【编者按】微软公司披露“Dirty Stream”安全漏洞、iPhone手机遭遇“史上最复杂攻击”……今年以来，一系列热点事件将移动端安全话题推上了风口。当前，各类移动端应用层出不穷，带来诸多便利的同时，安全问题也日益凸显。近期，我们邀请多位互联网领域专家学者、创业精英，从不同角度深入探讨移动端安全的现状挑战、发展趋势。

移动端安全漏洞给人们带来哪些风险？

如何从技术层面更好地规避风险？

人工智能发展带来哪些风险新应对思路？

……

本期光明网记者采访了

北京长亭科技移动安全负责人张一峰

　　记者：近期，智能手机等移动设备上暴露出来多种安全漏洞，与传统电脑病毒相比有什么区别？

　　张一峰：相比PC端的安全漏洞，移动端的安全漏洞挖掘难度更大、利用起来也更为困难。移动端的系统和应用吸取了很多PC端的经验教训，在安全性的考虑上较为完善，因此，发现和挖掘漏洞的难度较大。而换一个视角可以看到，移动端的操作系统碎片化严重，除非发现系统的底层通用漏洞，否则一般安全漏洞的影响范围相对有限；同时，移动端系统应用的迭代速度快，这使得它们出现安全问题后也能够被迅速修复。

　　记者：面对具有新特点的移动端安全漏洞，广大用户在防护过程中有哪些值得注意的地方？

　　张一峰：针对不同身份的攻击对象群体，网络攻击的重点也有所不同。对大众而言，主要的安全隐患在于从非官方渠道下载应用。这些应用缺乏官方应用市场的审查，往往带有非法信息收集甚至恶意软件等问题，容易成为网络攻击和电信网络诈骗的源头。

　　对攻击“价值”较高的特定人群，移动端漏洞就有可能成为攻击的主要武器。比如，以色列间谍软件“飞马（Pegasus）”，就是通过移动端漏洞，达到监听和窃取数据的目的。因此，移动端的重要漏洞，经常被用来对高“价值”目标，进行高级持续性威胁（APT）攻击，以获取较大的经济或其他方面利益。

　　总而言之，移动设备给社会大众带来的首要安全问题是信息安全问题，很多App存在违规信息收集的行为，而且手段更加灵活、更加隐蔽。而类似“Dirty Stream”的严重安全漏洞，因为其存在利用上的难度，往往用来针对特定目标，需要重点防范。

　　记者：作为安全厂商，在风险防控方面能做什么？

　　张一峰：从安全厂商的角度来看，首先应将自身的技术能力积极应用于支撑国家移动漏洞治理工作。比如，加强移动互联网App产品安全漏洞专业库的组织协调，通过高效的信息共享机制，及时将厂商发现的漏洞信息及应对方案通报给相关单位，做到“一点发现、全面消除”。

　　此外，应同步帮助移动应用厂商做好应用安全检测和加固工作，将安全风险消灭在源头。

　　还可以通过多种方式大力宣传移动安全相关知识，提高大众的安全意识和基础技能，堵上人为因素的“漏洞”。

　　记者：当下，人工智能技术蓬勃发展，对于处理漏洞带来哪些新思路？

　　张一峰：在世界范围内，人工智能等新技术已经开始被用于漏洞挖掘和修复的辅助工作。比如，美国国防部高级研究计划局（DARPA）持续举办“网络超级挑战赛”（CGC），鼓励产业研发能够发现、验证和修补软件漏洞的人工智能系统。国内的清华大学、国防科技大学和一系列网络安全厂商等，也在漏洞自动化挖掘以及自动分析研判技术上取得了一定的成果。目前，包括长亭科技在内的很多网络安全厂商推出了安全大模型，辅助进行安全风险的分析和处置工作。

　　就长亭科技而言，我们更加关注由新的攻击面带来的新漏洞。应用开发语言和组件的不断迭代，都会产生新的攻击面。换言之，当一个漏洞或者一种漏洞利用机制进入一个新的应用场景时，可能会衍生出新的安全问题和新的漏洞利用机制。因此，我们认为，移动安全的攻击面是一个不断变化和衍生的过程，需要加强研究，从而准确、全面地发现移动安全威胁所在。（记者 李政葳 孔繁鑫 实习生 马境远）