人对病毒的恐惧,已经远远超出人对人的恐惧。但人在禁闭岛,新型威胁攀附网络之上。
在无感中,“魔形女”(Mystique)奇袭,瞄准安卓系统,Android 11。
同于漫威电影中角色,魔形女可以变成任何人,潜入防卫严密的基地,发起攻击。
在安卓11中,“魔形女”能够化为任意APP的样子,取得权限和数据,完全绕过防护机制。在用户毫无感知中,随意获取APP数据或系统数据,代表用户转账、发消息、获取隐私数据。“魔形女”漏洞成为在用户态再次打破了App包安装后只读并被信任的默认假设,躲在暗处,悄无声息地寄生。
耐心的猎手以猎物方式登场。
今年5月,京东探索研究院信息安全实验室在持续追踪安卓系统的安全研究时发现,Android11系统存在高危漏洞,并将其命名为“魔形女”漏洞。
在此之前,不曾可知有谁遭受过攻击。但全球8亿Andoid11用户面临隐私风险。
在这之外,是全球超30亿安卓用户,占世界人口近四成。魔形女野心赤裸。
这个漏洞的利用原理,就像拿到了酒店的通用钥匙,随意进入某一住客房间。
谁能想到进入房间的会是谁。黑灰产?恶意商业实体?境外黑客势力?或者一个熟悉的人?
在Android历史上也曾出现过一些可达到类似效果的提权漏洞,包括Android 5之前的远古时代,以及近5年来远程、内核和SystemServer的一些问题,如Bitummap漏洞。但随着Android防御机制不断加强和代码质量不断提高、攻击面不断削减,近年来这些漏洞可谓凤毛麟角,利用难度也越来越高。而且因为Android碎片化的现状,几年来都很难有一个稳定的通杀漏洞。
防御难度与黑客技术水涨船高。
京东探索研究院信息安全实验室高级研究员Ricky说到,“大概这五年来,大家已经没再看到过有影响面非常广泛、攻击效果非常稳定的漏洞了,“魔形女”漏洞十分罕见。”
谁唤醒了魔形女?
安卓本身是沙盒防御系统,每个数据都会隔离保存,形成一个个房间。每个房间都有一把锁,如果想串门的话,需要房间主人明确同意,即表现为安卓数据共享机制中最小权限原则。当需要授权时,系统必须明确权限范围,即访客在何种条件下,执行何种操作,访问何种资源的权限。
而Google工程师在开发过程中或许为了完成新特性,在产品设计中违反了最小权限原则,导致原本严密的沙箱设计中出现了松动,如同酒店房间的门锁制造厂商在新锁生产过程中出现失误,导致一把新的钥匙能够打开所有的门锁。
原本的一把钥匙成了万能钥匙。有了这把钥匙,能打开哪些门?
Ricky说到,“我们基本上对所有的主流手机厂商的设备系统进行了自动化扫描,发现了多个可被攻击的漏洞,最终将安卓系统的“魔形女”漏洞升级为一个具有巨大影响力的漏洞链。”
京东安全实验室凭借对安卓系统的深入了解,持续追踪安卓系统的每一次更新,在研究过程中敏锐地注意到了Android 11 引入新特性时的问题。“有这个发现之后,我们借助自研的自动化、半自动化漏洞挖掘框架,发现魔形女漏洞会利用各个厂商自身的漏洞,组合一条漏洞链条,最终达到对任意应用和数据窃取的效果。”Ricky说到。
新的风险值得行业警惕。京东第一时间向Google、Samsung、OPPO等安卓手机厂商通知了漏洞并提出修复建议,并及时按相关规定进行上报,而且向全社会用户提供了SDK自测工具。目前Google已经在最新版本的Android11和新发布的Android12中修复了这些问题。
Ricky对雷锋网说到,“因为这个漏洞涉及到谷歌自身,并且它是所有安卓联盟的盟主,首要通报就是谷歌。并且也在第一时间通知了安卓设备出货量的第一的三星厂商,以及国内用户较多,影响较大的手机厂商。但华为情况比较特殊,我们发现鸿蒙系统没受影响。因为鸿蒙系统是基于较早版本的安卓系统改造而来,反而没有这个漏洞。”
据数据统计,全球安卓机用户已经超30亿,中国品牌的安卓机几乎占全球的半壁江山,是安卓最大的手机市场,三星为第一品牌,Oppo为第二品牌,顺次为华为。
目前主流安卓厂商均已确认修复漏洞,并发布了补丁和做了系统升级。
