1月9日,腾讯玄武安全实验室和知道创宇404实验室,发现支付宝App克隆漏洞并公布。短短的1个月时间之后,2月13日阿里安全猎户座实验室和潘多拉实验室,发现了微信钱包的App克隆漏洞。
两个巨头你来我往,都努力为对方找漏洞。当然受益人是我们广大吃瓜群众,让我们的支付更安全。
不可否认阿里和腾讯的安全团队,都是当今国内顶级的安全团队,两家公司在安全上的投入也是无人能及的。放眼全球来看,阿里和腾讯的安全能力也排在前列。很多同学会问,为什么支付宝、微信也有这么严重的安全漏洞?我们自己怎么保护自己的支付安全?
老郝从03年起在互联网公司负责整个技术团队的管理,安全当然是义不容辞的责任,期间摸爬滚打一路过来,在对抗中不断成长。不敢自称专家,但各种安全问题和几乎都解决过,建立过公司安全体系,也算是积累了些经验,今天就来谈谈上面的两个问题。
一、为什么支付宝、微信也有这么严重的安全漏洞?
1.信息安全涉及的因素广,易攻、难防。
(1)信息系统的每个层面(底层硬件、网络、主机、中间件、应用软件)都有大量的因素影响到信息安全。安全领域讲“纵深防护”,就是必须在每一层都要进行防护,而且每一层能细分很多个控制项,每个控制项还能再分解很多控制点,必须对每个层、控制项、控制点都做好防护。这个道理说着容易,做起来很难,有些控制项和控制点是看不到甚至想不到的,即使看到了想到了,采取的措施是否有效,是不是把有限的预算投入到了最该投入的地方。
(2)攻击容易,防御难。防御要对每个层面采取全面防护措施,而攻击只需要找到一个点。信息安全遵循木桶理论,系统的安全程度,就取决于木桶最短的那块板,一个薄弱点就能让安全团队的努力变成泡影。通常在单位里做安全比较类似IT运维,工作做的越好越没有存在感。把潜在问题都化解于无形,把各种风险都提前采取措施规避,最后别人都忘记了你的存在,这正是搞安全和搞运维的最高境界。但是如果你不会汇报不会做PPT,领导不会知道你付出了极大的努力才得到这个结果,甚至认为你很闲。当然,如果安全防护没做好出了问题,加班加点废寝忘食手忙脚乱的救火,可能反而觉得你很努力、很付出。
(3)人是信息安全的最薄弱的环节。即使把上面每一层、每个项、每个点都控制好了,别忘了还有个信息安全最大的短板——人。无论是软件代码、系统运维和用户使用过程,人为的疏忽是导致安全问题一个很重要的原因。其实,信息安全本质是人与人(组织与组织、国家与国家)的对抗。
支付宝和微信钱包这两次的漏洞,是软件代码逻辑上的漏洞,这种漏洞本质上也是属于人的问题,但是这种软件逻辑的问题非常难发现,实际上阿里和腾讯内部对产品安全测试也没有发现这个漏洞。
2.更要命的是,上面那些控制项和控制点都是动态变化的。也就是说,安全是动态变化的,今天安全不代表明天还安全。因为软件的漏洞(甚至硬件漏洞)在不断被发现,各种攻击技术也不断更新升级,安全工作必须持续不断的做。
3.绝对的信息安全是不存在的。除非把计算机断网锁起来,黑客没有入侵你的机会,病毒没有感染你的渠道,这样才能绝对安全,但是这样的安全没有意义。只要联网、只要跟外界有信息传递(U盘和光盘拷贝等),就无法保障绝对安全。
二、怎么保护自己的支付安全?
下面老郝谈谈怎么保护自己的支付安全。
1.及时升级是个好习惯。无论微信还是支付宝,都要第一时间升级到最新版。新版本会修复老版本发现的安全漏洞。
2.认准官方App安装渠道。安装或升级App一定要从官方渠道,不要用第三方应用市场,包括二三线品牌手机自己的应用市场,这些市场上软件安全没有保障,从这里安装的很可能是被篡改过的App,手机中了木马都不知道。iPhone可以用苹果App Store,Android手机尽量用腾讯自家的应用宝下载。
3.手机做到两个不。(1)iPhone不越狱;(2)Android不root。这两点做到太重要,这是系统的最基本保障,如果越狱或root,就像家里防盗门大开,手机中毒成了很轻松的事。
4.自己做到不随便。不要随便点别人发的链接,即使熟人发的也不要乱点,熟人的号码可能被黑客盗取用来发病毒。
5.手机操作系统及时更新到最新版。从这个角度看,在国内用iPhone如果系统及时更新,安全性上远高于Android系统(当然从个人角度看,无论每个方面iPhone的安全性都完胜Android)。因为国内某些不可描述的原因,谷歌的Android最新升级包发布后,国内手机厂商平均6个月后才能发布自己的升级包,也就是至少6个月你的手机系统极不安全。
网友评论