网易科技讯 9月24日消息,2013年中国国际信息通信展览会暨ICT中国·2013高层论坛开幕式今天在北京皇家大饭店举行。网易科技以独家合作门户网站的身份在现场直播报道。
以下为奇虎360副总裁石晓虹演讲。
主持人:下面报告是奇虎360的副总裁石晓虹做报告。
石晓虹:很高兴有这个机会能够参加这个会,我是360的技术副总裁,主要是负责我们公司的相关技术产品,以及在我们承担大的科技项目,政府科技项目的工作。今天大家讨论的是ICT,尤其是移动互联网,360是专注在安全这个领域,移动互联网,未来有非常大的发展空间和想象力,但是安全始终是基本的问题不管用什么样的互联网的业务和服务,首先保障安全。我给大家介绍一下,我们现在看到的移动互联网有哪些安全问题,以及我们在这方面的有哪些应对战略。
360公司的情况,我不多说了,略过。其实提到360,大家会看到,我们是在安全方面有很多的产品,除了面向个人的一系列的安全产品以外,我们最近也推出了面向企业的安全产品,包括360的企业版以及最近针对APT攻击,目前在安全领域比较火的词,我们推出了相应的产品。上周五美国一家公司,火眼刚刚上市,40亿美金左右,在APT攻击的检测和防御这方面是比较著名的公司。其实除了安全以外,360我们在浏览器、搜索、应用商店、云存储、游戏等等很多领域也都发展了自己的产品,其中的重点我们针对移动互联网,我们在智能手机的安全,以及在智能手机上的应用商店应用分发的入口以及其他分发上面有了重要介绍,智能移动互联网方面进行介绍。
360手机卫士,所有主流平台包括安卓、IOS或者还有Windows Phone,塞班往下降了,主力平台上已经有了相应的版本,提供了一系列的功能,从木马查杀到骚扰电话的拦截,重要信息数据的备份,我们提供其他手机端安全和手机优化的软件。我们在智能手机的安全软件这个市场,根据第三方公司的统计数据,我们在今年其实第一季度,包括现在我们在这个市场里面用户的市场份额超额70%,是这个市场内目前用户量规模最大的产品。
下面我想简单介绍一下我们所观察和思考到的,移动互联网的安全的主要问题,我们把它大概分成四个类别,一个是系统安全,大家比较容易理解,在智能手机上面,木马病毒恶意软件的侵害,它能导致你的手机或者个人隐私信息被窃取,还有就是通信的安全,包括基本上每个人碰到的垃圾短信和骚扰电话,包括还有恶意扣费。还有,你的手机上的个人数据,个人信息的安全,你的手机上存储的各种各样的照片、视频、录音、文件等等这些数据,很可能会面临恶意软件这样的窃取,还有你的设备,手机一旦丢失或者窃取之后,你所有里面的资料如何去保护等等。大概分为四个方面来去看智能手机,智能终端面临的安全威胁,这是我们统计的过去一年在安卓平台上面的恶意软件的样本出现的数量,可以看到,这是快速增长的趋势,大概在2012年,我们所捕获的安卓的恶意软件样本数,大概是2011年的20倍,这是非常快的增长。
在恶意软件的主要的危害里面,这是我们一个统计,主要的危害,第一个是资费的消耗,产生不必要的流量,来导致你上网资费大量被消耗。另外很重要的是隐私窃取,恶意软件通过去非法读取你的通信录,你的通过记录、短信等等窃取个人隐私,这是主要危害行为的分布。从恶意软件的传播途径来看,目前手机上的恶意软件通过应用商店或者下载站第三方的分发的平台,传播比例是最高的,大概超过60%。还有一个非常高的比例是通过Room的内置,不同的刷机,这种商店,刷机的店家里面,用户通过刷机过程中装进来,还有通过其他的像危险的危险二维码或者欺诈短信等,这都是主要的传播途径。