现在企业可自行在App中部署京东探索研究院信息安全实验室博客提供的检测SDK,及时检测是否被黑灰产利用,还可以通过MDM检测员工办公移动设备,查看是否被利用于定向APT攻击。对于更多的个体用户,需要及时更新设备或打补丁,或使用检测工具查看自己是否被“魔形女”攻击过。
这也表明科技行业对发现漏洞的标准回应方式发生了重大转变。目前包括腾讯、阿里、京东、百度等互联网公司的安全应急响应中心都有一种奖励机制。
“当然有白市就有黑市,世界上也有漏洞军火商,一个安卓漏洞或者IOS漏洞在黑市能开到一百万美元的价格,获得的物质奖励其实是比报给厂商的奖励多得多。但是漏洞奖励更多的是对研究者的一个认可,这种价值会是越来越高的。”Ricky谈到。
京东自身也有漏洞奖励计划,表明对这种合法研究的认可和鼓励支持,并且在自身信息安全建设方面,也在吸引业界顶尖人才的加入。
权衡京东安全的“护城河”和行业安全的“水位线”,这个问题在京东看来并不矛盾。
京东信息安全部高级总监周群对雷锋网(公众号:雷锋网)说到,“我们京东也有自己的安卓端用户,体量非常大。如果在安全这部分我们自己都没有发现,以及我们没有第一时间为业务体做保护,通知其他的厂商,这种风险很有可能被恶意团伙、人或者组织利用,最终会变成对我们京东用户的一种伤害。”
从企业到行业,不变的是用户群体。但站在什么立场上考量用户,关系到企业发展的长期战略。
迈出京东舒适圈:从场景安全走向生态安全
京东安全团队建立可以追溯到2011年,而专门从事前沿安全技术研究的安全实验室从2017年建立至今,也已经走过快四个年头。四年前,京东安全实验室的名字还是“安全攻防”实验室,是在当时全球范围内AI、IoT 和云计算快速发展中的技术迎头之举、业务安保之举。
发展至今,京东安全的实验室研究发展为三个部分:其一是基于业务的安全研究,其二是偏底层通用性的安全机制的安全研究,其三是最新前沿技术的安全研究,例如AIoT。目前京东在硅谷有一个安全研发中心,主要是AI安全、黑产对抗、IoT安全研究,也包括国内的京东牧者安全实验室,主要做IoT安全、区块链安全、开源社区等研究项目,包括大家熟知的麒麟框架等。另外还有会致力于基础设施漏洞方面的研究,即Ricky团队。
目前京东安全已经不仅关注自身业务中的安全场景,更将”京东特色”、“零信任体系”为目标,以“互联网免疫”为理想,力争向产业输出前沿安全能力。
周群谈到,“技术公司做安全,可能会把安全切分成很多个维度,应用安全、办公安全等。从京东的角度看,其实所有的安全都是建立在企业信息化的基础上,最终归为三大类:计算类安全、账号类安全、数据类安全。”
针对三大类资源,解决所有企业共通的问题,解决IT基础设施数字化能力落后的同时还要消耗大量的时间和精力逐个定制每家企业的安全机制,或者说很难标准化地服务。如果通过一种零信任的框架,以低成本、卡点机制作为增量控制,以一系列的安全经验做存量问题消除,把整个行业的安全机制建立起来,这是京东能够做成的事情。从源头解决企业的安全问题。
这是基于京东多年来"黑灰产"的对抗经验,也是结合行业前沿的安全体系和安全技术,以及零售、物流、数科、保险、健康等各领域积累的安全运营经验。
这里面既有挑战,也有京东这种大体量公司积累起来的经验支撑。“整体上看,这些也是现在的发展趋势之一,让各家公司互联互通、整体开放,一起构筑行业整体的安全生态。”周群说到。
随着京东整个业务体态的发展,从最早全部线上的业务环境,到现在全球规模最大的线下仓配,其中包含的大量电商场景、支付场景、物联网场景、云场景等全维度场景,包括物流体系已经引入越来越多的人工智能等一系列的新技术。从安全战角度来看,京东从过去只需要着眼自体生产网、办公网到现在仓配网、供应链,用户与客户体系,以及行业生态体系。只要用户参与的,有感的,对京东来讲都是防护范围之内。无论是从安全边界、深度、还是广度,京东安全都跟此前不一样。
周群谈到,“京东安全是基于京东的内生安全能力,联手生态伙伴共同打造安全基础设施。本身京东业务场景在国内来看,都属于最上层、最复杂的规模。”
