移動互聯網安全問題的核心有哪些?

移動互聯網公司最應該關心的安全問題有哪些?移動互聯網安全環境面臨哪些主要威脅?
-------
本題來自知乎圓桌 ? 白帽黑客與安全,歡迎關注討論。


一、移動支付安全問題:

  • 截至2014年12月,我國網民規模達6.49億,其中手機網民規模達5.57億,手機支付用戶規模達到2.17億,增長率為73.2%。手機網購、手機支付、手機銀行等手機商務應用用戶年增長分別為63.5%,73.2%和69.2%,遠超其他手機應用增長幅度。
  • 用戶使用量較大的與移動支付相關的應用有170餘款,主要包括網上購物(60.7%)、第三方支付(20.7%)、基金證券(6.4%)、手機銀行(6.2)和生活旅行(4.9%)等幾個大類。總體而言,網上購物仍然是手機用戶使用移動支付的主要原因。
  • 2015年第一季度,360互聯網安全中心共截獲移動支付及購物類惡意程序1147個其中,篡改類木馬共有795個,佔比為69.3%,假冒類木馬共有352個,佔比為30.7%。

  • FakeTaobao木馬家族是目前最為廣泛流行的一個移動支付類木馬家族。該木馬的作者主要集中在廣西、廣東和北京等地,而該木馬的購買者或使用者則主要出現在廣東、廣西、上海、北京、浙江等地。

二、釣魚鏈接網址:
2015年第一季度,360手機衛士共為全國用戶攔截釣魚網站攻擊3.3億次,占釣魚網站總攔截量的5.5%。預計到2015年底,釣魚網站對手機用戶的攻擊量可能會超過釣魚網站攻擊總量的10%。

三、騷擾、詐騙簡訊;

2015年第一季度,360手機衛士共為全國用戶攔截各類垃圾簡訊約96.9億條,其中,詐騙簡訊佔12.1%。而在詐騙簡訊中,冒充熟人的最多,佔28.5%、其次是虛假中獎佔25.6%,冒充銀行佔19.9%。


四、騷擾、詐騙電話:

2015年第一季度,360手機衛士共為全國用戶識別和攔截各類騷擾電話49.5億次,其中,識別和攔截詐騙電話佔比為29.3%。也就是說,我們幾乎每接到3個騷擾電話,就有一個是詐騙電話。

《2015中國移動支付安全報告》概括:

  • 2015年1-3月,360互聯網安全中心共接到網路詐騙報案4920例,其中,手機用戶報案1147例,報案總金額為831.8萬元,人均損失7252元。儘管目前手機用戶的報案數量還不及PC用戶多,但用戶遭遇手機詐騙時的人均損失卻為電腦詐騙的2倍。
  • 從手機用戶的報案類型上看,虛假中獎數量最多,佔22.2%,其次是釣魚盜號佔18.5%,虛假兼職佔12.8%。
  • 根據用戶報案材料的描述分析統計,用戶遭遇詐騙的首要途徑是詐騙簡訊,佔比為53.8%排在首位,其次是釣魚網站32.3%,詐騙電話12.7%,木馬病毒僅佔1.2%。
  • 在手機詐騙中,虛假中獎、釣魚票務排在前兩位,人均損失分別為14148、11651元,此外,欺詐博彩8252元、偽基站7151元、冒充他人6993元位列其後。欺詐賭博8252元、偽基站7151元、冒充他人6993元位列其後。
  • 虛假微信公眾號AA詐騙、 偽基站積分兌換詐騙、簡訊中獎詐騙、電話退款詐騙、和冒充公檢法電話詐騙,是2015年以來非常典型的手機詐騙。

核心問題:
1,個人、用戶信息隱私的泄露,
給詐騙電話簡訊提供了精準「營銷」:
網購時填寫的快遞單號、上網時註冊的賬號、網上留聯繫方式等等,都為這些詐騙埋下了伏筆;

2,偽基站的肆意橫行:
垃圾簡訊、詐騙簡訊的群發,流竄作案;

3,病毒木馬的攻擊:
比如前段時間經常出現的「聚會相冊」、「小三照片」等等,帶有病毒木馬程序,用戶點擊鏈接就會感染木馬,獲取信息、群發短息、惡意扣費等等;

