未来移动互联网安全的战场会在哪儿?
Android的盛开加速了移动互联网的应用普及,在用户连接与使用互联网更加容易的同时,安全问题也日益突出。在截止2013年第三季度,安全管家云开放平台截获手机病毒1289.7万次,季度新增病毒样本186160个,环比增长15%(来源:艾瑞《安全管家2013年Q3移动安全行业数据报告》)。正如移动端的成长加速了互联网的发展步伐一般,移动互联网时代的安全问题也已迫在眉睫。提及移动安全,如果只是停留在诸如360手机卫士和安全管家之类的移动安全App的视角,可能不会让我们了解更加宽泛的移动安全生态,在此不妨从手机安全危害 “源头-传播-终端”的视角探个究竟,看看未来移动安全的主战场可能会在哪儿,用户和移动产品服务商要如何防御。
源头:恶意软件本身存在传播动机,安全就需要从源头做好控制
恶意软件产生的根源是利益趋向,不是所有的开发者、内容与服务的提供商都有资源和能力把握自己产品的安全性,但可借助安全管家推出的安管云开放平台进行一次过滤,先保证自己提供的内容和服务环境是安全的,确定自身源头的安全是保护用户安全的开始。毕竟发布者去检测(发生在传播之前)要比用户自己去检测(传播之后)的成本更低。在移动安全危害的源头,我们所能做的就是要向更加广泛的开发者群体和内容服务商普及移动安全理念,从源头的控制是搭建安全环境最有性价比的方式。
恶意软件产生的根源是利益趋向,不是所有的开发者、内容与服务的提供商都有资源和能力把握自己产品的安全性,但可借助安全管家推出的安管云开放平台进行一次过滤,先保证自己提供的内容和服务环境是安全的,确定自身源头的安全是保护用户安全的开始。毕竟发布者去检测(发生在传播之前)要比用户自己去检测(传播之后)的成本更低。在移动安全危害的源头,我们所能做的就是要向更加广泛的开发者群体和内容服务商普及移动安全理念,从源头的控制是搭建安全环境最有性价比的方式。
传播:恶意软件的习性与商业软件一样,一直在紧随用户的习惯
鉴于移动端与PC端的用户行为模式完全不同,在手机和平板上的独立文件操作正在逐渐会消灭,即使是文本、图片、音乐和视频的操作也往往是在App内环境完成的,因此恶意软件的载体主要会转向App和App的插件。传统的App传播途径无非有三种:第一种是外设导入(由Web端下载,通过数据线和存储卡等传输),第二种是应用商店与下载站,第三种是手机浏览器。有些恶意软件也会通过短信、二维码的方式骗取用户,但最终还是会落在应用商店和手机浏览器实现传播。根据安全管家《2012年移动安全白皮书》的数据,通过第三方电子市场(应用商店)传播的恶意软件占比最多,达36%;再看今年第三季度安全管家移动安全报告的数据,2013上半年应用商店和第三方下载市场的传播占比73.8%,ROM刷机内置的传播占比10.2%,短信和论坛占比分别是8.3%和5.1%。可见,不管是在现在还是短期的未来,应用商店和浏览器的内容分发渠道还会是移动安全的主战场。如果HTML5带来了移动时代的的新机遇,随之而来的也包括移动浏览器端面临的更多安全挑战。
在传统的传播方式之外,我们需要考虑的是未来移动用户习惯的养成(聚集用户的地方才有利益和破坏价值),如果建立在社交网站内的应用太“轻”,现在扁平铺在手机桌面的App又太“重”,那么寄生在超级App(如百度、微信等)的插件和轻应用就有成为用户新习惯的可能;而很多超级App又都接近用户手机的Root权限,试想如果现有的应用商店都不能做好恶意软件的分发把关,那么在力图争取更多内容与服务填充的超级App能否保证自身的插件与轻应用的安全就更是富有挑战的问题。做移动互联网的入口不容易,做一个用户安全的入口就更不容易;不管是针对用户的利益还是移动互联网的整体安全生态而言,多一家入口远远没有比已有的入口更安全来得重要。
终端:防御恶意软件的最后一道屏障,不只是移动安全客户端
对于移动终端的普通用户而言,也有两种分层:如果用户已有移动安全意识,就相对在PC端他明白需要安装杀毒软件和安全控件,一方面是会在手机安装底层的移动安全App,另一方面也会注意自己获取内容的来源(比如选择可信的App渠道和手机网站);如果用户缺少移动互联网安全的意识,自身面对危害是毫无防御的,无良的预装厂商是不可能告知用户自己的软件有问题,而第三方检测机构又很难渗透到没有移动安全意识的用户群体,因此尽可能地保护移动安全意识较弱的群体也是移动安全厂商的艰巨任务,毕竟提升全民移动安全意识是一个社会性的问题,当口袋中的互联网成为了人民生活的必需,我们是否要像每包香烟都标注“吸烟危害健康”和在公众场合会张贴“注意安全,小心扒手”一样唤醒用户的移动安全意识,就是值得政府思考的问题了。
