口袋妖怪小知识十三期（口袋里的妖怪）

口袋妖怪小知识十三期（口袋里的妖怪）小白：快点讲吧，东哥。大东：好，接下来我就给你扫一扫移动设备安全这方面的盲点。小白：是啊，东哥，给你看看我的新手机，好看不？要不你也换一个手机吧，我看你口袋里的手机都使好几年了！大东：哈哈，是该考虑更新换代了。不过在这之前，我要考考你，你知道在这些移动设备带给我们便利的同时，还给我们带来哪些安全威胁吗？小白：这些我倒真没怎么考虑过，完全沉浸在手机带给我的舒适感了，东哥快给我普及一下这方面的知识吧，要不将来某天我被自己的手机“袭击”了都不知道怎么回事。

一、小白剧场

小白：东哥，现在的手机功能真是越来越丰富，越来越方便了呢！前段时间我刚换了一款手机，几乎所有的事情只要用我的手机就能解决了，什么也不用带，真是惬意啊！

大东：哈哈，你还真是赶潮流呢，手机换的挺勤啊！正像你所说的，现在的移动设备真的是越来越方便了，什么手机支付、手机购票、手机订餐等等，只需要一个电话，就能解决我们的衣食住行！

移动设备下的衣食住行 （图片来自网络）

小白：是啊，东哥，给你看看我的新手机，好看不？要不你也换一个手机吧，我看你口袋里的手机都使好几年了！

大东：哈哈，是该考虑更新换代了。不过在这之前，我要考考你，你知道在这些移动设备带给我们便利的同时，还给我们带来哪些安全威胁吗？

小白：这些我倒真没怎么考虑过，完全沉浸在手机带给我的舒适感了，东哥快给我普及一下这方面的知识吧，要不将来某天我被自己的手机“袭击”了都不知道怎么回事。

大东：好，接下来我就给你扫一扫移动设备安全这方面的盲点。

小白：快点讲吧，东哥。

二、移动威胁的前生今世

大东：有数据记载，2017年上半年，手机移动设备迎来使用高峰，这大大促进了相关移动设备厂商的发展，但同时，网络犯罪分子也跟紧时代浪潮，将矛头转向了移动网络！

小白：原来在2017年手机网络就已经这么普及了啊，那在2017年犯罪分子有采取行动吗？

大东：犯罪分子的目标只有一个，就是获取不法利益，他们当然会审时度势，不会错失大好的攻击机会。仅在2017年第一季度，就发生了超过1600万件的移动恶意软件攻击事件，并且McAfee实验室当时就已检测到多达150万种新的移动恶意软件。

小白：这么可怕的攻击效率吗？东哥，快给我介绍一下移动安全方面有哪些我们需要注意的的内容吧。

大东：首先谈一谈我们日常生活中常见的移动安全内容吧，毕竟小白你经常会遇到。

小白：好的，东哥。是什么内容呢？

大东：那就是小白你无时不刻不在使用的移动支付服务。

小白：移动支付怎么了呢？不就是“扫一扫”，就花钱买到我们想要的东西了么，比用钱包拿钞票方便多了！

大东：嘿嘿，就是这个“扫一扫”，可有大文章。近年来移动支付遍布大街小巷，不论是大型商场还是路边煎饼小摊，随处可见“扫一扫”支付。一定意义上而言，移动支付便利了我们的生活，但同时不法分子也会暗中放冷枪。

小白：（不禁打了个寒颤）什么冷枪？这么瘆人！

大东：首先我给你讲一讲二维码这个东西，二维码支付流程分为支付指令的生成和处理两个阶段。其中支付的风险点主要集中在指令生成阶段的二维码生成和识别环节。

小白：之后呢？这个冷枪在这个环节是怎么“射”出的？

大东：哈哈，你先别急。二维码的码制有国家标准，虽然它在技术上已经有了国家标准——QR码，但二维码在应用上还没有相应的规范，并且目前二维码市场缺少安全技术手段对手机扫码进行管控，可以说无人监管。

小白：无人监管就是一个契机吧？

大东：没错！QR二维码的码型是开放的，当前二维码制作标准的门槛低，任何人都能轻而易举地制作。如果有人制作了恶意二维码，用户扫码后接入隐藏在二维码背后的假链接、假网站，攻击者就可以通过网站非法骗取受害者的资金、盗取受害者的身份信息等。