4,網民用戶的對於網路安全的意識依然很差:
很多人的手機都是裸奔狀態,上網隨意到處留自己個人聯繫方式地址等等,公共場所隨意蹭免費WiFi等等,沒有良好的自我保護意思;
安全問題本身就是一個很容易被忽視的問題,往往就有亡羊補牢的感覺。

5,詐騙犯罪案例破案率不高:
運營商、公安機構之間的...以及此類詐騙的流動性、不穩定性

光丟問題不給辦法的都是喂毒雞湯!!!
1,網購時盡量將購買的商品郵寄到公司或者附近集散地自取,單身女性尤其注意;
2,網購填寫的快遞單信息和姓名可以不實名的,那麼多猴子派來的逗比不都收到快遞了嘛;快遞單清除個人信息後再丟;網上就別隨意留地址電話了。
3,手機盡量使用3G、4G,偽基站目前攻擊的對象基本都是2G手機用戶;
4,可以使用手機安全軟體。


有些答案好啰嗦,堆報告的又是什麼鬼。

1,對系統底層許可權的爭奪更為劇烈。
2,BYOD和支付應用拋棄OS,自己單幹隔離,系統加固、沙箱和虛擬機蓬勃發展。
3,APP濫用WEB組件和非加固通信是作死。
4,WIFI 不可信任,運營商通道更安全。
5,巨大的養雞場和跳板市場。
6,一鍵式、碎片式社工庫源頭。

直接結果:我會多買幾台手機…
誰都不信,物理隔離!


知乎的話題往往很大,大到沒邊。

作為長期折騰殺毒軟體的人來講,我們重點關注的點,在終端。但終端系統的安全,僅僅只是移動互聯網安全的核心問題之一。

現在有一種觀點很流行:原來是中個病毒,現在是中殺毒軟體。從來沒見手機中過毒,手機病毒都是安全公司編出來唬人的。等等

需要說的是,手機病毒的總量上升的很快,受利益驅動,大量寄生在PC系統的黑產,正在轉向攻擊移動設備。只不過,攻擊者圖的是錢,悶聲發大財的病毒大有人在。在絕大多數情況下,被攻擊者無法感知到自己被攻擊。因此,相當多的人認為:手機病毒都是安全廠商在忽悠。

2016年,獵豹移動抓到過一個很NB的病毒黑產「悍馬(hummer)病毒,有非常多的證據證明這個病毒來自國內某家上市公司的子公司。其作法是:利用各種手段獲得ROOT許可權,可完全控制中毒手機做任何事,但是,你懂的,除了錢,其他事,並不是這個木馬的重要目標。這個病毒構造了遍布全球的手機殭屍網路,出現在全球100多個國家,被安裝的設備數千萬台。其盈利方式,就是在世界各地流氓推廣,靜默安裝app,彈出廣告來掙錢,收益十分巨大。

這些人,並不直接控制受害者手機去完成網路盜竊、隱私竊取或網路攻擊,流氓推廣和靜默安裝並沒有被國家網路安全法明令禁止,正處於三不管地帶。為防止遭遇可能的法律制裁之劍,這些病毒的經營者,甚至僅把目標放在海外,中國大陸的受害者非常少。從司法管轄的角度看,警察甚至拿這些人沒辦法:受害者都在國外呢……

類似的手機黑產,並不僅限於一個悍馬病毒,實際上,很多病毒團伙盯上了海外市場。獵豹移動曾經追蹤過好幾個,追到最後,發現不少跟中國大陸的開發者有關。

以上這種黑產,涉及到若干個安全相關因素:

1.利用安卓系統安全漏洞攻擊——安裝後直接ROOT手機,關注安全的,還應該注意到某些黑客組織、政府機構使用了大量不為人所知的武器級漏洞攻擊工具。

2.利用混亂的安卓應用市場傳播——即使是Google Play,也一樣會有惡意軟體未被檢測出來……

3.利用人性弱點推廣:黃賭毒,是人類這種動物的剛需

4.利用安全軟體的弱點和系統不可修復的缺點長期存在。

據我們統計,悍馬病毒感染後,即使我們提供了專殺工具,徹底清除率也很不理想,因為殺毒軟體沒有ROOT許可權,而病毒有。有大量低價手機沒有系統支持服務,一旦出現漏洞,除非用戶扔掉設備換新的,漏洞將一直存在。

