【编者按】微软公司披露“Dirty Stream”安全漏洞、iPhone手机遭遇“史上最复杂攻击”……今年以来，一系列热点事件将移动端安全话题推上了风口。当前，各类移动端应用层出不穷，带来诸多便利的同时，安全问题也日益凸显。近期，我们邀请多位互联网领域专家学者、创业精英，从不同角度深入探讨移动端安全的现状挑战、发展趋势。

 

移动端安全漏洞有哪些攻击重点？

呈现出怎样的趋势？

政府、网安行业正在采取哪些措施？

……

本期光明网记者专访

国家信息中心研究员李新友

　　记者：“DirtyStream”的攻击重点是什么？

　　李新友：从微软官方公开的博客来看，“Dirty Stream”是一个严重安全漏洞，影响数十亿Android应用程序。该漏洞的核心在于可以操纵和利用Android的内容提供程序，该程序通常用于在不同应用之间交换数据。

　　记者：这些漏洞带来了哪些安全隐患？

　　李新友：攻击者利用该漏洞，可窃取用户敏感数据，包括通话记录、短信、联系人、位置数据等。这暴露了移动设备操作系统和应用软件中存在的安全漏洞。

　　记者：普通用户应该如何应对？

　　李新友：我这边有三点建议：首先，用户应及时安装移动设备厂商发布的安全补丁，以修复已知的安全漏洞。

　　其次，用户应从官方应用商店下载软件，并谨慎授权应用软件访问敏感信息。

　　最后，用户应提高安全意识，了解常见的安全威胁和攻击手段，并采取必要的防护措施。

　　当然，对于厂商来说，这类漏洞一经发现，就应该及时修复，并且定期发布安全补丁。

　　记者：在移动安全方面，我国安全行业和企业有哪些研究重点？

　　李新友：目前来看，主要有移动应用安全、移动终端安全、移动网络安全、移动支付安全、物联网安全等方面。比如，移动应用是移动设备上最常用的软件，也是攻击者最常受攻击的目标之一。移动应用安全风险主要包括：应用漏洞、应用劫持、数据泄露、恶意代码植入等。因此，要对移动应用安全进行重点研究。

　　记者：具体有哪些技术和成果？

　　李新友：为了应对移动安全方面的挑战，我国安全行业和企业积极开展技术研发和行业研究，取得了一系列成果，涌现出了一些新的安全技术。

　　比如，代码扫描、动态分析、应用加固等技术，可以帮助开发者发现和修复应用漏洞，提高应用的安全性；系统安全加固、设备管理、防病毒、防恶意软件等技术，可以帮助用户保护移动终端的安全；身份认证、交易加密、风险控制等技术，可以保障移动支付的安全。

　　记者：AI、大数据等技术发展下，移动端安全漏洞呈现怎样的新趋势？

　　李新友：随着人工智能等新技术的快速发展，移动互联网应用日益普及，移动端安全漏洞也呈现出新的发展趋势，我认为有以下三个方面。

　　首先是攻击手段更加智能化。攻击者利用AI技术，可以更精准地识别目标漏洞，并自动化地发动攻击，这让攻击效率和成功率大大提高。

　　其次是攻击目标更加多元化。除了传统的个人信息和财务数据之外，攻击者还开始瞄准移动设备中的传感器数据、语音数据、生物识别数据等，这些数据的泄露可能导致更加严重的后果。

　　最后是攻击方式更加隐蔽化。攻击者利用AI技术，可以开发出更加隐蔽的攻击方式，如利用深度伪造技术，有可能绕过人脸识别。

　　记者：正如硬币两面，AI技术为移动安全带来哪些新机遇？

　　李新友：人工智能技术具有强大的数据分析、模式识别和智能决策能力，可以为移动端安全提供新的技术方案和思路，帮助提升移动设备和应用的安全防护水平。

　　比如，利用AI技术自动扫描移动设备和应用，识别潜在的安全漏洞和缺陷，并提供修复建议。利用AI技术进行生物特征识别，为移动设备和应用提供更加安全可靠的身份认证方式。开发可解释的AI模型，让用户能够理解AI模型的决策过程，从而增强对数据的控制和隐私保护的信心等。

　　记者：在移动安全方面，我国相关主管部门出台了哪些监管和治理举措？

　　李新友：近年来，我国在移动安全方面出台了多项监管和治理举措，以加强网络安全和个人信息保护。主要有《个人信息保护法》《移动互联网应用程序信息服务管理规定》等政策法规。同时，我国不断加强移动支付安全监管、网络安全铜墙铁壁的构建。

　　记者：在当前移动安全形势下，应如何促进个人数据安全可信流通？

　　李新友：网络身份是线上线下活动的信任基础，实现多平台，多层级，多应用的网络身份互通互认可以促进实现“一码通办”，便民利企；可以落实“实名制”，降低合规成本；可以合理分担国家平台压力，实现规模化应用。此外，也应构建互通互认的网络可信身份认证大平台，完善上下互通、左右互认的网络可信身份认证体系。（记者 李政葳 李飞）