手機安全危機重重，產業(yè)鏈未來幾何？

高曉松老師說：“人生不是故事是事故”。

人們習慣把安全“外包”給專業(yè)機構，只有當禍事襲來才會痛定思痛，這大概是人性的最大bug，因此安全從來不能一勞永逸。

如今，全國有12億人像我們一樣，每天與手機為伴。

越來越多的安全隱患是從“手機”這個最薄弱環(huán)節(jié)攻入的，很多網絡犯罪分子也已紛紛“轉型”線上了。

在第5屆中國互聯網安全大會（ISC2017）上，360掌門人周鴻祎關于“大安全”的演講刷新了人們對網絡安全認知高度，比如萬物皆可編程，只有軟件是由人編寫就一定存在漏洞，就有被攻破的可能性；在未來網絡戰(zhàn)，系統(tǒng)漏洞是最寶貴的戰(zhàn)略資源；網絡安全方向將是軍民合作等“大安全”新觀念不勝枚舉。

鑒于移動安全重要性及復雜形勢，由360公司組織了ISC2017“移動終端安全論壇”，邀請工信部旗下安全實驗室、中國移動、華為、螞蟻金服、360等活躍在安全產業(yè)第一線重要角色參加。

筆者作為媒體代表有幸受邀觀摩學習，感慨作為一名安全小白享受著移動互聯網帶來便捷和繁榮，很少設想網絡底層“地基”是否牢固？憂慮過是否有不速之客闖入手機“安樂窩”的可能？如果被攻破還沒有察覺，就像被人騙了還在給人數錢一樣昏聵，那么，我們的手機未來會真的更安全嗎？手機系統(tǒng)漏洞爆發(fā)，智能手機產業(yè)鏈讓安全形勢更嚴峻主流的智能手機操作系統(tǒng)要么是iOS，要么是Android，國產手機幾乎全部基于安卓的開源系統(tǒng)，安卓機市場占據智能手機份額的70%以上。

據CVE Details年初的報告，去年安卓軟件的漏洞高達523處，高居所有軟件漏洞之首；此前360互聯網安全中心就出具報告顯示，超9成安卓機處于系統(tǒng)高危狀態(tài)。

好在安卓系統(tǒng)更新非常勤快，升級新版塊一般會把以往公布的漏洞進行修補，那漏洞應該會越來越少才對。

讓人沮喪的是，在ISC移動安全終端論壇上，360 Alpha小組安全研究員楊文林公布了一組數字，2015年谷歌官方公布了64個漏洞，2016年則公布了498個，2017年上半年谷歌官方已披露了1000個，其安全漏洞數量不降反增，預計2018年系統(tǒng)漏洞還將數以千計爆發(fā)。

在ISC2017移動終端安全論壇上，中國信息通信研究院泰爾終端實驗室信息安全部副主任楊正軍在其演講中，就移動安全形勢越來越嚴峻的原因做了梳理：智能手機上下游產業(yè)鏈極其龐雜，其中芯片廠商、手機廠商、App應用開發(fā)者等每個環(huán)節(jié)都可能產生漏洞。

各個手機廠商之間相互競爭、各自為政，對自身UI的安全程度不一，比如谷歌發(fā)布CV1漏洞后國內各個手機廠商及主要應用修復、升級較為滯后。

用戶手機安裝眾多App，有的App存在敏感信息泄露；隨著智能手機所連接的智能設備越來越多，云端密碼、用戶隱私信息泄露風險加大。

（摘自《2017年中國手機安全生態(tài)報告》，不同App對用戶隱私權限不一樣，整體來看非常嚴重）要按以往PC時代安全思維，用戶安全直接交給專業(yè)網絡安全公司、裝個殺毒軟件或手機安全管家就OK了，但移動安全產業(yè)鏈牽一發(fā)而全身，系統(tǒng)漏洞防不慎防，如果不能從全產業(yè)鏈上“團結”起來，很難打擊網絡犯罪分子及黑客大盜的囂張氣焰。