除病毒木馬攻擊之外的其他風險:

1.網路接入風險——WiFi,很多人說過很多遍了,似乎無解。

2.數據泄露風險——終端和服務端都存在,服務端的信息泄露,終端用戶無解。還有無法控制的內鬼。

3.釣魚網站、山寨app——沒什麼技術含量,但非常實用

4.社工直擊人性的弱點,公眾普遍存在的安全意識薄弱。

5.物聯網及智能設備風險,同樣:漏洞是入侵基礎,修復難上加難,終端還沒有防禦工具。


鄧爺爺說,社會主義初級階段的主要矛盾,是人民日益增長的物質文化需要同落後的社會生產之間的矛盾。移動互聯網安全問題的核心,或者主要矛盾,是移動互聯網用戶貧乏的安全意識同日益猖獗的網路安全攻擊之間的矛盾。

我原來也算一名黑客,只不過屬於俠之大者,為國為民,不求聞達諸人(瀑布汗……)。後來不搞技術了,轉做安全產品、風險諮詢,再後來負責業務風險。感觸最深的是,影響上述矛盾的,或者說,左右移動互聯網安全的,恰恰不是技術,而是利益,再直白一些說,就是安全事件觸動了誰的神經。

我們把安全問題按用戶分為三類:一類是個人,一類是企業,一類是政府。

個人碰到了攻擊事件,能做什麼呢,5000以下不一定給立案。即使立了,由於移動互聯網在地域上的無限以及運動上的便捷,也很難追索。看運氣吧。唯一的好處就是,提升了該客戶的安全意識。前一段時間還有一篇新聞稿,說一位阿姨無視銀行、公安的三次勸阻,成功將錢寄給犯罪分子。安全意識很重要,這是需要國家、社會花大力氣去做的事情。我接觸過不少案例,很多人是把錢寄出去的那一刻如夢方醒,其實安全教育的目的就是把大家「醒」的時間提前。

我看到有人對詐騙等安全事件(攻擊)不屑一顧,認為毫無技術含量,這說明不了解黑色產業鏈。什麼在驅動著網路安全的黑色產業鏈,利潤、金錢,投入產出比很重要,技術門檻也很重要,一兩個高精尖的黑客現在還無法左右什麼,一兩萬精通詐騙的犯罪分子呢?再者說,即使是真正的技術攻擊,也需要踩點,搜集關於目標的各種信息,利用手邊的各種工具,例如google search,搞一搞社會工程,這也不是大眾理解的所謂「純技術」,不管黑貓白貓,逮著老鼠就是好貓。

企業,其信息更有價值,如果該企業在跟錢打交道,例如銀行、支付機構,那麼網路與信息安全不亞於其生命線了。對網路安全的重視程度,以及應對攻擊的水平,與企業性質以及潛在被攻擊的標的有很大關係。

當前企業應對攻擊一般有兩種戰略,一種是深挖洞、高築牆,打造安全的閉環,以銀行為代表,一切都在自己控制範圍內,嚴格的准入,多樣的認證工具,加密的通路,把要保護的東西層層防護,關在籠子里。一種是走開放的生態,更注重參與客戶安全意識的培養(例如持續的大面積的宣傳與合作)以及損失案件的及時化解(例如跟保險合作的賠付),同時做大做強事中監控,以降低對客戶安全意識的預期,以支付機構為代表。

但話說,企業面對網路攻擊也是野路子居多,不注重物理安全,不注重災備,不注重外包管理,不注重網路隔離,不注重許可權分級,一旦出了事件就各種疲於應付,查缺補漏,往往的狀態是,啊,這個沒有做,啊,那個也沒有做。我們說企業安全意識貧乏,與個人不一樣,不是頭腦中知道安全重要就可以了,得有相應的知識體系,網路攻擊從來也不什麼純技術,從硬體到軟體,從規章到人員,哪個沒到位,就是風險敞口。說句不好聽的,犯罪分子對一家企業的移動互聯介面/產品的熟悉程度,遠超產品經理啊。

