移动安全风险频出，祸根究竟在哪？

——从微软披露“Dirty Stream”漏洞事件说开去（一）

　　日前，微软发布报告披露“Dirty Stream”安全漏洞一事，宛如“一石激起千层浪”，引发人们对移动端安全的聚焦思考。报告显示，该漏洞可能涉及多款、有着数十亿下载量的Android（安卓）应用，利用漏洞攻击者可以悄然控制应用，并未经授权访问敏感用户数据；此类漏洞并非个例，不少流行的安卓应用程序也存在各类安全漏洞。

　　无独有偶，今年年初，iPhone（苹果）也曝出“史上最复杂攻击”。当前，在AI（人工智能）、大数据等技术的快速发展下，各类移动端安全漏洞正在不断变换花样，并滋生新威胁、新风险。

　　移动端存在哪些“软肋”？

　　如果回溯iPhone（苹果）的这次“史上最复杂攻击”，便不得不提网络安全公司卡巴斯基。这家厂商发布报告称，发现了一个复杂、高级的苹果手机“iMessage信息”漏洞，这个名为“Operation Triangulation”的漏洞，可以植入恶意程序，收集麦克风录音、照片、地理位置等数据。

　　据了解，该漏洞活跃期于2019年至2022年，在此期间仅需发送一段恶意“iMessage信息”，无需用户点击，黑客就能通过硬件级别的“后门”，直接获得苹果手机最高权限，从而开展后续恶意操作。虽然重启手机就能关闭漏洞，但重新入侵也较为容易。

　　从本次微软披露的报告看，文中除了详细介绍了“Dirty Stream”漏洞的技术细节外，也给出具体建议。比如，尽快更新Android设备，只安装来自可信来源的应用，注意授予应用权限，使用移动安全应用来扫描设备是否存在恶意软件等。

　　移动端设备安全“薄弱环节”在哪？电子科技大学教授、网络安全系主任杨浩淼介绍，智能手机等移动设备普遍存在的安全漏洞，主要包括恶意软件侵入、数据泄露、系统自身安全缺陷、软件编程错误或更新不及时等。攻击者利用这些漏洞可以窃取用户的个人信息、银行账户数据，甚至远程控制受害者的设备。

　　“随着人们对智能手机等移动设备的依赖，移动设备中通常存储着大量的个人信息和敏感数据，一旦设备被盗或丢失，这些数据就可能面临泄露的风险。”卡巴斯基大中华区总经理郑启良这样说。

　　360发布的《2023年度中国手机安全状况报告》显示，2023年出现的、迭代的新型简易组网GOIP、1人1包、无感盗刷远控等技术，已凸显了现阶段黑产行业的整体变革，从早期使用引导话术“麻痹”用户，到现在全方位技术“升级”，甚至可以对安全行业的反诈手段做定向绕过。比如，在推广引流方面，新型简易组网GOIP利用高频电话风控“漏洞”，绕过呼叫频率、离散度风控模型。

　　从360的另一份《2023年全球高级持续性威胁研究报告》可以发现，在2023年披露的APT（高级持续性威胁）攻击所利用的0day漏洞分布中，漏洞往往集中于影响面广的浏览器软件和操作系统。其中，针对移动端系统的0day漏洞利用数量增长明显。

　　AI带来的安全问题，交由AI来解决

　　中国互联网络信息中心（CNNIC）最新统计显示，截至2023年12月，我国手机网民规模达10.91亿人，使用手机上网的网民比例达99.9%。另一方面，从根据中消协发布的调查结果来看，2023年，个人信息泄露问题仍然困扰着消费者，排在各类问题的首位（37.3%）。

　　“移动端安全漏洞的攻击重点，主要涉及五个方面——数据泄露和隐私侵犯、恶意软件和病毒、应用程序漏洞、对设备的物理访问和盗窃、网络钓鱼和社会工程学。”谈及移动端安全问题现状，杨浩淼这样总结。

　　北京长亭科技移动安全负责人张一峰介绍，移动端的系统和应用在近十几年才蓬勃发展起来。它吸收了很多PC端的经验教训，在安全性的考虑上较为完善。与PC端的安全漏洞相比，移动端的安全漏洞发现和挖掘难度较大，利用起来也更为困难。