除此之外,所有的这些在用到的APP,大部分APP也是联网的,所以我们看到在这些应用的服务端,也普遍存在这样的漏洞,安全措施是不到位的。那么通过这样的一些漏洞,手机上的恶意软件或者黑客可以入侵到这些开发者或者服务商的服务器,类似于CSDN的事件会重新发生。现在通过手机向用户或者短信等等方式发送恶意链接,钓鱼欺诈的链接越来越多,用户点击之后启动浏览器访问恶意的页面。还有就是高危的漏洞,包括操作系统,我们所看到的漏洞实际上是非常多的,我们这两天360主办了互联网安全大会,在昨天的移动安全高峰论坛里面,我们公布了调查报告,针对目前国内外十家主流的智能手机厂商的,包括谷歌、HTC、索尼、LG、中华库联、小米,我们做了安全性的评估,我们发现市场上,所有安卓手机数量里面70%是厂商定制机厂商会对安卓系统做一定的修改,定制比例在70%。同时经过修改和定制安卓操作系统,我们发现里面有非常多的漏洞,其中有70%是定制而引入的,这种修改过程而引入了额外的新的漏洞,这基本上所有的厂商都存在,包括我们昨天在现场做了一个演示,除了手机厂商以外,更下游的手机芯片商,经济方案的厂商,驱动程序同样存在漏洞,通过微信有人给你发了链接,女神的自拍照,你点过去之后,那个页面是恶意网页,利用芯片里面的驱动漏洞,可以把你手机里的所有的个人信息,你的通讯录,你的邮件你的短信和通话记录全部获取并且传到服务器上,可以看到手机上的漏洞也是非常多的。而且很多手机上的恶意程序会利用这些漏洞能够实现非常多的行为,很多恶意APP恶意行为通过服务端,云控的方式来实现的,这个时候我们来检测其实也带来了比较大的困难。
另外一个角度我们来看,跟PC上的安全的问题相比来说,移动互联网产业链更加复杂,基本上每一个环节都可能引入安全风险,比如说刚才提到从芯片上的这个环节如果存在漏洞,就带来了风险。在手机厂商这个环节,对安卓市场的定制同样带来了大的漏洞,对移动运营商来说,每家运营商做自己的应用商店,缺乏里面的内容或者应用的监控,更不用第三方的应用市场了,非常缺乏对软件安全性的检测和审核机制。还有刚刚提到,推广渠道包括刷机这些渠道,还有就是这些APP,包括正常的这些移动互联网应用的开发商或者服务提供商来说,如果在你的自身软件和服务方面,没有安全的意识,容易导致被入侵,被篡改,包括之前所出现的浏览器、微信等等,一些主流的APP,由于错误的使用,HTML6 Web6的方法导致恶意的可能性,导致这种情况比较严重的。
针对一系列移动互联网的问题,我们考虑解决方案,首先我们把这样整个移动互联网安全体系框架,我们分为几个部分,一个就是面向主流的终端的操作系统,要实现一种安全加固的能力,当然从操作系统像安卓或者IOS,Windows Phone从他们方面会做出一些努力,尤其从国家层面来说,我们没有任何对操作系统的自主可控的能力,所以在这方面我们需要通过安全软件来实现加固。这里面有包括通过对这些软件的行为的监控,来实现软件的查杀,异常流量的监测以及对软件的安全性的分析等等一系列的技术。在安全软件里面,要实现一系列的功能。还包括我们要跟云端结合,其实360很多手机安全的产品里面,是中国利用了云计算或者云安全的技术来去实现恶意软件的查杀以及个人信息的备份、恢复一系列的功能,包括怎么建立针对智能终端,恶意软件甚至还包括手机操作系统本身的安全防范,安全测评的标准和技术。最终我们希望能够在移动互联网不同的层面去建立安全防护体系,整个框架实际上是挺大的框架,不是一个安全厂商能够完全做的,需要不同的产业链里面不同的角色,相互来去配合。
