騰訊吳昊:移動安全威脅
責編:rhliu |2016-11-11 17:35:11吳昊:各位來賓,各位安全圈的朋友以及各位媒體朋友,大家上午好!很高興也很榮幸站在這里跟大家講移動安全問題。前面Bruce也分享了Radware在云端上的安全防護問題。這里分享一下移動端的安全防護問題。
前段時間,大家還在糾結,能不能登上移動互聯網的船票,甚至在說這個東西到底是站票還是坐票,經過這幾年的發展,移動互聯網發生了什么變化呢?CNNET發的一個數據。從2007年移動互聯網開始普及,為什么是這個節點呢?
2007年iPhone發布了第一款他的手機,從那個時代大家對智能機的認知已經發生了改變。2008年Android發布,中國互聯網從PC時代到移動時代,最終移動互聯網在整個網民中的滲透率已經達到現在的90.1%,整體網民達到7億,而移動互聯網網民已經占到6.1億。
這個大背景下,人們發現整個生活已經離不開移動互聯網,大家的智能手機,無論是吃飯還是坐車,基本都會有對應的App幫大家解決這些問題,不像以前PC互聯網,大家的入口就只是一個瀏覽器甚至是QQ。
這是手機管家做的統計,這個數據可能讓大家感覺更加觸目驚心,在2011-2013年時,移動App的發展是相對平緩的,但到2014-2015年呈指數級的增長。2014年涌現了一波移動互聯網的創業浪潮,那時候出現的很多小開發者甚至個人開發者,整個移動App開發效率越來越快,成本也越來越低。
我給兒子輔導英語時,他的老師會推移動App,有很多bug,我就找這個買法者,很驚奇地發現這個App就是孩子的父親,為了讓孩子學好英語,就是簡單的錄音、上傳,讓同班同學可以分享。所以,整個移動App已經完全滲透到我們生活的各個領域中。
我們所面臨的風險。
機遇永遠和風險都是并存的。既然整個行業都盯在這一塊,很顯然黑產對這塊也是虎視眈眈。環境,你的App在Android手機上運行,和它一起運行的可能是其他的App。大家需要知道的是,不光是其他的App在你的手機上,還有這么多的病毒,病毒和App的趨勢是相同的,也是2014-2015年呈指數式的增長。
這些病毒是干什么的呢?
黑產為什么會有這么大的動力做這個事情?其實就是為了錢,看排名第一的就是資費吸取,可能你的手機會在不知不覺中中了一款病毒木馬,它會發短信和網絡鏈接,消耗你的流量,不知不覺中你的流量就被吸走了。
既然有這么大的動力,它的傳播渠道呢?大家會說iOS的審核非常嚴格,但Android會多達40、50的分發渠道,這樣多的分發渠道導致病毒傳播也非常快速。這里面利潤比較高,有一些步伐廠商會累及病毒,那么你的手機在病毒肆虐的環境中會受到影響。
除了病毒,很多App的開發者,剛把自己的東西發出去,利馬仿冒的東西就出來了,甚至它的東西會夾了一些廣告,就是你辛辛苦苦做的東西全在給別人打工了。這個仿冒會有非常大的行業性,在游戲里會特別明顯.
據不完全統計,90%的游戲都會存在仿冒。我們做了統計,平均每個游戲的仿冒數大概是150家。其實這種仿冒對黑產來說非常簡單,它有一套非常成熟的工具。可能你的App過來之后,仿冒就自動化廣告插件,自動化編譯,發布到各大平臺,可能是一體化傻瓜式的操作。
剛才說了應用環境,你的App會面臨著競爭對手的仿冒,非常嚴峻的生存環境,但本身的App是不是也沒有問題?
