刚聊到某个商品就被推送,我们被窃听了?

我们将这些样本和研究成果无偿地贡献给了社区,与来自我国乃至全世界的400多所大学和公司共享,让这些机构的研究人员可以基于我们的样本库开发出一些更好的防御方案,从而进一步解决恶意应用泛滥的问题。

在2015年之后,我们发现整个移动安全的态势发生了变化,从过去通过恶意应用和SP(移动增值业务信息费)短信恶意扣费,变成了灰黑产的应用,变成了电信诈骗,变成了“杀猪盘”。

我们做研究其实就像打怪一样,会在不同的阶段,解决那个阶段特有的一些网络安全问题。

大家好,我是周亚金,是浙江大学网络空间安全学院研究员,也是BlockSec的联合创始人。今天我想和大家分享在过去十几年的安全研究里面,我们所做的一些与移动安全,以及和今天新兴的网络犯罪相关的事情。

我们做的研究其实就像游戏里打怪一样,在不同的阶段会解决那个阶段特有的一些安全问题。2010年是移动互联网开始大发展的时代,我也有幸在2010年的时候开始移动安全的研究。

改变应用授权的“霸王条款”

今天的观众里可能有很多90后、00后,你们使用自己手机的时候或许就已经迈入了智能手机的时代。

▲图源:知乎用户NBgy1o

智能手机提供的这些应用给我们的生活带来了非常大的便利,但是在安装这些应用的时候,大家可能经常会看到这种授权弹框出现。

而在比较早期的移动设备里面,这样的授权其实存在着比较大的缺陷。那这个缺陷在哪里?

它其实是一种静态的授权方式,也就是说你一旦给予了某个应用某个权限,就没有办法在应用安装之后撤回这样的权限。特别是如果你不给予这个应用它所要求的所有权限,就没有办法安装和使用它。这有点像霸王条款,但在2015年之前的手机上是真实存在的。

我在2010年开始从事移动安全研究之后,加入了蒋旭宪老师的团队。当时团队就发现了这个问题,于是开发了一套叫TISSA的系统。相比于当时的静态授权,这个系统提供了一种动态授权的方式,可以让用户对一个应用的权限做一些运行时的限定。

▲左:手机APP列表  右:某APP下的授权界面

比如说,如果用户觉得一个应用不需要地理位置的权限,就可以撤回地理位置的授权,如果用户觉得这个应用所需要的地理位置权限不合适,甚至可以给它一个虚假的地理位置。这就能够在最大程度上保护用户的隐私,并且做到了动态可调。

▲图源:华为手机官网

我们的这个研究成果后来逐渐得到了社区的响应。到今天,权限管理已经成为一种标配,在很多的手机里我们都可以看到这样的应用设置选项。在应用安装之后,用户仍然可以对应用的权限做动态调整,用户也不需要一次性授予这个应用所有权限,而且可以有选择地授权或撤销。

我们当时发现的问题和研究的成果,在一定程度上促进了整个社区的进化,并且帮助了用户免受强制授权和静态授权的干扰。

检测短信欺诈的恶意应用

在移动时代,我们需要安装各种各样的移动应用,现在我们往往会在应用商店里面下载安装。应用商店包括官方提供的应用商店以及第三方的应用商店。而在比较早期的时候,第三方的应用商店其实是所有应用分发的入口。

这就带来了几个问题:第三方的应用商店里面会不会存在着一些恶意应用?如果这样的恶意应用通过某种方式进入到第三方的移动商店,进而分发到用户的手机上,会不会对用户造成扣费等威胁?

为了研究这样的问题,当时我们对第三方移动应用商店做了一个“体检”。体检的意思是,我们会从第三方移动商店里面去抓取这样的应用,通过开发一套系统去检测这些应用,看它们里面是否存在着有可能会窃取用户的隐私数据的恶意代码。

体检的结果其实不容乐观,特别是在2010年、2011年、2012年的时候,第三方的移动应用商店里面存在着很多的恶意应用。

虽然许多应用商店有一定的检测机制,但是恶意应用仍然可以通过虚假升级给用户造成威胁。比方说一开始安装的某个应用可能是没有问题的,但是在你打开这个应用的时候,它会要求你进行升级,升级之后的应用就是一个恶意应用。