扫码钓鱼（图片来自网络）

小白：看来平时扫码的时候我也要小心了。东哥，再给我介绍一下移动安全的其他内容吧？

大东：好，咱们接着聊。说完了市井之间，咱们再说说企业中的移动安全。

小白：东哥，别卖关子了，快讲吧。（期待地揣手手）

大东：企业需要注意的是一类APT持续的、企业级的间谍软件。

小白：这是为什么呢？这种间谍软件是怎么一回事？

大东：企业员工在与企业网络访问、语音激活和 gps 跟踪等移动设备紧密接近的情况下，恶意攻击者便会使用间谍软件来感染移动设备。这一策略在 ios 和 android 设备上都得到了成功的证明。

小白：哇哦，有什么间谍软件的例子吗，东哥？

大东：2017年8月的帕伽索斯间谍软件，能够劫持掉任何 ipad 或 iphone ，之后进行数据收集和监视。并且研究人员还发现了三个 ios 0day 漏洞，一旦被攻击者利用，就会形成攻击链，甚至破坏苹果强大的安全环境。

小白：这么恐怖，连苹果的IOS安全环境都攻破了吗？

大东：好在苹果在其9.3.5 补丁中迅速修复了这三个ios 漏洞，没有造成严重后果。

小白：有没有袭击android系统的间谍软件呢？

大东：2017年4月，飞马间谍软件版本的 android 伪装成一个正常的应用程序身份供用户下载，一旦被下载攻击者便会秘密获取设备root权限，来监视用户。

小白：看来大公司还要在移动设备的安全方面多多注意啊。

大东：没错，如果不法分子想攻击一家公司，那么一个可能的途径就是攻击一个特定组织的移动设备。目前仍然有很多组织允许他们的移动设备在公司网络上存在 甚至包括一些更高价值的设备。所以移动设备安全是重中之重！

三、移动威胁的防范措施

小白：东哥，讲了这么多移动安全的内容，我们平时要怎么防范这种移动威胁呢？

大东：首先，最基础的也是最重的就是移动安全知识的普及，因为大多数移动威胁的矛头都指向了兢兢业业的“劳动人民”。

小白：没错，现在虽然或联网、移动设备普及，但安全知识的普及却远远不够，才导致的移动威胁萌芽。东哥，我们需要普及哪些知识呢？

大东：针对“扫码”隐患问题，要使群众认识到二维码的安全隐患。对消费者而言，应该在安全意识和技术保障两方面扎紧篱笆。对监管层而言，应尽快制定有关二维码的监管法规，同时，加强查处打击力度，保护消费者的权益，在遇到二维码诈骗案件时，应及时关闭相关运营商。

小白：嗯嗯！那东哥，还有没有其他针对企业的防范措施呢？

大东：在企业中，首先要提高企业对移动安全的重视，以及加强所使用的现代移动端操作系统内置的保护机制。尤其是新兴的物联网，无防护措施的物联网设备导致的数据泄露问题将会是灾难性的。

小白：针对移动网络，我们有没有什么整体的保护机制呢？

大东：要保护整个移动网络是非常困难的，因为它太分散了！如果你的应用程序下载了一个简单的更新，这是一回事，但如果它下载了一个更新，然后启动一个恶意的活动，这就是完全不同的故事了。

小白：确实，那在企业中应该怎样从威胁源头降低攻击发生的可能性呢？

大东：对于公司而言，为了更好的降低风险，用户行为意识和员工培训都应该随着威胁不断加强，防止员工被钓鱼导致公司受损失；同时对于一些敏感数据，采取数据丢失防护（DLP）工具是最有效的保护方式。

数据泄露（图片来自网络）

四、移动威胁攻击事件

小白：东哥，有什么比较著名的移动威胁攻击的案例，给我介绍介绍呗？

大东：2016年11月，某互联网安全公司发布报告称，一款名为 “Gooligan” 的特洛伊木马程序将自己伪装成合法应用入侵Android智能手机和平板电脑，自8月以来已控制了 100 多万个谷歌账号。

小白：数据好惊人啊，那他是怎么出现的呢？

大东：这个恶意软件曾被几个安全厂商报告，并归因于不同的恶意软件家族，如Ghostpush、MonkeyTest和Xinyinhe。直到2016年的夏天，恶意软件再次出现一个更复杂的架构，注入了恶意代码到Android系统进程。

小白: 原来是蓄谋已久啊，那它又是怎样工作的呢？

大东：当用户在易受攻击的Android设备上下载并安装Gooligan感染的应用程序时，感染开始。用户也可以直接通过在网络钓鱼攻击消息中点击恶意链接进行下载。

小白：安装感染程序之后呢？

大东：安装受感染的应用程序后，它会将有关设备的数据发送到广告系列的命令和控制（C＆C）服务器。Gooligan然后从C＆C服务器下载一个rootkit，利用多个Android 4和5漏洞，包括著名的VROOT（CVE-2013-6282）和Towelroot（CVE-2014-3153）。