政府,乃至國家,無需多言,2014年已設立中央網路安全與信息化領導小組,網路安全已上升至國家戰略,前幾日國務院學位委員會和教育部聯合發文,增設網路空間安全一級學科。以前講海陸空三維戰爭,後來增加了外太空,現在要加上網路這一緯度。但路漫漫其修遠兮,我們還沒有拿的出手的自己的晶元和操作系統,需要國人的一起努力。其實,堅固的堡壘很容易從內部突破,提升每一個人的安全意識,也是愛國愛家。

如何防止家裡被盜,把普通門換成防盜門,這是技術手段,再加裝防護欄,這屬於考慮比較全面,此外還看,小區的安保配置,跟鄰居大媽的關係,所屬的區域位置,當地公安的打擊力度,等等。

我之所以把個人、企業、政府乃至國家的意識、態度、知識放在首位,看做核心和主要矛盾,就是想說,內在的動力才是真正的驅動力,再先進的「武器」,也無法抵禦「人民戰爭」。個人、企業、國家都要有安全這跟弦,技術落後沒關係,不斷查缺補漏也沒關係,關鍵是看是否已經「醒」來。

以上,是個人的觀點,供參考,不爭論。

歡迎關注我的微信公眾號:莫道尋常[mdxunchang]。混跡銀行,行走在業務與風險之間,這裡沒有乾貨,也沒有私貨,每一篇都是思索與感悟,於尋常處探索真知,踟躕獨行,吾道不孤。

http://weixin.qq.com/r/e0PXz4DEgd3_rcSs9xZp (二維碼自動識別)


謝謝邀請。其實對於移動互聯網安全,我也不太懂,只能發表一些很膚淺的觀點。如果各位有不同的觀點,歡迎提出。移動互聯網安全領域,主要的OS有Google的Android,蘋果的iOS。Android是基於Linux操作系統,開放源代碼,在應用上審核上沒有嚴格的審核機制。導致Android應該市場上惡意軟體橫行,連一個很普通的應用都要調用的讀取簡訊、讀取通訊錄等許可權。
其實不論是PC的OS, 伺服器OS,還是移動OS,安全問題的本質其實就是許可權的控制、分配問題。許可權可以分為主體的許可權和客體的許可權。主體的許可權即進程的許可權、用戶的許可權。在上一個OS上,進程的許可權主要有兩種,一種是超級用戶許可權,比如Linux,Android系統的root用戶許可權,Windows操作系統的Administrator許可權,OSX的用戶問題許可權。另一種是普通用戶許可權,比如,用戶登錄到Android系統以後, 就是以普通用戶許可權登錄上去,那麼用戶登錄手機後,所啟動的進程的許可權就是普通用戶許可權。
以Linux操作系統為例,其默認使用的是rwx--w--w--這種9位許可權碼方式進行許可權控制,即對於文件的操作許可權分為了三類用戶,文件所有者、同組用戶、其它組用戶這三類。後來Linux操作系統還引入了ACL(訪問控制列表)。Android系統除了繼承了Linux的9位許可權碼許可權控制機制,還將系統資源抽象出了許多細分許可權,比如,讀簡訊、讀通訊錄,調用GPS, 調用藍牙等幾十種許可權。所以在Android手機安裝應用時,經常會提示是否允許程序具備某種許可權。Android 4.3版本以後啟用了SEAndroid, 即啟用了強制訪問控制的Android。這個機制如果使用得當,可以對Android系統起到較好的保護作用。因為SEAndroid對於進程的許可權進行了更細緻的劃分,比如,原來Android對於文件的許可權只為分了「讀,寫,執行」這三種許可權,而SEAndroid可以將許可權細分為讀,寫,建立鏈接,刪除鏈接,追加,刪除等許可權,從而可以對進程許可權更好的控制。
iOS相對於Android來說,許可權的控制更加嚴格。iOS本身啟用了沙箱機制(Sandbox),默認是將應用放在一個獨立環境中進行運行。而且如果沒有越獄的iOS,只能從APPstore上下載應用,可以較好的系統安全。