據了解，去年全球網絡犯罪所造成的損失高達3萬億美金，預計2021年會達到6億美金。

打擊網絡犯罪，移動互聯網全產業(yè)鏈大協作才能“治本”  智能手機不僅是人們的認證中心（手機號與社交資料構成人的身份證及通行證）；還是個人的財富中心（支付寶和微信在很多城市已經取代現金支付，還與銀行卡進行綁定）。

這意味著網絡犯罪分子只要搞定用戶手機，絕不可能空手而歸，網絡犯罪離廣大網民并不遙遠，據2017年Q2手機安全報告，360獵網平臺共接到網絡詐騙舉報達6807起，涉案金融高達1.2億元，人均損失17582元，其人均損失基數有逐年上漲態(tài)勢。

打響移動安全保護戰(zhàn)首先要升級的全行業(yè)的憂患意識，以系統(tǒng)漏洞偵查甄別及修復為“牛鼻子”順藤摸瓜。

從這個角度講，安全互聯網公司向手機廠商公布或提示漏洞并非要“砸場子”或“搞事情”，而是幫助手機廠商提升自身的防御力。

以蘋果為例，去年iOS系統(tǒng)開始嘗試安全接口的開放，以攔截騷擾電話、垃圾短信、釣魚鏈接等，360推出防騷擾大師等安全軟件；而谷歌、微軟也會對系統(tǒng)漏洞舉報者給予獎勵，其中全球安全廠商之中，360提供的漏洞數量最多。

國內運營商、手機廠商、開發(fā)者對系統(tǒng)漏洞也應秉持這樣的開放態(tài)度。

要知道，任一手機廠商、互聯網公司只備選某方面的數據，無法做到全面的安全監(jiān)測，要從源頭上解決移動安全問題，就需要政府單位、安全互聯網公司、運營商、手機廠商、開發(fā)者加強合作。

出席ISC2017“移動終端安全分論壇”有中國移動、華為、螞蟻金服的科學家及專家建言獻策。

政府及行業(yè)管理層面：移動終端安全由于手機廠商規(guī)范不統(tǒng)一，驅動力不夠，需政府主管部門統(tǒng)籌，比如對電信設備入網進行安全檢測、抽查入網設備、對系統(tǒng)安全更新備案；推動手機廠商建立移動智能設備持續(xù)性監(jiān)測與安全管理標準體系，以及全行業(yè)安全產業(yè)聯盟。

運營商與移動互聯網、金融機構合作：中國移動已開放自身的用戶號碼能力，提供實名、短信、號碼、數字簽名等認證，這些成為移動金融征信的一部分；使手機號碼與業(yè)務安全結合在一起，讓越來越多App基于移動手機號碼注冊，并進行賬戶權限管理和各站點的互聯互通。

安全互聯網企業(yè)與手機廠商、第三方應用分發(fā)平臺合作：如華為手機就下架了近3000多個問題應用；360對安全隱患的App進行跟蹤，對有漏洞或病毒程序的溯源，再做風險分析和應急預警等。

此外，用戶數據安全管理需要保護用戶隱私不被非法獲取，手機安全管理軟件防止偽基站WiFi熱點竊取用戶賬戶密碼；云服務公司尤其需重視云數據存儲及下發(fā)安全等，都需要安全互聯網公司與最新云計算、大數據等公司協作。