恶意应用的开发者通过种种手段让恶意应用进入到第三方应用商店后,会进而将应用分发到用户的手机上,对用户造成损害。

要解决恶意应用的问题,首先要对恶意应用做比较全面的了解,这就要求有大量的样本,而我们当时就拥有着世界上最早最全的恶意应用的样本。

我们将这些样本和研究成果无偿地贡献给了社区,与来自我国乃至全世界的400多所大学和公司共享,让这些机构的研究人员可以基于我们的样本库开发出一些更好的防御方案,从而进一步解决恶意应用泛滥的问题。

令人欣慰的是,经过研究人员们的共同努力,在今天,整个移动应用商店里面的恶意应用数量直线下降。

过去我们在做研究的时候,很多用户会说自己好像被窃听了。因为他觉得自己刚搜索过的某一个商品,或者说刚跟自己身边朋友聊过对某一个商品感兴趣,随后自己的应用里面就能收到与之相关的广告推送。

▲图源:中央电视台

很多用户就怀疑,难道这些应用在通过窃听的方式了解我的喜好,从而给我推送更符合我要求的这些广告吗?

实际上我们的研究认为,窃听从技术上是可行的,但把窃听用于商业目的实际上是得不偿失的。

那为什么用户会产生被窃听的直觉呢,或者说,为什么用户在某一个应用里搜索的关键字,会在另一个应用里产生相对应的广告呢?

这主要是因为很多第三方广告平台被广泛地嵌入到了第三方应用里,而且很多的第三方应用很有可能会同时嵌入同一个广告平台。而这样的广告平台会在后端对从不同渠道收集到的用户使用习惯做进一步的数据融合,再对用户进行精准画像,从而能精确地了解用户喜欢什么东西、大概的年龄是什么、职业是什么。广告平台会给用户打上各种各样的标签,从而推送符合用户行为的广告。

我们认为,第三方广告平台的这种数据聚合会给用户的隐私带来较大的威胁。那怎么解决这样的问题呢?

我们提出了一个大致上得到业界公认的原则,叫最小特权原则。也就是说,当你使用一个应用的时候,需要对应用进行授权,但这些第三方的广告平台不能要求用户授予应用本来不该拥有的权限。

这个话有点绕,那我们用大白话怎么去解读呢?比如说一个文件管理APP或笔记本APP嵌入了广告平台,这些广告平台就不能要求用户授予地理位置的权限。因为地理位置的权限和这个应用本身的功能没有直接关联。如果将地理位置的权限拿掉,既不影响用户使用文件管理器,也不影响用户使用笔记本做记录。

所以我们认为,如果把这些与应用常规功能无关的权限全部拿掉,并在申请权限的时候遵循最小特权原则,那就可以最大程度地保护用户的隐私。

在我们提出这个原则之后,国家也出台了很多的标准和规范,对第三方广告平台乱索取权限、乱申请权限的行为做了一定的限制。很高兴这些基本的规范都和我们所提出的最小特权原则息息相关。

我们自己在使用移动设备的时候,其实并没有意识到移动设备里面的软件其实是来源于不同的地方。有社区贡献的操作系统,有手机厂商的定制化部分,也有开源项目提供的一些代码,还有第三方开发者提供的一些代码。这些代码最后都会被编译生成到我们的手机设备里。

▲图源:CSDN博客

在安全方面,我们有一个“木桶原则”的概念。也就是说,一个软件系统最脆弱的、安全防护最薄弱的部分,其实来源于整个系统里面安全水位最低的那一块,那一块最容易被攻破。那么,在这么多来源的软件里,有没有可能有些来源的软件本身就是最低的那一块木板呢?

