企业新闻

【专家视点】移动互联网创业热中为何安全问题频现

2015-12-14 09:39:53 | 来源:中培企业IT培训网

在9月29日至30日举办的2015中国互联网安全大会上,中国工程院院士、中国互联网协会理事长邬贺铨忧心地表示,“当海量的人、设备和服务连接到互联网后,安全风险对于整个网络空间的影响将是灾难性的,随着网络世界与物理世界深度融合,网络世界的安全威胁也将更深地影响到现实世界。”

他的担忧早有现实印证。前不久,多款知名社交、地图、出行App的iOS版被爆出有“恶意代码”。据悉元凶名叫Xcode,受恶意代码影响,由这款工具开发的iOS版App均存在泄露个人隐私的危险。目前已确认受影响的热门应用包括微信、滴滴出行、12306、同花顺等。360安全中心亦宣称一款名为“流量僵尸”的手机木马已感染近45万部安卓手机,其中近九成被植入到天天跑酷、极速狂飙等知名游戏中,携带危险的应用不下90个。中招者每解锁一次手机,就会导致木马疯狂耗流量,用户甚至不知不觉中为流量花费上千元。

面对网上的流量泡沫和安全风险,开始有声音对移动互联热潮和应用安全产生了怀疑,更有人直言,如此多移动互联网创业公司和新App开发,能保证安全吗?

在南开大学信息安全系副主任贾春福看来,一味指责互联网创业并不合理,“任何一个系统都有漏洞,正所谓‘没有绝对的安全’,许多漏洞在使用中才会暴露。”他坦言,移动互联网发展极快且时间尚短,整个行业的安全技术确实没有跟上。及时处理发现的问题才是关键。

电信专家、飞象网总裁项立刚认为,并不是移动互联和创业热潮使得互联网更危险了,而是因为如今各种App和生活息息相关,“几亿人的衣食住行全都可以通过网络连接,犯罪者借此直接牟利的可能性加大,一旦出现问题危害更大了”。

专业平台的数据印证了此说法。来自360互联网安全中心的数据显示,目前超过37%的国内网站存在漏洞,补天漏洞响应平台上收录的数据表明,漏洞在国内导致的隐私信息泄漏不下23亿条,其中包括个人隐私、账号密码、商业机密等重要数据。

前AVOS中国区总裁、LeanCloud CEO江宏认为:“如今网络安全风险给人伤害更大,并非安全水准比过去更差,而是坏人有了更多的动机,可见的经济利益给了他们更大的吸引力。”他回忆十几年前遭遇的网络病毒往往是让电脑变卡甚至仅仅是屏幕上出现一个黑点而已,现在就连主攻信息科技的自己都会收到诈骗信息,公司财会更是经常收到各种骗钱短信。

犯罪者的手段也越来越高明。贾春福表示,过去的危险往往是人为攻击,现在恶意代码大规模扩散带来的影响更大。以“流量僵尸”手机木马为例,其控制服务器对于搜索关键词的选取是经过精心设计的,不仅和当日新闻热点有关,而且选词范围非常丰富。其中,娱乐新闻最多,占39.3%;其次是商品信息,占25.2%,这就使得木马所模拟的搜索行为看起来更加真实,更加不容易被一般搜索引擎的反作弊机制发现。

江宏介绍,有关Xcode的后门早在20年前就有专家提醒过类似风险,但在技术上至今难以解决该问题。

虽然网络风险并非互联网创业的“原罪”,但几位受访者也认同创业者需要承担一部分责任。贾福春和项立刚都认为创业公司难免在技术层面不如成熟企业,安全方面的纰漏往往更大,也因此需要拿出更负责的态度对待用户。

江宏则认为,在当今的创业环境下,草根团队和大公司在安全层面差距并没有想象得那么大,“如今和小公司竞争的不是大公司,仅仅是巨头旗下的一个部门罢了,事实上这些部门的‘后勤’力量不见得比小公司优越多少”。

“许多App在行家看来就像‘裸奔’一样。”在互联网界从业多年的江宏觉得情况“值得担忧”,他表示,现在市面上有问题的应用实在太多,只是目前牟利空间不大尚未被攻击而已。

在国内最大的漏洞反馈平台和“白帽子”黑客聚集地乌云网上,有成百上千可能导致信息泄露、木马注入的系统漏洞被各地的程序员热心地提交着,其中不乏现象级应用,但诸多厂家给予的回执往往是“无影响厂商忽略”、“厂商拒绝回执”。

一位匿名的“白帽子黑客”称,“有一些厂商会认真对待,但也有不少创业公司和巨头企业厌烦我们,根本不会正视漏洞,‘这么多厂商谁没有漏洞啊,要是挨个处理哪能忙得过来?’”

江宏表示,诸多应用存在漏洞,一方面是由于技术团队水平不够从而选择放宽权限简便操作,偷懒的同时安全系数也下降了;另一方面产品更新压力太大,许多程序员抱有“现在先凑合一下之后再改”的心理,但事实上之后有时间修补的机会微乎其微。更现实的原因在于,“如今纯线上的时代过去了,越来越多的创业公司必须把紧俏的资源投入到线下的布局,能投入在线上尤其是安全端的精力会有多少呢?”

安全的缺失在一定程度上阻碍了行业发展。项立刚表示,在短期内风险问题肯定会困扰行业,尤其一些本就比较谨慎、对互联网持怀疑态度的的中年人更可能拒绝触网。

以P2P网络借贷为例,今年上半年P2P问题平台高达419家,是去年同期的7.5倍;据不完全统计,截至2014年,有近165家P2P平台由于黑客攻击造成系统瘫痪、数据被恶意篡改、资金被洗劫一空等问题。这些“可怕”的数字无疑都在冲击着用户的信心。

移动互联时代网络安全愈发被重视,在成为行业所必须跨越门槛的同时也激发了一群创业者。他们在发掘新“蓝海”的同时也为安全上的诸多问题提供了解决可能。

ABIResearch的最新研究报告显示,中国网络安全市场当前的规模为49亿美元,预计到2017年将翻一番至98亿美元。分析称中国的网络安全市场虽然尚处在初级阶段,但未来可能会发展为万亿级的市场。

以LeanCloud为例,不仅帮助用户搭建后台更负责日常运维,换句话说用户的核心安全数据由其代为保存。“让专业的人干专业的事”,江宏认为,目前国内公司仍习惯自己掌握数据,没有养成购买第三方服务的习惯,但其实由专业机构提供的“标准化产品+部分定制服务”可以使企业后台更有安全保障。

另一家云数据服务平台UCloud也在近期推出了“金融云”,据介绍,该产品是整合一系列针对金融行业特点的产品和服务,为金融行业客户量身定制的云计算解决方案,最大“卖点”便是四层安全防护体系打造的金融级后台保障能力。

尽管有了越来越多的行业解决方案,江宏觉得“人”依旧是安全问题的关键,所以他认为教育企业用户对安全的重视,提升开发者的警觉是LeanCloud的重要任务。

项立刚认为,安全并非仅是技术方的问题,目前的安全现状实际上是国家机制、企业技术、用户安全意识共同缺失造成的。

贾春福表示,“互联网+”是大势所趋,公众必须注意到自己的责任,不能只追求方便却忽略了潜在风险。另一方面,企业理应抓紧解决发现的安全问题。在“安全没有绝对”的情况下,定期提醒用户注意风险才是负责的做法,仅仅在注册时展示一份长长的免责协议敷衍了事是不可取的。

标签: 移动互联网