標籤:

從無到有,從小米到更多丨小米安全團隊側記

受訪/小米安全團隊陳洋、張清、文煒等

採訪/小米新經濟研究中心 龐中輝

採訪手記:

小米公司Logo是Mobile Internet首字母的縮寫,同時也是「心字倒過來,少一點」,寓意是「小米多用一點兒心,讓用戶省一點兒心。」小米安全團隊正是如此,通過自己的不斷努力,修復安全漏洞、處理安全隱患、預警安全問題,讓用戶能夠更安心、更放心。無論是硬體還是軟體都不存在絕對的安全,安全團隊的意義在於不斷提高攻擊者的攻擊成本,一旦攻擊者的成本遠遠超過收益,自然就不會繼續攻擊了。

8月25日,小米安全團隊信息安全工程師張清受邀參加在新加坡舉行的全球安全峰會「HITB安全會議」,並在會議上發表主題為「Android手機中200多個漏洞的案例分析」的演講。

▲ 左為小米安全團隊張清

這次參會是小米安全團隊少有的從幕後走向台前。問及原因,小米首席安全官陳洋說:「之前一直在埋頭做事,這次剛好有這樣一個機會。我們也希望外界能夠了解我們團隊以及我們在做的一些事情。」

安全不是做給其他人看的

對於企業來說,安全可以算作一個較為尷尬的話題,明智的選擇是盡量遠離這個話題。然而,這樣很容易帶來一個問題——行業外的人士,尤其是普通用戶對安全缺乏了解,容易受到誤導。

比如,網路上廣泛傳播的安全漏洞,其中有不少是刻意誇大危險性的,利用人們的恐慌心理來炒作。小米安全團隊文煒介紹,對安全漏洞危害性的評估,不能只看漏洞的危害性,還要看漏洞的利用條件,是可以直接通過遠程攻擊,還是必須近距離接觸手機,或者需要提前拿到一些許可權的控制權。有些安全漏洞雖然危害很大,但利用條件極其嚴苛,對用戶的安全並不會產生太大的影響。

業界通用的做法是,根據漏洞的危害及利用條件,將漏洞分為忽略、低、中、高、嚴重等不同等級。針對不同的漏洞等級會有不同的應對措施。

普通用戶能夠在網路上看到的漏洞通常是刻意爆出來的。據陳洋介紹,不同公司的安全團隊之間會有較多的合作關係。比如,小米安全團隊在發現MIUI(小米公司旗下基於Android系統深度優化、定製、開發的第三方手機操作系統)的安全漏洞以後,會去判斷這一問題是MIUI的還是Android系統的,如果是Android系統的,他們也會主動去通知其他手機廠商。

張清說:「有些用戶在網上看到哪個安全團隊發現的漏洞多,就會覺得這個團隊比較厲害。其實不是這樣的,我們發現漏洞會報給其他團隊,其他團隊發現漏洞也會報給我們,漏洞解決了,整個事情也就結束了。(安全行業)已經建立起了一種很好的機制。」

對於小米以及其他安全團隊來說,安全是切切實實地保護用戶的利益,而不是做給其他人看的。

「不重視安全,無異於自掘墳墓」

2017年6月28日,小米公司聯合創始人、副總裁劉德在2017米家新品發布會上宣布:MIOT平台聯網設備總量超過6000萬,米家現已成為全球最大的智能硬體平台。如果再加上世界銷量前五的小米手機(2017Q2 IDC數據),小米安全團隊可能是守護世界上最多智能設備的安全團隊了。

這支安全團隊正式成立於2013年11月,之前他們是小米運維團隊的一部分。團隊剛剛組建就承擔起了「救火員」的責任,哪裡有問題就撲向哪裡。MIUI、小米手機、小米商城,2015年年底他們又開始負責生態鏈的安全。

負責的智能設備種類多、數量多,意味著潛在的安全風險和可能存在的安全漏洞也更多。對於小米安全團隊來說,這既是挑戰,同時也是責任。

▲ 小米生態鏈產品

陳洋說:「我們會對小米生態鏈公司的產品進行安全評估和審核,確保沒有安全問題。由於小米在IOT(物聯網)領域實力比較強,產品種類多、創新多,用戶基數大,所以,我們做的安全評估和審核,會影響到行業內的其他企業,提升整個行業對於產品安全的認知。這樣對整個行業的發展都是非常有利的。