小白：这些漏洞没有修复吗？

大东：这些漏洞仍然困扰着今天的许多设备，因为修复它们的安全补丁可能不适用于某些版本的Android，或者补丁从来没有由用户安装。

小白：还是挺麻烦的一件事呢！如果它下载成功呢？

大东：如果成功，攻击者可以完全控制设备，并可以远程执行特权命令。在获得root访问权限后，Gooligan还会从C＆C服务器下载一个新的恶意模块，并将其安装在受感染的设备上。

小白：该模块有什么作用呢？

大东：该模块将代码注入，运行谷歌Play或GMS（谷歌移动服务）来模拟用户行为，以便Gooligan可以躲避检测。

小白：它做了这么多，最后的目的是什么呢？

大东：它们主要窃取用户的Google电子邮件帐户和身份验证令牌信息，安装广告软件以产生收入等。同时当授权令牌被黑客窃取后，他们可以使用此令牌访问与该用户相关的所有Google服务，包括Google Play，Gmail，Google文档，Google云端硬盘和Google相册。

Gooligan攻击过程（图片来自网络）

小白：真是棘手啊，东哥，那这个事件最后是怎样解决的呢？

大东：事件发生一段时间后，谷歌在Google 上发帖，呼吁用户只通过Play下载应用。另外，对于越来越多的安卓安全风险，谷歌负责安卓安全事务的高管AdrianLudwig日前发表文章表示，他们已采取了许多措施来保障安卓生态系统的安全性。

小白：大概都有哪些措施呢？

大东：这当中包括取消受恶意软件感染用户的令牌信息，重新让他们安全登录谷歌账号；在用户的设备上删除恶意软件；另外推出“Verify Apps”等功能。谷歌也在和宽带接入公司进行合作，共同消灭恶意软件。

小白：那我们国内的应用要不要特别注意一下呢？

大东：国内的应用不需要太过担心。国内大部分的应用平台都有自己的检测体系，能够有效的防止恶意应用被安装用户手机中。如果还是不放心自己的手机安全，可以对手机权限进行管理，同时取消已经授权的ROOT权限应用。

五、移动威胁防御技术的未来

小白：移动威胁问题无论怎么肆虐，我们总能找到最新手段来应对，邪不胜正。东哥，能给我介绍一下防御技术的最新研究吗？

大东：目前，市面上有许多移动威胁防御系统，我就给你举个例子聊聊我国强大的移动威胁防御技术吧。

小白：好的，东哥，快讲吧。

大东：某互联网公司曾推出一款移动威胁防御系统，是解决移动终端安全问题的重要工具，是集风险检测、数据收集、风险分析、安全分析等功能为一体的移动威胁防御系统。

小白：感觉好强大的样子，他的核心功能是什么呢？

大东：首先，它提供终端威胁感知，并有极强的检测能力，主要包括应用安全检测、网络安全检测、系统安全检测、系统漏洞检测四个方面。其次是策略中心对终端安全健康分数评级，让用户对终端安全状态有直观感受。

小白：一些企业常常需要做报表展示数据，该系统有报表功能吗？

大东：当然，数据报表中心可对终端所有安全检测记录扫描，并上报，同时展示每次扫描的风险项。风险项数据包括：扫描的时间、扫描的风险、风险内容，风险在终端的路径、风险威胁等。

小白：对于移动威胁的相关数据，他是怎样处理的呢？

大东：它通过对所有终端安全扫描的数据收集，动态展示终端扫描的所有的风险应用，显示应用名、风险类型、风险最早发现时间、包名、文件类型、感染终端。

小白：哇，这个系统功能真的是很全面呢，是防御移动威胁的一把利器。

大东：没错，对于我们而言，有一把防御的利器还是远远不够的，我们还要提升自身的安全意识，掌握实时的互联网安全防御知识和技术，才能在使用类似的移动威胁防御系统时，发挥出其真正的实力，才能更好地保护自身的财产安全和国家的网空安全！

参考文献：

1. 2019年 这6大移动安全威胁需要认真对待

https://baijiahao.baidu.com/s?id=1618891929641178337&wfr=spider&for=pc

2. 别把移动安全不当回事儿！来看移动安全5个主要威胁~

https://baijiahao.baidu.com/s?id=1591796184603903706&wfr=spider&for=pc

3. “Gooligan”病毒入侵 130 万谷歌账户

https://www.kejianet.cn/gooligan/

4. 超过100万谷歌帐户被Gooligan黑了

https://www.jdon.com/48566

来源：中国科学院计算技术研究所