我们就做了一个与此相关的研究。在2013~2014年左右的时候,我们收集了市面上常见的国内外不同品牌的手机,然后开发了一套系统,去系统化地检测这个手机里面是否存在一些安全漏洞。

安全漏洞是什么意思呢?它是指这个软件本身存在一定的缺陷,这些缺陷可能会被一些恶意应用利用,导致短信欺诈、静默安装等后果,从而使用户的数据甚至财产受损。

经过检测我们发现,当时我们收集的不同手机中都不同程度地存在着较大的安全隐患,特别是短信欺诈的安全隐患。

这个视频展示的是短信欺诈,演示了一条伪装成银行的欺诈短信。大家可以发现,恶意应用可以伪造一条银行发送来的短信,甚至能把短信的发送号码伪装成银行的号码。如果用户不知道这是一条欺诈短信,就很有可能点击短信里面的钓鱼链接,从而给自己造成损失。

我们把这个研究成果共享给了全世界的数十个厂商,并且对这些漏洞的存在原因做了详细的分析,提供了一些怎么去修复这些问题的建议。

在我们整个团队的努力下,这些问题都得到了修复,间接地维护了全世界各地数亿移动用户的安全。

对抗灰黑产诈骗应用

在2010年~2015年,我主要从事移动安全的研究。对于移动恶意应用,我们通过共享样本来促进整个产业的发展;对于广告推送,我们提出了“最小特权”的原则;对于设备的漏洞,我们愿意和设备厂商一起来修复这样的漏洞,从而保护用户的安全。

在2015年之后,我们发现整个移动安全的态势发生了变化,从过去通过恶意应用和SP(移动增值业务信息费)短信恶意扣费,变成了灰黑产的应用,变成了电信诈骗,变成了“杀猪盘”。

为什么会有这样的变化呢?是因为在2015年之后,我们国家对SP做了非常严格的管控,通过发送SP短信进行收费的诈骗方式已经变得越来越难了。犯罪分子为了找到新的盈利途径,就开发了这些灰黑产的应用,通过欺诈用户比如说虚假交友、“杀猪盘”这样的方式骗取用户钱财。

当时的灰黑产应用存在着两个应对难点:第一个难点是报案难,因为用户被诈骗了之后往往羞于报案;第二个就是追踪难,想找到灰黑产应用的开发者,甚至找到这些移动应用本身都是比较难的。

我们还发现他们有一个成熟的产业链。一些专门开发灰黑产应用的开发者,会成批地开发这些灰黑产应用,然后将这些应用提交给专门做灰黑产分发的渠道。这些渠道会通过各种方式,比如说一些地下广告平台,将灰黑产应用安装到用户的手机上。用户在使用这些应用的时候,又会不自觉地通过一些地下的第四方支付渠道完成支付,从而被这个犯罪团伙骗取钱财。

怎么解决这个问题?我们认为要从两个方面入手。第一个方面,我们要斩断这个应用的分发渠道,如果这些应用没有办法通过分发渠道安装到用户的手机上,那么用户就不会受骗。第二个,我们要解决这个应用的支付问题,如果诈骗团伙没有办法通过地下支付平台获取利益,自然就不会再继续犯罪。

于是,我们先从应用市场入手。我们对当时市面上的很多应用市场做了深度调研,发现这些应用市场里面都被渗透了很多很多灰黑产应用。我们将这些结果共享给了这些应用市场,他们也在第一时间下架了这些应用。同时,我们还把一些检测的技术和平台共享给应用商店,避免将来灰黑产的应用进入到这些商店里面。

其次,我们从支付平台入手。我们发现有很多的四方支付平台。四方支付平台是指,有一些个人用户可能会在不知情的情况下出租自己的支付账号或银行卡号,这些账号就有可能会被犯罪分子利用,用它们收取这些灰色收入,从而完成洗钱的行为。

我们将检测结果报告给了一些支付平台,支付平台通过自己的努力和一些风控手段,从根源上解决这些问题。

另外,我们在这里也想呼吁大家,不要将自己的支付账号、银行卡账号共享给网络上的支付平台,因为这涉及网络犯罪。

最后,我们其实还开发了一套能去检测和定位这些犯罪分子的系统。我们可以通过犯罪分子开发应用的特征以及留在应用里面的邮箱,关联到他的社交网络账号,从而定位到犯罪分子团伙。

我们会将这些平台情报和数据共享给一些执法机关,来帮助执法机关更有效地打击这些灰黑产包括“杀猪盘”和电信诈骗的应用。2015年~2020年其实是整个灰黑产高发的阶段,它危害更大,会直接造成用户的经济损失。所以我们要从源头和支付渠道以及一些情报方面帮助执法机关更好地去打击这类犯罪。

经过国家近几年的努力,我们发现电信诈骗的发展势头在减缓。虽然我们身边仍然能遇到电信诈骗的案例,但是整体的趋势已经得到了遏制。

数字货币:网络犯罪的新趋势

2020年以后,我们发现网络犯罪又有了新的趋势。

现在很多国内的支付平台,以及国家出台一些类似于银行卡实名之类政策,帮助支付平台通过很好的风控手段封堵了之前的漏洞,犯罪分子没有办法再通过传统的方式骗取用户的钱财,那他怎么办呢?