从企业出发,做安全的事情,更像是用一根纵线为所有业务放置了一块背景板。当然从顶层设计来看,应对互联网行业的安全变化是行业可持续发展的内在要求,也是负责任大企应尽的企业义务,这不是别人要大企做,而是企业自己要做。
目前,京东在保护自身各个业务线安全的同时,也将这些安全能力对外赋能,在企业客户那里也沉淀了案例和口碑。现在,京东安全正在与京东各个技术服务业务线合作,一起将安全能力输出给更多的客户和合作伙伴,帮助整个生态提升安全水位。就比如此次漏洞的发现,帮助知名企业修复漏洞,向大众提供检测工具,都是为生态伙伴提供安全支撑。
京东目前正在准备第三条曲线,技术服务于企业数字安全,也是技术赋能于京东整体业务。可以预见的是,企业进场做数字安全服务的事情,并不在于企业能够提供多大的横向产品矩阵,而在于参考企业自身的生态系统,推出更好的服务组合。
“在京东内部,我们不会把风险等级作为单一维度,从安全风险的等级看,它可能是严重、高危、中危、中低危。但是这个风险最终的定级除了技术的危害性之外,其实更多的是参考企业本身的业务承载面。”
“我们毕竟不是纯粹的安全厂商,可以去以技术去彻底定义一个漏洞。我们企业服务的整体策略是,不能打扰企业业务的正常进行,但相应的数据安全的工作要得以保证。”
Ricky从技术角度回应周群的工作, “我们希望扩大互联网的安全边界,对基础设施安全增加更多投入。两年之前,京东内部成立了保护生态数据安全的专门行动,希望可以通过这套数据安全体系,保证流转数据的时候,就完成数据的脱敏、加密等一系列安全工作,进而保护企业核心数据以及用户隐私安全。另一方面针对漏洞挖掘框架,推动框架朝着基于程序分析和人工智能的自动化系统转变,将整个网络安全攻防往自动化、机器化方向发展,这符合整个国际发展的大趋势。”
在魔形女漏洞的发现中,京东的漏洞挖掘框架就发挥了自动制敌的效用 ,框架包含“静”、“动”、“专”三个维度。“静”为基于人工智能的数据流程序分析技术,“动”为基于遗传算法的动态程序测试技术,“专”为基于专家经验的变异分析技术,三者有机结合并互相补充,可对泛IoT设备/系统、App等进行全面而深入的漏洞挖掘和隐私风险发现。仅在今年上半年,京东安全实验室就借助该框架发现了数十个CVE,帮助多个生态伙伴消除了大量风险。
近几年来,病毒和漏洞几乎从我们视线中消失,更多的转义为隐私泄露,本质原因是业务数字化和数字业务化拉动的产品形态的变更。在这背后,有更多像京东一样开辟第三条增长曲线的企业,推动安全技术水位拾级而上和白帽红帽蔚然成风。
在技术向好的另一面, Ricky说到,“对于我们来讲,软件系统会不断更新,需要我们不断地进行安全测试,才能保证它不会出现设计问题。这不是一次就可以搞定的事情,必须要有持续性的投入,一刻都不能放松。
第二我们认为安全是一个体系化问题,像魔形女漏洞其实利用的是一个个漏洞组合。在魔形女出现之前,这些漏洞也存在,危害没那么大,导致大家掉以轻心。但一旦前面防线决堤,后面防线马上就会崩溃。这也告诉我们应该是搭建纵深防御的安全体系,重视每一个安全问题。这是一件任重道远的事情。”
拥抱每一座孤岛
疫情未决,漏洞袭来。病毒不仅在检测各个国家的效率、强弱与文明,同时还在考验着人性。漏洞在验证着企业的技术能力,也在考量企业对社会责任的整体态度。
周群在这时谈到:
很多的事情并不发生在企业之内,而是源于外部业务环境管理不善或者系统问题导致的数据风险。但从用户端的感受来看,就是我的数据被泄露了。因此,我们想更多地帮助用户解决个人隐私保护的问题。
一家企业首先看向无数体量的个体,才能在内卷深海中拥抱每一座孤岛。在海明威引自英国诗人John Donne诗作中,两三几句能解企业长期战略的问题:
No Man is an Island
No man is an island, entire of itself
every man is a piece of the continent, a part of the main.
没有人能自全,没有人是孤岛,每人都是大陆的一片,要为本土应卯。