瀉藥~
移動互聯網 @古振 已經說了很多,其實不管是移動還是傳統PC安全問題有很多共性,這裡補充幾點詳情。

  1. 大名鼎鼎的 DDOS,移動互聯網根本還是要傳統Server支持,DDOS仍然是尤為棘手的問題;
  2. Server端傳統安全問題一樣重要;
  3. 手機系統許可權管理,安卓這點做的極其不到位。安裝軟體時請求一大堆許可權,必須允許才能安裝(一般人根本不看)。一旦安裝完畢,國內那些流氓你懂得的;
  4. 各大廠商SDK肆意盜取用戶隱私,XX推送,XX聊天,XX統計,XX支付各種SDK。其實大家都明白他們除了做本身的基礎功能還在幹什麼;
  5. 當前Wifi及其不安全,特別是一些私人架設的,命名為ChinaNet CMSS之類,抓包。還是那句話,陌生的Wife盡量少上,以免懷孕;
  6. 別信什麼XX安全衛士 XX殺毒,其實就是自己霸佔你的手機肆意玩耍,不允許別人進來。
  7. 安卓應用市場泛濫,在這些市場上過APP的人都知道是怎麼回事,說到底這地方就是根源;

想到再補~


核心是安全沒用


最核心的問題只有一個:就是


這個問題,最好不要擴大化。網路安全就談網路安全,技術向。要是把釣魚網站、詐騙簡訊也算進來,也不是不行,但沒啥意思。光顧看手機一不小心走溝里去,這算不算移動互聯網安全問題?


謝邀,可以參考博文「移動安全趨勢-微月信」

移動設備應該跟隨最新的安全趨勢,配備最新的安全技術。常見的一些移動設備安全趨勢如下:

Antivirus Protection,防病毒保護

Anti spyware Protection,防間諜軟體保護

Follow the suggested password rules,遵循建議的密碼規則

Keep enable the feature to locate the device remotely,使能遠程定位設備的特性

Keep enable the feature to lock the device remotely,使能遠程鎖住設備的特性

Implement/enable the option to wipe out the data remotely,實現遠程擦除數據的選項

Make sure operating system and software updates are up-to-date,保證操作系統和軟體最新

Provide encryption options,提供加密選項

這些當然都是移動互聯網公司會考慮在產品中實現的。


其它:

ü Biometric Reader(生物讀卡器):基於用戶的生物特徵(如指紋)來表示設備的所有者,防止設備的非授權訪問。

ü Encryption加密:保護敏感數據,很少有移動設備提供操作系統自帶的加密功能,加密可以提供比PIN或者密碼更強的安全防護。

ü Avoid Public Wi-Fi Networks for secured transactions:很多公共WiFi網路沒有任何安全措施,很可能是釣魚WiFi,最好選取安全的WiFi或者電話網路(2G/3G/4G)等。

ü Use websites for secured transactions:很多websites配有安全證書和https等,但是移動apps缺少這樣的安全配置,安全交易最好通過website進行。

ü Antivirus/spyware Protection:防止移動病毒、蠕蟲、木馬、間諜軟化和其它惡意軟體。

ü Remote Locking/password change:當設備丟失時或者被偷後,可以遠程鎖住設備或者改變密碼。

ü Remote Wipe:設備被偷或者丟失後,可以遠程擦除安全數據,在擦除之前提供備份的功能選項。

ü Locate/track the device:跟蹤設備。

ü Device Scream:設備丟失時比較有用。


一個是數據的安全,要保護好資料庫不被攻擊。一個是入口的安全,如APP的安全。


以多年關注此領域的身份認真回答!

騙子的對象一般是針對學生和上了年齡的人!主要這兩類人群對網路環境不太了解,安全意識較為膚淺!

如何防範類似事件發生,以下三點可以參考,並了解!