今天,很多灰黑产应用会通过数字货币进行支付和洗钱,所以我们就有必要在新的形势下跟上,去研究这些数字货币是怎么被用于诈骗的。比如说我们需要理解数字货币在数字网络里面是怎么流动的,它背后的人员是谁,有没有可能定位到一些实体,有了这些线索和情报之后如何进行溯源和分析,等等。这些未解的问题正是我和我的团队目前正在做的,也取得了一些初步的成果,并且我们也正在将这一些成果进行实际的产业化应用。

总结一下,在这十几年安全研究的经历当中,我们发现不同阶段面临的安全问题也是不一样的。我们始终将用户的利益放在第一位,解决当下实时存在的一些安全问题,帮助用户避免自己的数据被窃取,避免受到电信诈骗应用欺诈,帮助用户在钱财丢失之后进行数字货币的溯源和追踪,从而更好地去保护广大用户。

我们也发现,虽然经过十几年的研究,整个网络安全的态势是向好的,但是新兴的网络安全问题仍会不停涌现出来。网络安全问题任重道远,我们也期待有更多的人能和我们一起来构建整个网络安全的新防线。

谢谢大家!

本文由中国科学院公众号:格致论道讲坛(ID:SELFtalks)授权转载。格致论道是中国科学院全力推出的科学文化演讲,由中国科学院计算机网络信息中心和中国科学院网络安全与信息化办公室主办,中国科普博览(中国科学院科普云平台)提供技术支持。作者:周亚金(浙江大学研究员)

声明: 该内容为作者独立观点,不代表新零售资讯观点或立场,文章为网友投稿上传,版权归原作者所有,未经允许不得转载。 新零售资讯站仅提供信息存储服务,如发现文章、图片等侵权行为,侵权责任由作者本人承担。 如对本稿件有异议或投诉,请联系:wuchangxu@youzan.com
(0)
上一篇 2023年11月28日
下一篇 2023年11月28日

相关推荐

  • 水温80度:AI行业真假繁荣的临界点

    我们从来没拥有过这么成功的AI主导的产品。

    (这种分析统计并不那么准,但大致数量级是差不多的)

    这两个产品碰巧可以用来比较有两个原因:

    一个是它们在本质上是一种东西,只不过一个更通用,一个更垂直。

    蓝海的海峡

    未来成功的AI产品是什么样,大致形态已经比较清楚了,从智能音箱和Copilot这两个成功的AI产品上已经能看到足够的产品特征。

    未来科技 2024年6月5日
  • ChatGPT、Perplexity、Claude同时“罢工”,全网打工人都慌了

    美西时间午夜12点开始,陆续有用户发现自己的ChatGPT要么响应超时、要么没有对话框或提示流量过载,忽然无法正常工作了。

    因为发现AI用久了,导致现在“离了ChatGPT,大脑根本无法运转”。”

    等等,又不是只有一个聊天机器人,难道地球离了ChatGPT就不转了。

    大模型连崩原因猜想,谷歌躺赢流量激增6成

    GPT归位,人们的工作终于又恢复了秩序。

    未来科技 2024年6月5日
  • ChatGPT宕机8小时,谷歌Gemini搜索量激增60%

    ChatGPT一天宕机两次

    谷歌Gemini搜索量激增近60%

    ChatGPT在全球拥有约1.8亿活跃用户,已成为部分人群工作流程的关键部分。

    过去24小时内提交的关于OpenAI宕机的问题报告

    图片来源:Downdetector

    ChatGPT系统崩溃后,有网友在社交媒体X上发帖警告道:“ChatGPT最近发生的2.5小时全球中断,为我们所有依赖AI工具来支持业务的人敲响了警钟。

    未来科技 2024年6月5日
  • ChatGPT、Perplexity、Claude同时大崩溃,AI集体罢工让全网都慌了

    接着OpenAI也在官网更新了恢复服务公告,表示“我们经历了一次重大故障,影响了所有ChatGPT用户的所有计划。Generator调查显示,在ChatGPT首次故障后的四小时内,谷歌AI聊天机器人Gemini搜索量激增60%,达到327058次。