不管是在恶意软件的源头做好严密控制,还是让普通手机用户的安全意识普及,都会是缓慢的进程;源头和感染的终端都是不能一蹴而就解决的问题,监控传播途径就会是目前最有效率的解决方案;而为什么移动互联网安全的主战场会是在应用商店、手机浏览器和超级App,我们再从当下热门的移动支付到饱受争议的指纹识别找出些玄机。一方面移动支付(不管是支付宝钱包还是微信支付)脚踩的两只船也都不会跑出App和手机端网页;苹果把iPhone5S的指纹识别定位在系统底层的硬件层面,也正是因要牢牢把控指纹的安全而避开暂时不够安全的App环境和网页。另一方面移动支付和指纹识别的App及来源(应用商店以及浏览器等内容分发渠道)就是保证用户安全的另一因素所在,比如移动安全支付需要的是支付宝钱包和微信等服务商保证自己的App内环境全方位的安全,也包括合作伙伴(O2O消费服务商和银行、金融机构等)对接服务的安全性;iPhone 5S的指纹识别是系统的一部分而不是表层的应用,保证指纹识别服务的来源是苹果而不是其他。因此,牢牢控制住来源与内容分发渠道的安全就是保证移动互联网安全的重中之重。
移动互联网的未来越是充满想象力,移动环境的安全就越是必要的护航,未来的移动安全生态需要对更多危害的源头进行过滤,需要对危害传播的途径进行更加缜密的监控——因而我们就需要以开放和中立的安全云平台,提出移动互联网的全新解决方案,聚集更多参与者共同构建安全的移动互联网生态环境。
鉴于移动端与PC端的用户行为模式完全不同,在手机和平板上的独立文件操作正在逐渐会消灭,即使是文本、图片、音乐和视频的操作也往往是在App内环境完成的,因此恶意软件的载体主要会转向App和App的插件。传统的App传播途径无非有三种:第一种是外设导入(由Web端下载,通过数据线和存储卡等传输),第二种是应用商店与下载站,第三种是手机浏览器。有些恶意软件也会通过短信、二维码的方式骗取用户,但最终还是会落在应用商店和手机浏览器实现传播。根据安全管家《2012年移动安全白皮书》的数据,通过第三方电子市场(应用商店)传播的恶意软件占比最多,达36%;再看今年第三季度安全管家移动安全报告的数据,2013上半年应用商店和第三方下载市场的传播占比73.8%,ROM刷机内置的传播占比10.2%,短信和论坛占比分别是8.3%和5.1%。可见,不管是在现在还是短期的未来,应用商店和浏览器的内容分发渠道还会是移动安全的主战场。如果HTML5带来了移动时代的的新机遇,随之而来的也包括移动浏览器端面临的更多安全挑战。
在传统的传播方式之外,我们需要考虑的是未来移动用户习惯的养成(聚集用户的地方才有利益和破坏价值),如果建立在社交网站内的应用太“轻”,现在扁平铺在手机桌面的App又太“重”,那么寄生在超级App(如百度、微信等)的插件和轻应用就有成为用户新习惯的可能;而很多超级App又都接近用户手机的Root权限,试想如果现有的应用商店都不能做好恶意软件的分发把关,那么在力图争取更多内容与服务填充的超级App能否保证自身的插件与轻应用的安全就更是富有挑战的问题。做移动互联网的入口不容易,做一个用户安全的入口就更不容易;不管是针对用户的利益还是移动互联网的整体安全生态而言,多一家入口远远没有比已有的入口更安全来得重要。
终端:防御恶意软件的最后一道屏障,不只是移动安全客户端
对于移动终端的普通用户而言,也有两种分层:如果用户已有移动安全意识,就相对在PC端他明白需要安装杀毒软件和安全控件,一方面是会在手机安装底层的移动安全App,另一方面也会注意自己获取内容的来源(比如选择可信的App渠道和手机网站);如果用户缺少移动互联网安全的意识,自身面对危害是毫无防御的,无良的预装厂商是不可能告知用户自己的软件有问题,而第三方检测机构又很难渗透到没有移动安全意识的用户群体,因此尽可能地保护移动安全意识较弱的群体也是移动安全厂商的艰巨任务,毕竟提升全民移动安全意识是一个社会性的问题,当口袋中的互联网成为了人民生活的必需,我们是否要像每包香烟都标注“吸烟危害健康”和在公众场合会张贴“注意安全,小心扒手”一样唤醒用户的移动安全意识,就是值得政府思考的问题了。
不管是在恶意软件的源头做好严密控制,还是让普通手机用户的安全意识普及,都会是缓慢的进程;源头和感染的终端都是不能一蹴而就解决的问题,监控传播途径就会是目前最有效率的解决方案;而为什么移动互联网安全的主战场会是在应用商店、手机浏览器和超级App,我们再从当下热门的移动支付到饱受争议的指纹识别找出些玄机。一方面移动支付(不管是支付宝钱包还是微信支付)脚踩的两只船也都不会跑出App和手机端网页;苹果把iPhone5S的指纹识别定位在系统底层的硬件层面,也正是因要牢牢把控指纹的安全而避开暂时不够安全的App环境和网页。另一方面移动支付和指纹识别的App及来源(应用商店以及浏览器等内容分发渠道)就是保证用户安全的另一因素所在,比如移动安全支付需要的是支付宝钱包和微信等服务商保证自己的App内环境全方位的安全,也包括合作伙伴(O2O消费服务商和银行、金融机构等)对接服务的安全性;iPhone 5S的指纹识别是系统的一部分而不是表层的应用,保证指纹识别服务的来源是苹果而不是其他。因此,牢牢控制住来源与内容分发渠道的安全就是保证移动互联网安全的重中之重。
移动互联网的未来越是充满想象力,移动环境的安全就越是必要的护航,未来的移动安全生态需要对更多危害的源头进行过滤,需要对危害传播的途径进行更加缜密的监控——因而我们就需要以开放和中立的安全云平台,提出移动互联网的全新解决方案,聚集更多参与者共同构建安全的移动互联网生态环境。
来源:虎嗅网
评论
- 目前还没评论,等你发挥!