NSC2013 中國網絡安全大會分會場一 胡振東
責編:rhliu |2013-12-11 18:13:30毛文波:謝謝謝老師十多年前就預測到了互聯網的發展,并介紹了Bitcoin,李總理說馬云你們做的都是非法的,但是現在都合法了,支付安全里我相信還有一個是你敢付,我敢賠,下面我們有請騰訊無線移動安全的胡振東先生給我們講講怎么賠法。
胡振東:大家好,很榮幸代表騰訊的無線安全團隊跟大家分享和匯報一下我們在手機安全方面做的一些工作和一些經驗。
剛才幾位分享嘉賓都講了,主持人也講我們敢賠,還有手機支付的一些安全性。在座的一些人當中有沒有通過手機進行轉賬或者支付的?我相信肯定也有。但是我也告訴大家,其實在目前這種環境下,如果在安卓平臺的話還是非常危險的,因為在我們的研究發現,已經有病毒可以在你的手機里劫持或者監控你的短信,因為現在很多支付都是通過短信來進行驗證,它接獲過后并不反應,可能在某天夜里突然登你的賬戶,有多少錢的時候它突然發起這樣一個安全的攻擊,會讓你損失一些費用,這點還是需要我們在移動廠商終端去努力來幫助在手機上支付的安全,來幫助用戶讓他更好的支付。
我今天的分享主要是講講目前在移動終端安全背景的情況和大概目前的狀況和我們主要面臨哪些安全的威脅,其次騰訊手機安全管家有那些應對或者跟用戶互動的方法,幫助用戶在泛安全領域,有一些安全更多的是偏向技術,我們不僅偏向技術,也偏向一些跟用戶互動的。有的人經常接到一些騙子的電話,我們在座的都很容易區分,但是你想過你年老的父母他怎么區分這個電話是騙子呢?不僅是靠技術廠商,還要靠我們所有人,電話標記就可以幫助更大的用戶群來理解,當他接這個電話的時候可能有個紅色的東西提醒他有五千個人告訴他這是個騙子的電話或者有多少人告訴他這個電話可能是推銷。所以,大家接騷擾電話的時候,特別對一些防范能力比較弱的人群都會有一個很好的幫助。
目前我們通過移動安全實驗室監控我們從2011年到2013年整個安卓市場平臺增長快速的三年當中,整個手機病毒增長了31倍,手機病毒的速度增長一定要超過安卓的終端數的增長,終端數字還達不到31倍的增長。
2013年的爆發比2012年又多了兩倍,并不因為病毒數量達到一定的量就減弱,它還是在增長,速度還是在增加,也就是隨著手機對用戶黏性越來越多,用戶拿了手機既可以支付,又可以做很多事情的時候,很多騙子,很多木馬的制造者越來越盯上手機,而不像過去更多的偏向PC,現在手機上病毒的增長速度越來越比PC上增長的更快。
整個手機病毒的感染人群從2012年1月到2013年第三季度總人數達到一億,相當于廣東人口,相當于五個北京的人數,這個數據量也是非常之多,很多用戶還不明白自己手上已有病毒。有的人看手機上的一些小說或者一些應用APP的時候會彈出一些廣告,我們都理解成是一種病毒,有可能是輕量級的,也有可能是重量級的。前段時間工信部發布有些人手機上無故被扣話費,整體來說感染人數比重是很大的。
詐騙短信和詐騙電話形成新的安全問題,我們也會在手機網站應用中幫助應用手機的人群幫助他們克服這樣一個詐騙電話對他的影響。
在新的手機病毒中竊取用戶的個人隱私,包括他的病毒侵入到你的手機會讀你手機的一些,特別是智能機的相片,大家比較喜歡自拍,也是非常危險的,本身手機上沒有技術任何的加密,你手機一旦進入這樣的木馬,很可能他把你的照片原封不動的上傳到它的服務器上,這是非常危險的。