    而且研究团队表示,“Gemini”搜索量的增长与“ChatGPT故障”关键词的搜索趋势高度相关,显示出用户把Gemini视为ChatGPT的直接替代选项。

    未来科技 2024年6月5日
  • 深度对话苹果iPad团队:玻璃的传承与演变

    iPad最为原始的外观专利

    没错,这就是iPad最初被设想的样子:全面屏,圆角矩形,纤薄,就像一片掌心里的玻璃。

    2010年发布的初代iPad

    好在乔布斯的遗志,并未被iPad团队遗忘。

    初代iPad宣传片画面

    乔布斯赞同这一想法,于是快速将资源投入平板电脑项目,意欲打造一款与众不同的「上网本」,这就是iPad早年的产品定义。

    iPad进化的底色

    苹果发布会留下过很多「名场面」,初代iPad发布会的末尾就是一例。

    未来科技 2024年6月5日
  • 底层逻辑未通,影视业的AI革命正在褪色…

    GPT、Sora均为革命性产品,引发了舆论风暴,但它在上个月发布的“多模态语音对谈”Sky语音,却由于声音太像电影明星斯嘉丽·约翰逊,被正主强烈警告,被迫下架。

    华尔街日报也在唱衰,认为“AI工具创新步伐正在放缓,实用性有限,运行成本过高”:

    首先,互联网上已经没有更多额外的数据供人工智能模型收集、训练。

    03、

    如果说训练“数字人”、使用AI配音本质上瞄向的仍是影视行业固有的发展方向,那么还有另外一群人试图从根本上颠覆影视行业的生产逻辑和产品形态。

    但分歧点正在于此,电影公司希望通过使用AI技术来降低成本,但又不希望自己的内容被AI公司所窃取。

    未来科技 2024年6月5日
  • KAN会引起大模型的范式转变吗?

    “先变后加”代替“先加后变”的设计,使得KAN的每一个连接都相当于一个“小型网络”, 能实现更强的表达能力。

    KAN的主要贡献在于,在当前深度学习的背景下重新审视K氏表示定理,将上述创新网络泛化到任意宽度和深度,并以科学发现为目标进行了一系列实验,展示了其作为“AI+科学”基础模型的潜在作用。

    KAN与MLP的对照表:

    KAN使神经元之间的非线性转变更加细粒度和多样化。

    未来科技 2024年6月5日
  • 这个国家,也开始发芯片补贴了

    //mp.weixin.qq.com/s/tIHSNsqF6HRVe2mabgfp6Q
    [4]中国安防协会:欧盟批准430亿欧元芯片补贴计划:2030年产量占全球份额翻番.2023.4.19.https。//mp.weixin.qq.com/s/VnEjzKhmZbuBUFclzGFloA
    [6]潮电穿戴:印度半导体投资大跃进,一锤砸下1090亿,政府补贴一半.2024.3.5https。

    未来科技 2024年6月5日
  • 大模型的电力经济学:中国AI需要多少电力?

    这些报告研究对象(数字中心、智能数据中心、加密货币等)、研究市场(全球、中国与美国等)、研究周期(多数截至2030年)各不相同,但基本逻辑大同小异:先根据芯片等硬件的算力与功率,计算出数据中心的用电量,再根据算力增长的预期、芯片能效提升的预期,以及数据中心能效(PUE)提升的预期,来推测未来一段时间内智能数据中心的用电量增长情况。

    未来科技 2024年6月5日
  • 你正和20万人一起接受AI面试

    原本客户还担心候选人能否接受AI面试这件事,但在2020年以后,候选人进行AI面试的过程已经是完全自动化的,包括面试过程中AI面试官回答候选人的问题,AI面试官对候选人提问以及基于候选人的回答对候选人进行至多三个轮次的深度追问。

    以近屿智能与客户合作的校验周期至少3年来看,方小雷认为AI应用不太可能一下子爆发,包括近屿智能在内的中国AI应用企业或许要迎来一个把SaaS做起来的好机会。

    未来科技 2024年6月4日