网易漏洞不足为惧?行业隐患远比你想象的更危险
注:本文为美国一名华人网络安全研究者向爱范儿提供的匿名专稿。
安全,在任何信息系统中都是最重要的问题。保护信息系统的安全和用户数据的隐私,没有可以商量的余地。
然而,2015 年下半年来自中国的两则新闻,让美国的安全界开足了眼界。第一件新闻,是众所周知的 XCode 集成开发环境内插入木马导致 iOS App 被插入恶意软件的事件;第二件新闻,则是一家名叫优蜜移动的新三板挂牌公众公司推出的一款移动广告 SDK 内使用隐藏方式调用 iOS 私有应用程序接口收集用户隐私数据被曝光的事件。
这两个看似独立的事件的根本原因出人意料的一致——未受过正确教育的开发者以及无视游戏规则的管理者促成了这一切的发生。
正常的企业开发环境中,来自第三方的应用程序应接受安全审查,生产环境的访问亦有严格的访问控制列表以及审计跟踪。然而,从公开报道的新闻中,可以看到,即便是被普遍认为是中国知名技术公司的腾讯开发的高知名度即时通讯软件微信依然是使用了被污染的环境进行构建。
在此种重大安全时间发生后,除了内部追责之外,一般来说,受影响的公司也会发布事故报告(post-mortem)解释这一切是如何发生的以及采取了何种措施避免此类问题的再次重演。不可避免的,同时也有内部系统的安全复核。但很遗憾的,公开新闻中发现的受影响之企业,没有任何一家发布了事故报告,不难猜测,安全复核也从未发生过。
这一事件更深层次反映出的问题便是程序员往往没有安全意识,而信息安全部门(如果有)也并未意识到内部威胁是最大的威胁——与此同时这也是网络安全界的共识之一。用另一种语言描述,则是整个行业并未按照既定的游戏规则行事。
其实,这也并不难理解。中国的大学生在接受教育时,也从讲师那里接受了安装盗版软件的习惯,甚至是从网络公告板中寻找盗版软件的习惯。因而,不难想象,在工作后,即便是可以免费获取的开发工具也从非可信任渠道获取,这种隐患成为现实也是顺理成章。
优蜜移动的事件则非常好的展示了中国公司是如何不按照游戏规则行事的。依据苹果的开发者手册,不得在公开发行的应用程序中使用私有应用程序接口。而此公司却使用了混淆手段,进行私有接口的调用。由于此类私有接口可以取得用户的唯一标识符以及身份信息,而这类信息对于广告展示的优化有至关重要的作用,因此以利益为驱动,优蜜移动使用不正当手段取得了这些机密信息。
需要指出的是,窃取机密数据的行为被曝光,优蜜移动并不是第一个,也不会是最后一个。一家名为聚合数据的中国企业便被从业人员曝光其在隐私策略声明的范围之外私自收集、上传用户机密信息的行为。
在一个严格遵守安全标准、尊重用户并进行公平竞争的环境里,类似优蜜移动做出的举动是毫无可能的。此种行为不但违反了游戏规则,破坏了生态环境,同时也是对于用户隐私权的极大的破坏。但很遗憾的是,即使在此丑闻被美国安全研究人员揭露后,此公司发布的声明中,也无任何针对用户隐私保护的声明。在其语焉不详的隐私保护声明中,此公司也未透露任何关于收集何种用户数据以及如何处理此种数据——而这是隐私声明中必不可少的部分。
其实,最根本的原因,则是缺失了教育以及行政规范,并且商业公司罔顾游戏规则,随意行事。在中国,网络安全以及隐私问题层出不穷的背后,既反映了各级网络主管部门、全国和地区运营商对安全准则的无视,又凸显了整个社会对网络安全的无知、轻视和自负。尤其是计算机相关专业的本科生和研究生,由于没有必要的教育,他们除了对业界的现状一无所知,更缺乏基本的信息安全意识。因此 XCode 事件自然会发生。由于缺乏对用户隐私的尊重,行恶的公司继续行恶也不难理解。由于没有相应的法律法规,用户甚至无法维护自己的隐私权。
题图来自:ICSE Security