再看一個數據,這是騰訊安全平臺部對市面上70%、80%的主流軟件做了統計,最危險的是Webview代碼執行漏洞,做技術的人知道這個漏洞的危害,也許你無意點了別的鏈接,也不是上黃色網站,但你的手機就有可能中毒,就有可能變慢,就是因為這個漏洞。
這是給大家分享的安全的問題,除了安全還有做移動開發的有沒有別的問題。(圖)蘋果從發布到現在整個手機更新換代非常快,而且比例、占比都是挺OK的,現在看中國的Android市場,無論是排名第一的OPPO還是華為,以及小米都耳熟能詳,但沒有一款機型包括1.5%。如果把這個鏈條朝下拉,你們可以想像,在中國市場上會有多少款手機,5萬款。
在大量碎片化情況下,可能你要應對的不光是把功能做好,更多的是要應對各種各樣的適配問題,常見適配問題第一的是Android 00M問題,有的可能在模擬器、主流機型上運行得很好,測試環境中都OK,為什么發布出去用戶就卸載,因為用不了,還有各種各樣的分辨率等問題。當我們費勁所有的問題把這些搞定之后,我們的產品發布出去了,用戶數如何,穩定性如何,可能有的用戶用完就卸了,什么原因?不知道。
每天有1400萬Android手機都會發生應用崩潰,每個月會有1.8億設備發生應用崩潰。這對每個開發者來說都是非常巨大的考驗。做過Windows開發的都知道,空指針一直是程序員所詬病的,它也是出現最多的問題,在Android環境下其實一樣不例外,50%接近一半都是空指針。你如何找到這些點,可能要自己搭建一套很復雜的運營管理系統,但很多小廠商或個人開發者有沒有這樣的能力?
我們該怎么辦?
前面講了很多數據,其實想給大家說,我們在這種大環境下,有些問題不僅是小廠會面臨,騰訊這樣的大公司也有很多App,我們這些App怎么解決,是安全問題,適配問題還是跟蹤問題?大公司有個好處,專業的人去做專業的事情。這里跟大家稍微分享一下騰訊的研發體系。
騰訊研發體系。
需求階段,我們安全人員會做一個風險評估,工人有沒有潛在的問題,有什么樣的惡意?這個地方會做充分的評估,如果評估這個方案不OK,那么對不起,產品就會改方案。
開發階段,我們會有一整套的研發安全規范,會提供安全API,比如輸入、輸出和關鍵地點都會做匹配和適配,最大程度地去避免因為開發者沒有安全的經驗而導致的低級錯誤。我們會給代碼做混淆各加密,相當于給代碼輸入一道“防盜門”。
測試階段,整個應用本身會有漏洞,測試過程中不僅有工人測試,還有人工滲透測試,還有漏洞掃描,這樣把漏洞早點發現。騰訊市場上主流真機我們都會采購過來,進行真機測試。
發布階段,服務器上我們會做服務器的保護和安全防護。
運營階段,會做質量跟蹤,渠道方面的監控。
這是整個研發周期,安全會從頭至尾會做培訓考試,審計、咨詢、執行,這一整套體系下來,我們的App在市面上做安全風險、應用適配都會有一些優勢。
對業務代碼,我們想做專業的安全保護之后,它就能夠提升立項的成本。(圖)這是我們的保護框架。業務有很多種形態,無外乎就是APK,SDK,或者源碼級的。對這三種形態我們會有分別的對應方式,比如APK就是Dex這一層會判斷虛擬機,二進制文件我們會自己寫loder站,會把常見的文件抹掉,市面上常見的文件搞不定。還有資源文件,你辛辛苦苦做的資源文件說不定會給別人就用了,我們會做加密。我們會在接口層面做接管。
下面這一層是加解密中心,會根據不同的形態做高強度或低強度的加密。再到下一層就是對抗。最后一層是核心,我們有一套自己的虛擬機,會對代碼做混淆變化流存,各種各樣的扁平化。過程中會有反調試,反Download的實時防御。這樣下去之后你的數據就會非常健壯,有一道防火墻或防盜門,你先得攻破這道門才能了解里面的秘密。