說三點

1.自身網路安全意識要提高

我們面對的挑戰是持續不錯的,天底下不可能沒有小偷。所以個人意識教育是一個持續不斷的過程。在今天看來,青少年也成了網路安全教育的重點,以前總以為老年人才需要網路安全教育,可實際發現,青少年也是很需要網路安全教育的,這個也是特別重要的。

2.能力與方法的升級

不是大家要實明制就要實名制,想像那麼簡單,我們必須要讓方法得以升級。比如說真的是實名的話,很多身份證是真的,但不是網路騙子,有可能是網路騙子從別人那裡買的,並非網路騙子自己的,最後還是抓不到網路騙子。要想達到效果,要用到今天新的技術,比如實時的視頻通話,多緯度的驗證系統,比如電話、銀行、身份證等等很多行為數據放在一起,來最後認定這是個人就是本人,才可以達到這個效果,這個就是要有方法的升級。

3.全社會共同的努力

而且這並不是某個部門或環節能解決問題的,大家不要認為說實名制解決了就解決了,必須多個緯度,多部門合作,比如網路騙子賬號的封塞,還有資金的封堵,網路騙子偷了你的錢,在半路上堵住,快速追查網路騙子的來源,及最後把他抓起來,都要配合在一起才可以,這個需要全社會進行共同的努力的。

碼字不易!若覺得不錯,歡迎右上角點贊和關注微信公號↙↙↙

網路安全說(wangluoanquanshuo)


謝謝邀請,移動互聯網安全大體可以分為:設備安全、系統安全和應用安全。手機廠商之間競爭越來越激烈,安卓系統自身的存在的漏洞和層出不窮的手機應用,讓越來越的安全問題暴露出來。以企業為例,在國外,許多企業會提前把安全隱患提前考慮到,然後採取防禦措施。而在國內,大部分企業只有在出現了安全問題後,才想起來採取措施。如國內知名遊戲2048,曾經紅極一時,但它在防破解和盜版方面沒有採取任何保護措施,甚至常見的代碼混淆都沒有做過。導致上線後出現了大量的盜版應用,最後他們不得不在自己的官網寫上「這是正版2048」的聲明。所以對企業而言,安全意識尤其重要,這是對產品和企業發展前景的判斷和預知。


謝謝邀請。我簡短回答一下:數據安全(生命周期、採集、存儲/使用、轉移、銷毀、企業信息泄露)、應用安全(訪問控制、調試介面暴露、多餘功能許可權、完整性、健壯性、協議安全、敏感特性)、web安全、OS安全、代碼安全、設備安全、攻擊防護等


個人感覺,大多數公司還是關注在應用層面的安全。少有公司會針對android操作系統,iOS操作系統進行關注。這和公司所做的凳子有關,同時技術能力也是一個很大的門檻。
然而真正有效的,或者能夠發揮更大的作用,往往在於對系統、對底層的深入了解。像手機助手、安全管家之流應該不成大事。
個人觀點,望勿噴。


移動互聯網公司最應該關心的安全問題有哪些?
由於移動互聯網的發展,越來越多的產品會涉及的人們生活細節方方面面的敏感數據。獲取有一天真可以利用這些數據複製出一個虛擬的「你」出來(像《黑鏡》中一樣)。所以覺的企業最應該關心的保護用戶的這些數據,至少不因為你自己的原因泄露了。--泄露了應該要負刑事責任。。


首先感謝邀請,同樣的第一次接受邀請,倍感榮幸,其實針對您的問題【移動互聯網公司最應該關注的安全問題有哪些】個人而言我確實沒有一個明確的概念或是理解,我想根據自己的想法和您簡單說明一下這個問題【對於移動辦公的公司或企業應該關注的安全問題有哪些】,1:個人覺得包含設備自身OS的安全;2:設備的接入許可權控制安全;3:數據安全,包含哪些數據,本地存儲,應用承載等數據。


最應該關心的是,別讓自己的代碼成為炮灰 ,盡量別讓自己的產品出現盜版或者代碼泄漏。做好安全加固。代碼審計不嚴格將會衍生各種安全問題,從本地各種組建,資料庫,到傳輸層和伺服器安全,都會受到影響!!!


第一次收到邀請,我也是蠻受寵若驚的。 其實我剛開始學習移動安全,連進入移動安全領域的大門還沒看到,只是小菜一枚。 現在移動安全比較重要的是數據安全吧


推薦閱讀:

TAG:移動互聯網 | 網路安全 | 移動支付 | 移動安全 | 詐騙電話 |