手机应用安全漏洞事件背后的真相

admin

安全问题或许不是国内IT人特别关注的话题，不过最近 360 这次曝出的“国内首个手机挂马高危漏洞”还是引起了我的一些关注，只是想在360这纷繁复杂的公关炒作背后，还用户一个真相。
事件背景： 9月5日，360和周鸿祎通过微博和微信大肆宣扬一个手机安全漏洞的“惊天发现”：“国内惊现首个手机挂马高危漏洞”，并宣称“可被大规模利用”，并曝出腾讯、百度、金山的多款安卓应用具有严重的手机挂马漏洞，一时间人心惶惶。然而第二天360手机浏览器和手机卫士也被权威机构曝出存在同样的漏洞，等于自己打了自己一个耳光。
这究竟是怎么一回事呢？经笔者这些天的研究，已基本弄明白了事情的原委，且听笔者为你一一剖析：
真相一：这个漏洞源于安卓
第一、这是安卓的漏洞，所以基于安卓系统的APP都受到影响，因为需要点击链接打开挂马网站才能中招，因此手机浏览器首当其冲，UC、QQ、360、猎豹等浏览器都不能幸免。
第二、这个安卓的漏洞其实2年前就有了，而不是今天才“惊现”的。
专家是这么说的：“这个问题最早是可以追溯到2011年的一篇论文《Attacks on WebView in the Android System》http://www.cis.syr.edu/~wedu/Research/paper/webview_acsac2011.pdf 这篇文章指出了addJavascriptInterface的方式在功能上带来的一些风险，比如你的app里实现了一个读写文件的类，然后使用addJavascriptInterface接口允许js调用，那么就可能导致攻击者直接调用这个class（类）实现读写文件的操作。这种方式是最原始的风险，并没有直接指出getClass()方法的利用。”
第三、这个漏洞其实很难利用，危害程度并没有360说得那样惊悚。
专家说“这个漏洞要实现完美的利用，还需要一些其他东西配合”。
第四、这个漏洞很多厂商已逐步修复，对用户并未产生多少影响。
真相二：360是借机公关炒作（很有一套）
这么一件小事，为啥被360说得那么玄乎呢？这事到擅长公关炒作的360手里，就成了一次绝佳的机遇。笔者简要分析下，其炒作的步骤大致如下：
第一步，360手机卫士官方微博微信同步发出消息， 采用360公关惯用的标题党打法：《国内惊现首个手机挂马高危漏洞 可被大规模利用》，这个标题起得真是不赖。
第二步，360全家出动微博转发 ， 360导航、360浏览器，360云盘，甚至包括周鸿祎本人，各种微博账号一起推转，可谓齐心协力。
第三步，发布网络新闻，做实此事。
这一套下来，普罗大众可能基本就相信了360在安全领域的专业和权威。
可是没想到，9月6日，360手机浏览器和360手机卫士也被曝出存在同样的漏洞，这一点，360当然是不会说的，不过，既然你打了别人，别人总会还个手的，如此杀敌一千自损八百，又是何苦呢？
真相三：360公关炒作真实目的是为扩大移动应用市场份额
事实上，借助安全事件，恐吓用户，恶意打击竞争对手，是360惯用的公关手段。细细想来，对360而言，能获得两个好处：
一是通过借揭露竞争对手的安全不足，树立自身安全的权威形象。
二是通过打击百度、腾讯、金山等竞争对手在移动应用上的不足，来提升360在移动应用上的市场份额。