市场的大量ICP来看，其驾轻就熟的恶意扣费线路也必然将与智能机合流。而其安全态势的威胁则更多不是面对传统PC平台早期的病毒、蠕虫、木马等，而是直接和应用进行合流。攻击者扮演着应用篡改者的角色，或者就是扮演着应用开发者的角色。
        而同时传统PC的安全威胁和手机安全威胁的合流化趋势也十分明显，如基于autorun和sync等机理进行跨平台的交叉感染；和Zeus（PC端）+Zimto（手机端）的组合来讲用户的网银账号、密码与手机确认码采集在一起来完成恶意行为。
        当然手机安全虽然是热点，但不是唯一的热点，本月大量曝光的CA问题，让安全工作着有数字签名体系正在崩塌之感，uTorrent软件也一度被替换为假冒反病毒软件的恶意程序。而Linux kernel服务器被入侵，导致者Linus Torvalds进行了源码“搬家”工作。
        如果整个世界已经是一座燃烧的军火库，那么手机变成手雷也是必然。而本月让我感觉欣慰的一件事情则是，由于利用防盗软件获取自己丢失笔记本使用者的照片等信息并张贴。
        因而开发防盗追踪软件的公司、失主和警方都被购买了这台“2手”笔记本的使用者起诉。法院的判决是——虽然软件开发者可能在帮助校区追回手提电脑方面有着高尚的目的，但是“一个明理的陪审团发现他们越过了非法边界。”
        安全工作者从不是世界的拯救者，只有在法制精神持续得以伸张，隐私权利持续受到尊重的大前提下，他们才能是勇敢的排雷工兵，而不是炮灰。
        作者微博：http://www.weibo.com/seak
        历史各期安全天下事：http://blog.csdn.net/antiy_seak