小米在安全領域的優勢除了體現在硬體的數量和種類上,還體現在產品的多樣性上。小米公司是一家硬體公司,也是移動互聯網公司,更是新零售公司。多樣化的業務組合讓小米安全團隊能夠從更多的維度去保護用戶安全,這是其他互聯網公司或者硬體公司難以做到的。

文煒舉了一個「判斷」黃牛賬戶的例子,「判斷一個賬戶是否是黃牛,我們除了可以從賬號的登陸行為和購買行為來判斷,還可以通過購買電子產品的接入信息來判斷。比如,一個賬號購買了十幾台小米手機,一般電商網站可能就會判定為『黃牛』,但可能只是一個人給自己的朋友買,米粉經常會這樣的。我們還可以追蹤這些手機的接入地址,如果大多是在一個地方,那就可能是剛才說的情況,假如都在不同地方,就更有可能是『黃牛』賬戶了。」

團隊組建之初,小米安全團隊就採用了安全行業通用的做法——設立安全預警中心(SRC),利用「白帽子」提交安全漏洞來提升發現安全漏洞的效率。安全團隊與「白帽子」之間的關係很像是小米公司與米粉之間的關係一樣,協力合作。

▲ 小米安全中心首頁

陳洋說:「我們可能是國內首家提供現金獎勵的SRC。有一段時間提交的漏洞數量減少,我們還提高了獎勵的金額。」公司SRC之間也在相互競爭,通過提高獎勵的方式能引導「白帽子」將更多的精力放在小米的產品上。

▲ 小米安全中心提交漏洞排名

小米首席架構師、人工智慧與雲平台部副總裁崔寶秋非常重視安全與隱私,他經常說,「任何不注重安全、不尊重用戶隱私的行為,無異於自掘墳墓。」

小米在安全與隱私方面的努力也獲得了業界及社會的認可。2016年5月,小米的兩大軟體產品MIUI和小米網,獲得了數據隱私管理公司TRUSTe的認證,是國內首家獲得美國TRUSTe權威隱私認證的手機廠商。TRUSTe為全球5000多家企業提供隱私認證服務,包括蘋果、eBay和甲骨文等國際知名公司。

2017年5月31日,《南方都市報》與中國政法大學傳播法研究中心聯合發布了《互聯網企業隱私政策透明度報告》,小米旗下產品(米聊、多看閱讀、MIUI音樂、小米運動)獲評4行業隱私保護第一。

從小米產品、小米電商到更多

前一段時間,小米安全團隊又接到了一項新的任務,幫助為小米提供物流服務的物流公司修復安全漏洞。陳洋說:「安全不是一個點,而是一條線甚至是一個面,只做好自己這一塊兒是遠遠不夠的。」

安全是所有領域的安全,任何一個地方出了紕漏都可能會使用戶利益受損。比如說,電商網站可能遇到的用戶購買信息泄露,有可能是用戶自身信息保管不當引起的,也有可能是電商網站遭遇黑客攻擊導致的,還有可能是物流公司存在安全漏洞造成的。此外,用戶在其他網站的賬戶密碼信息泄露,之後黑客使用撞庫手段也有可能造成用戶信息泄露。

而對於用戶來說,他們並不清楚信息究竟是如何泄露的,只在乎自己的信息有沒有被泄露。因此,小米安全團隊開始接入更多的關聯領域,保證整個條線都不存在安全漏洞。

業務的不斷發展讓小米成為了攻擊者眼中的一塊「肥肉」,小米經常會遭遇各種各樣的漏洞掃描和外部攻擊,守護這一切的正是這支經驗豐富的安全團隊。

提及未來的安全,陳洋認為,未來通用型漏洞的威脅相對會越來越少,針對具體業務場景或具體產品的攻擊則會越來越多,包括小米安全團隊在內的所有安全行業從業者都將面臨更多的挑戰。


推薦閱讀:

TAG:小米科技 |