以往移動互聯網行業(yè)中各個參與者都在想如何做安全產品，專業(yè)水平暫且不論，但往往只能“馬后炮”修補迭代，面對不斷變異的病毒程序形同虛設。

唯有移動安全生態(tài)中的芯片廠商、終端廠商、手機廠商、運營商及安全互聯網公司開放協作，才能提升移動安全的根本。

 安全產業(yè)永遠要道高一尺，安全互聯網企業(yè)是協調者+賦能者對廣大用戶來說，移動安全也是“武功再高，也怕菜刀”，無數耳釣魚網站及網絡詐騙讓互聯網充滿陷阱，以手機端勒索軟件為例，據360烽火實驗室技術經理陳宏偉表示，在2017年上半年，總共截獲了勒索病毒41萬個，其中一些勒索病毒甚至能以語音或二維碼解鎖形式，制作成本低廉，而且每天新增約2萬個勒索病毒，這些病毒甚至被一些00后群體作為謀財工具進行經營和散布。

今年5月WannaCry勒索病毒事件開始顯示其猙獰的一面。

很多國家、地區(qū)的加油站沒法加油，交通指揮系統(tǒng)失靈、醫(yī)生做不了手術、銀行系統(tǒng)被攻入等，其勒索支付手段是查無實證的比特幣；更令人細思極恐的是，該事件使用的竟是美國泄露的網絡戰(zhàn)武器之一。

不僅移動安全是一個系統(tǒng)，整個網絡安全也與金融安全、公共設施安全、國家安全聯系成為一個生態(tài)系統(tǒng)，而移動安全可能就是大安全系統(tǒng)之中最薄弱、也最常見的環(huán)節(jié)。

有數據統(tǒng)計，目前黑色產業(yè)鏈的規(guī)模是網絡安全產業(yè)的10倍以上。

在電影《速度與激情8》中的大反派賽弗搶走“天眼系統(tǒng)”，從而把所有人的手機、城市里的攝像頭成為她隨時可調用的監(jiān)控，馬路上行駛的汽車瞬間成為“僵尸”和自殺性襲擊武器。

這是一個IOT時代預言，當人們不安分地接近自動化、智能化的AI世界時，如果沒有強有力的網絡安全技術作為保障，那將是歷史災難！樂觀主義者認為“魔高一尺、道高一丈”。

移動安全痛點越強、人們市場需求越旺盛，政府對安全產業(yè)的重視和扶持，可以說，當前也處于安全產業(yè)“雙創(chuàng)”的黃金期，由360主辦的ISC2017“安全雙創(chuàng)周”及“安全訓練營”活動就給予國內的白帽子創(chuàng)客以資金、技術和平臺支持，安全創(chuàng)業(yè)的風口正在猛烈刮起。

據艾瑞的研究報告顯示，在2016年全球安全投入增長至7356.8億美元，占據IT總投入的16%；而在2017年達到9104.4億美元，與全球IT產業(yè)同步的中國更須在安全產業(yè)上厚積薄發(fā)。

在這個過程之中，360的格局似乎從以往為用戶服務的產品型公司逐步升級為一家輸出安全能力，為互聯網公司、企業(yè)、銀行提供安全技術保障的社會型組織，而在打造移動安全全產業(yè)鏈過程之中，政府與市場之間，各個手機廠商之間、手機廠商與安全廠家之間、互聯網公司與安全互聯網公司、安全產業(yè)創(chuàng)客與資本市場之間絕少不了360的“穿針引線”，能否在“安全”上求同存異，如何逐漸化解互聯網公司由來已久的數據封鎖、戰(zhàn)略對峙等“小九九”，摒棄零和博弈思維，相當考慮智慧，但這是營建移動安全生態(tài)鏈的希望。

結語互聯網本身是代碼編寫的的比特世界，隨之智能手機在滲透人們生活，連WiFi上網與安全一樣成為最底層的剛需，而移動互聯網一步步把“人和物聯網”，越來越多智能硬件會成為移動終端，系統(tǒng)漏洞的疏忽、被利用，都會對物理世界、對人造成實質性的損傷。

只有在移動安全內“積跬步”、全產業(yè)鏈上“手牽手”，才有可能在萬物互聯（IOT）時代“行千里”，因為無論科技多么發(fā)達，人的“安全感”將構成用戶體驗及商業(yè)價值的支點。