　　张一峰还进一步阐释认为，移动端的操作系统碎片化严重，除非发现安卓或苹果系统的底层通用漏洞，否则即便发现了移动端安全漏洞，影响范围相对有限，且攻击者也存在“投入产出比”的考量；同时，移动端的系统和应用版本迭代更加快速和便捷，出现安全问题后的修复相应地更为迅速。

　　“新技术催生了更智能化的攻击手段。”杨浩淼提到，借助AI，攻击者可以生成批量的钓鱼邮件、逼真的语音和图像，或进行自动化的网络攻击。此外，及时识别新型应用中的未知漏洞也是一大挑战，特别是在防范0day攻击方面。

　　“网络攻击的门槛越来越低，甚至开始出现对漏洞的自动化利用。”张一峰提到，新技术是矛与盾的两面体，也正在成为移动安全防护的关键工具。当前，国内众多网络安全厂商推出了安全大模型，辅助进行安全风险的分析和处置，且AI等新技术也开始被用于辅助漏洞挖掘和修复。

　　“以AI对抗AI，或者说是‘以魔法打败魔法’，已经成为移动安全技术发展的必然趋势。这也体现了在新技术发展背景下，攻防双方都在进行迅速的技术进化。”杨浩淼说。

　　“日用而不觉”的风险以信息安全为主

　　对于风险隐患，为何“日用而不觉”？在人们日常使用移动设备时，往往不会深入了解操作系统的底层逻辑和应用程序的代码实现，一些安全隐患往往不易被用户所察觉。

　　对此，国家信息中心研究员李新友这样归纳——一是应用权限滥用：许多应用在安装时会请求各种权限，比如，访问位置信息、通讯录、麦克风、摄像头等，如果用户不仔细阅读权限申请，可能会授予应用过多的权限，从而导致隐私泄露或安全风险；二是钓鱼攻击：这是攻击者常用的一种欺诈手段，可以伪造网站或应用界面，诱骗用户输入个人信息或点击恶意链接，钓鱼攻击通常通过电子邮件、短信或社交媒体进行；三是社会工程攻击：攻击者利用心理操纵欺骗用户泄露信息或执行操作的一种攻击手段，可能会假扮成客服人员、朋友、家人，诱骗用户泄露密码或安装恶意软件；四是供应链攻击：主要指攻击者攻击软件供应链，将恶意代码植入到合法的软件或应用中，当用户安装或使用这些软件或应用时就会受到攻击；五是0day攻击：很多时候在软件厂商发现和修复漏洞之前，攻击者就已经利用该漏洞发起攻击，这类攻击非常危险，且很难被防御。

　　“当前移动设备对大众带来的安全问题，主要以信息安全问题为主。”张一峰认为，类似“Dirty Stream”安全漏洞，以及其他从非官方渠道或不安全来源下载应用，由于缺乏官方应用市场审查，往往带有非法信息收集甚至恶意软件问题，容易成为电信网络诈骗的源头。

　　杨浩淼也强调，信息安全方面的隐患，总体上包括App后台过度收集个人信息、系统未及时更新导致的安全漏洞，以及通过公共Wi-Fi网络进行的不安全数据传输等。这些隐患都可能导致用户个人信息被不法分子窃取利用。

　　“一些移动设备还可能存在物理安全隐患。比如，被盗或丢失后的数据泄露问题。虽然许多设备配备了远程锁定和擦除功能，但如果用户没有及时启用这些功能，设备中的数据也可能被他人获取。”郑启良建议，仔细阅读应用程序的权限请求，并谨慎授权；使用强密码和多重身份验证来保护账户和数据的安全性；使用专业的安全软件来保护设备免受恶意软件和病毒的攻击；启用远程锁定和擦除功能，以便在设备丢失或被盗后保护数据。此外，用户需定期检查App权限，保持操作系统和应用程序的及时更新；在使用公共Wi-Fi时，应采用加密措施来保护数据安全。（记者 李政葳 孔繁鑫 李飞）