包括支付的影響,他們在網上傳播的時候,它的APP有可能是被打包的,用戶還不知道,如果是大的市場下載還比較好,如果非官方的下載很容易出現被劫持,劫持他的信息,造成選擇信息的時候有帳號的泄漏,密碼的泄漏,等等,這都是非常危險的。
手機銀行現在也是非常危險,除非有一些另類的加密,存儲手機上加密目前我們覺得也是風險比較高的,現在隨著智能手機CPO越來越強大,現在已經有了強大的病毒可以捕捉到你的屏幕上的一些控制彭,也就是你說的密碼他是可以監控到的,這也是未來非常危險的一件事情。
包括二維碼的生成和官方的管理,并不是由第三方的權威機構,很多企業,或者一些小的也可以生成二維碼,所以,對一些軟件和二維碼二次打包的安裝,對普通用戶來說,隨著掃一掃流行,用戶覺得很方便就安裝了,其實這里面都隱藏著一些非常危險的事情,最近呵奪新聞都說二維碼商店掃一下丟失了很多錢,在日常工作中跟我們很多人都有關聯的行為,這些行為都是在手機安全領域碰到的風險,這不是危言聳聽,跟每一個人都非常相關。
安全問題很廣泛,大家要重視。安卓本身是個開放的平臺,這也是未來非常危險的一個領域,釣魚、詐騙,這些都非常多,騰訊也面臨很大的危機,因為騰訊有在互聯網中為方便移動支付會有一個Q幣,我們常年跟用戶,打釣魚、詐騙,他們希望得到QQ號碼和密碼來盜取QQ的Q幣,我們積累了一些帳戶安全的經驗。
這些短信、信息都是真實的案例。怎么克服這些困難呢?我們本身這個產品中就解決了目前這幾個問題,比如我們對陌生的短信接收的方式會通過攔截或者判別的方式提醒用戶小心。
我們有一個照片密拍的歸能,當你打開的時候你拍的所有照片都是加密的進入你的保險箱,你的手機被好友拿到必須有密碼才能打開,而且照片必須是加密的,第三方除非是非常高的等級,90%以上的軟件他是讀不出來的,連文件在哪兒都不知道,就算讀的出來,要破解我們的加密算法。百分之九十九點幾的信息可以讓你的信息更加安全。
我們有一個云的病毒的防護,來確保打開凡是有支付類的或者電子商務類的軟件,我們有會有一個定位掃描,在這個時間點中我們不是全方位,只是某個時間點你打開,所有接收短信端口的軟件,比如通訊錄的軟件,甚至地圖的軟件得是獨立的短信。當你打開支付類的時候,所有的都不能監控這個短信或者你所有的橫求我都記錄下來提醒用戶,確保他支付是安全的,支付的環境是安全的,是干凈的。
病毒動態、靜態的掃描。對一些照片的隱私,包括手機丟失,還有文件保險箱備份,丟失我們還可以遠程查除,包括用戶綁定QQ號碼打開是需要輸入手機號碼的,輸入不了是打不開的,安卓手機有聯網功能,短時間的一段時間,它只要聯網,你通過遠程指令把你手機上重要的信息資料全部刪除,這樣可以保證你信息的安全,如果你勇于備份你的資料也丟失了,至少你的資料可以備份在你的系統里。我們是主動防御和被動防御相結合來保證用戶周期的安全。
陌生電話的識別,希望打造一個我為人人,人人為我的概念,大家共同抵擋這個行業的垃圾短信,垃圾騷擾電話,幫助我們有防備心和對安全防衛,年紀大的人共同來了解這個行業。我們也有自己的MTAA的騰訊安全實驗室,研究在這個領域中各個下載市場,包括安全領域中一些先進的技術。
最后講一講整個手機安全不是靠我們一家安全廠商完成的,我們需要一個整體的聯盟,終端廠商,運營商,包括用戶自己,它是云端的一個產業鏈,需要我們共同立業,我們共同幫助用戶在手機中得到一個安全的環境。
我們今年9月也突破了3億用戶,用戶越多責任越大,我們希望通過用戶的力量幫助手機行業的無線安全得到一個大的發展。謝謝大家。
毛文波:謝謝胡總分享騰訊的一些經驗。
