安全问题或许不是国内 IT 人特别关注的话题,不过最近 360 这次曝出的“国内首个手机挂马高危漏洞”还是引起了我的一些关注,只是想在 360 这纷繁复杂的公关炒作背后,还用户一个真相。
事件背景:9 月 5 日,360 和周鸿祎通过微博和微信大肆宣扬一个手机安全漏洞的“惊天发现”:“国内惊现首个手机挂马高危漏洞”,并宣称“可被大规模利用”,并曝出腾讯、百度、金山的多款安卓应用具有严重的手机挂马漏洞,一时间人心惶惶。然而第二天 360 手机浏览器和手机卫士也被权威机构曝出存在同样的漏洞,等于自己打了自己一个耳光。
这究竟是怎么一回事呢?经笔者这些天的研究,已基本弄明白了事情的原委,且听笔者为你一一剖析:
真相一:这个漏洞源于安卓
第一、这是安卓的漏洞,所以基于安卓系统的 APP 都受到影响,因为需要点击链接打开挂马网站才能中招,因此手机浏览器首当其冲,UC、QQ、360、猎豹等浏览器都不能幸免。
第二、这个安卓的漏洞其实 2 年前就有了,而不是今天才“惊现”的。
专家是这么说的:“这个问题最早是可以追溯到 2011 年的一篇论文《Attacks on WebView in the Android System》http://www.cis.syr.edu/~wedu/Research/paper/webview_acsac2011.pdf 这篇文章指出了 addJavascriptInterface 的方式在功能上带来的一些风险,比如你的 app 里实现了一个读写文件的类,然后使用 addJavascriptInterface 接口允许 js 调用,那么就可能导致攻击者直接调用这个 class(类)实现读写文件的操作。这种方式是最原始的风险,并没有直接指出 getClass ()方法的利用。”
第三、这个漏洞其实很难利用,危害程度并没有 360 说得那样惊悚。
专家说“这个漏洞要实现完美的利用,还需要一些其他东西配合”。
第四、这个漏洞很多厂商已逐步修复,对用户并未产生多少影响。
真相二:360 是借机公关炒作(很有一套)
这么一件小事,为啥被 360 说得那么玄乎呢?这事到擅长公关炒作的 360 手里,就成了一次绝佳的机遇。笔者简要分析下,其炒作的步骤大致如下:
第一步,360 手机卫士官方微博微信同步发出消息,采用 360 公关惯用的标题党打法:《国内惊现首个手机挂马高危漏洞可被大规模利用》,这个标题起得真是不赖。
第二步,360 全家出动微博转发, 360 导航、360 浏览器,360 云盘,甚至包括周鸿祎本人,各种微博账号一起推转,可谓齐心协力。
第三步,发布网络新闻,做实此事。
这一套下来,普罗大众可能基本就相信了 360 在安全领域的专业和权威。
可是没想到,9 月 6 日,360 手机浏览器和 360 手机卫士也被曝出存在同样的漏洞,这一点,360 当然是不会说的,不过,既然你打了别人,别人总会还个手的,如此杀敌一千自损八百,又是何苦呢?
事实上,借助安全事件,恐吓用户,恶意打击竞争对手,是 360 惯用的公关手段。细细想来,对 360 而言,能获得两个好处:
一是通过借揭露竞争对手的安全不足,树立自身安全的权威形象。
二是通过打击百度、腾讯、金山等竞争对手在移动应用上的不足,来提升 360 在移动应用上的市场份额。
事件回顾
奇虎 360 昨日发布风险警示,近期,微信等多款安卓流行应用曝出高危“挂马漏洞”:只要点击好友消息或朋友圈中的一条网址,手机就会自动执行黑客指令,出现被安装恶意扣费软件、向好友发送欺诈短信、通讯录和短信被窃取等严重后果。包括安卓版微信、QQ、腾讯微博、QQ 浏览器、快播、百度浏览器、金山浏览器等大批应用均被曝光同类型漏洞。
挂马漏洞的说法源于“挂马攻击”。挂马攻击是指攻击者在获取网站控制权之后,通过篡改网站的网页内容,在页面中嵌入恶意代码。360 安全中心监测到挂马漏洞信息后,第一时间进行了分析,发现此类漏洞是由于微信等应用开发者错误使用了安卓系统 WebView 开发接口引发的。此前,谷歌公司在安卓开发者文档中已明确指出,“WebView 中的该接口会引发严重的安全问题。请尽量不要使用这个接口,除非你能保证 WebView 中加载的内容都是你自己编写的。”国内多家应用开发者则忽略了这项安全规范,导致此次手机挂马漏洞大规模爆发。
根据漏洞攻击途径分析,此次手机挂马漏洞主要影响聊天应用和手机浏览器。在微信等聊天应用中,只要点击公众账号或好友发来的恶意网址消息就会中招,用户应避免点击陌生可疑链接。