當然,外部豎了一道門,你有漏洞還是不得不修,有漏洞必須要修的。我們對業務做了一套通用的掃描引擎,分為靜態和動態,會在數據安全和通信安全、應用安全、第三方主題安全四個維度做自動化的掃描,一旦掃描最基本的低級錯誤就會被過濾出來。還有主機掃描,進行攻擊測試,傳輸一些掃描,看有沒有crush。最底層有APT威脅情報,對近景或遠景漏洞都會有威脅情報中心的掃描系統,掃描之后報告給庫。
我們的App每天會出一個統一報告,你要關注的點非常簡單,只要看這個報告里是否有漏洞修復,達到我們發布的標準。
真機測試,幾千臺機器,不可能每個人對應一點,所以我們做的一個平臺化測試平臺。我們有中控系統會管理腳本,會通過網絡發到每個手機終端上,在手機終端上你的App會有一套KAT框架,在管理整個App的生命周期。
比如App的安裝、卸載以及各種各樣點擊的觸發、上報、數據的錄取,內存的消耗等各種各樣會做統一的分析,最終也是把結果以報告形式反饋給開發者。也就是說你的App做完之后,每個自動化編譯之后,它的漏洞結果、測試結果、適配性結果,市面上幾款機型適配率99%還是98%一目了然。對這些機器還可以測試,遠程登到這些機器上進行遠程調試,幫助定位這些問題。
質量跟蹤。真機測試之后回到質量跟蹤,這是每個App打到SDK,會做負載均衡。騰訊系的App量還是非常大的,每個App搭一個Crush分析框架不現實,這是統一的框架,我們會做負載,會做聯網數據、崩潰數據,消息中間層會對邏輯堆棧進行處理。
比如今天新增了多少用戶,明天本來應該在線的用戶離線了多少,哪些用戶是你的潛在用戶或高ARPU值的用戶。我們通過后臺一個分析數據庫和搜索引擎,最終你從前臺都能通過每個業務開放權限查到自己的業務對應的報告。
騰訊在這塊投入了非常大的人力物力解決這些問題,每一塊涵蓋了無論購買真機還是組建安全團隊都會消耗非常大的人力、物力、財力。對中小企業來說真的會很奢侈,有沒有很方便的,假如我是小開發者,你幫我全部搞定。我們把之前所說的這套框架做了整合,最終我們提出一個口號是——移動安全一站式服務。什么叫一站式服務?只要在我們這兒全部都可以搞定,很方便。
黑產也方便了,病毒、木馬可能都會過來用。所以,我們在前面有個樣本掃描系統,這也是依賴于電腦管家強大的病毒查殺能力,我們在給行業提供便利的同時要主打外來黑產。審計層很多黑產就過不了。對于用戶他有多種選擇,可以通過Web入口做,可以通過PC工具,甚至通過API集成他的環境。
進來之前我們會先做一下體檢,告訴你那個地方有危險,哪個地方應該做什么東西。當這些東西做完之后,有的用戶會不太懂下一步要做什么,我們這里更多的是提煉一種解決方案,就是用戶可能是電商用戶、游戲用戶、互聯網金融用戶或銀行用戶,對不同用戶對應的解決方案都不一樣。
我們會包裝一些,比如可能你的游戲需要防破解,金融可能需要一些知識產權保護,或者交易流程的保護,電商可能會需要一些信息數據,有些需要病毒木馬殺毒。每個垂直領域我們都有一套分級的保護方案,你可以選擇輕量、中量或高強度的方案,我們會有不同的方案。各種插件式的組件你都可以自由勾選,自由組合。
插件的支撐是依賴于騰訊支撐的大平臺,我們有應用的Top級的,有應用管家、海量病毒庫,會對監控做監測爬取。比如游戲外面出現盜版之后我們盜版系統馬上會發現。所有的真機測試和質量跟蹤系統,你前面遇到的無論是環境問題、安全問題還是App自身的問題在這里都能得到一站式的解決。
這套框架出來之后,用戶已經開始自動化接入了,比較慶幸的是,現在云作為一個很好的出口,在云上做非常好的整合,在App生命周期里,無論是代碼集成、上線測試、發布運營它都涵蓋,在平臺上能找到所有的對應功能,而且所有這些東西都能非常得簡單。
目前我們通過這個平臺已經做了超過10萬款應用,服務了1億終端。未來在騰訊其他App領域可能還會孵化出新的工具或新的解決方案,我們都會依賴云把整個解決方案對外發布,也希望所有中小開發者和我們一起去共同組建云端App生態,一起為App整個行業健康發展,騰訊希望為大家保駕護航。
謝謝!