由手机安全想到的

由手机安全想到的

• 引言
• 管中窥豹和抛砖引玉
• 用我的砖换你的玉
• 看一看啊、瞧一瞧啊
• 后记

引言

大学期间的班主任王老师六个月前微信转发了一篇和移动安全有关的博文，给同学们提个醒。这篇文章和作者前一阵子火的不行，不知道什么原因作者的微信公众号原文已经删除，但网上还可以查到，比如：
https://www.freebuf.com/articles/network/249294.html
https://www.sohu.com/a/417583036_100291228
还有一篇，是牵扯其中的支付宝一周后替自己洗地兼打广告的：
支付宝团队回应手机黑产：人脸识别未被突破，受害人没被套到钱和信息
https://www.freebuf.com/news/251550.html
这里还有一情报中心的总结，写的不错：
因手机失窃导致的资金盗取事件：https://ti.dbappsecurity.com.cn/informationDetail/1148
还有一篇：黑灰产对抗之短信验证码
https://www.freebuf.com/articles/neopoints/250956.html

几年前搞过几年安卓上的软件加密和防破解，知道一点儿皮毛，这里算是科普文吧，管中窥豹，给大家抛砖引玉—–写文章都得讲的客套，免不了这个俗。

呃，—– 喉头又涌起一股孔乙己的老坛酸气，不然也不会土都埋到肚脐眼上面了，还只是混到这个样子 —–

管中窥豹和抛砖引玉

• 管中窥豹 —其实只要是望远镜的管子稍微粗一点儿，离着豹子远一点儿，手别发抖，还是看得清人家是光着身子的。如果你和我一样辅导过上中学的孩子学物理，特别是光学那一块，这种题目大把的有，还有加上各种透镜立起来倒过去的各种变态的难题就不提了。举着根长管子晃来晃去还看不清是什么、怎么着都只瞅到人家一小块皮毛还不知道人家是谁的好像只有一种可能，就是离它太近了。。。
  
• 微软的病（bing）说这个也是：这哪是抛砖，简直就是射玉嘛—这不明摆着是打劫吗br>
  甭管怎么着吧，好砖破砖，能搞到你怀里的美玉的，就是好砖！先站稳了，我的砖头来了。

用我的砖换你的玉

原文整篇文笔简练，一气呵成，环环相扣，钩着人一口气从头读到尾。结论就是：手机的sim卡要加密码。文章里的黑产组织通过利用不同金融机构网上交易的规范的一些漏洞，彼此不能兼顾（也不可能兼顾），黑了作者一把钱。每一个金融机构的网上交易都一定是有漏洞的，毕竟软件和通信协议都是人写的，交易的规则也是人制定的，总有想不到的地方，也就不可能没问题。每一个规则的漏洞都不起眼，但被有心人串起来，破坏力就惊人。幸亏作者是做网络安全这一行的，反应快，换做一般人多半是被洗劫一空、泪眼望天的命。

真不是开玩笑 — 你还坐这儿看着玩儿，没“福气”碰上这些事儿，说明你的命真好??

所以，sim卡要加密码，写在记银行账号和密码的小本子上，别忘了（还有你的美玉）。

但以为加上了密码就可以高枕无忧，那就是笑话了。这，只是刚刚开始。

原作者碰到的黑产是通过偷手机、简单利用各个金融机构的网上交易的漏洞来发财的，这个比那些个上了几天蓝翔技校的培训班就自称黑客的要高级一些。但如果是有人事先通过软件在手机上做了手脚，神不知鬼不觉的，作者就不会这么幸运了。

而且，你怎么就知道他/她的手机还没中招呢/p>

手机本质上就是微型化了的计算机：处理器、内存、放数据和文件的存储器以及电源开关和充电线等等，计算机有的它都有，一般计算机没有的它也有：无线调制解调器、定位芯片（国内也叫GPS，实际上是北斗，但还在免费给别人打广告）和触摸屏就是例子。手机用着用着变慢了，最快最稳妥的恢复办法就是重新启动 — 电脑也是这样，没有一直开着不垮的。

计算机不小心能染上黑产们恶意编写的病毒软件，手机也一样，不能免俗，而且更容易。
电脑病毒从七十年代开始出现，开始是几个人在那儿跑酷炫技，随着网络和硬件软件的发展，很快就进化成了让你破了财还不能免灾的巨大产业。

记得05年女儿出生、陪着坐月子的时候，偶然看到国内论坛上有人抱怨Windows XP电脑的一些问题，我判断是中毒了，就给出了一些建议。比如一般大家安装完Windows进去时，系统默认你是管理员，是可以做很多事情的，包括安装软件和修改系统配置，这也是病毒爱干的事情。如果在Windows上你建立一个访客账号（guest），平时就用这个普通用户登录上网等等，如果网页有问题，病毒最多是攻陷浏览器，是不太容易做更多事情的，比如感染系统里的其它软件或者更改设置，因为你现在是访客，运行的程序是普通用户的权限而不是管理员，想要为所欲为不太容易（还是有机可乘的，但能做到这一步的已经不是普通黑客了，都这样了你还能被关照，说明你也不是普通人了??）。这个是电脑系统本身能够保证的、最起码的安全起点。那时刚混进微软的软件安全部门工作不久，不过是略知皮毛、管中窥豹的水平，但那时确实有些不知天高地厚，没想到发帖时论坛记录下了我电脑的IP地址。几天后就被有心人DDoS攻击，每天大量的数据包发来杜塞，一直到假期结束都不能再用这台电脑正常上网。

那时就了解到国内黑产控制的电脑已经是百万台的规模，被控制的电脑叫“肉鸡”，标价从几毛钱到一两块钱不等，国外的肉鸡价要更高些，这是十几年前的行情。

电脑如此，手机也是一样。你用手机，你就是默认的管理员，可以做你想做的事情（也应该如此），改动各种设置、安装软件等等。手机系统主要有两种：苹果的iOS和谷歌的安卓Android，前者闭源、为苹果独自开发维护，后者开源、同一个版本不同手机厂家可以有不同扩展，所以碎片化很严重，安全问题也相对多一些。但如果以为闭源的苹果更安全，那也是个笑话?? 2017年苹果电脑就爆出安全漏洞，任何人可以用管理员”root”登录而不需要口令。苹果几天后就修复了，修复后root需要口令了，但随便你敲，还是可以进去。一周以后才算是真的把问题解决了。

去年闺女学习努力，鼓励她就给买了台苹果的Mac Book Pro，可以指纹解锁的那种，要两千美刀，心痛了好久。几个月前动了心思想瞧瞧丫头有什么秘密没有，才发现我的食指也可以开这苹果电脑的锁?? 丫头的食指指纹是左旋，俺的右旋，根本不可能一样。这咬了一口的苹果啊，真香！

几年前做安卓软件安全，别的没学到，只晓得水是太深太黑了。用户态（user space）安全问题成堆，内核（kernel）就更是无底洞。苹果手机也一样，只有你想不到、没有人家做不到的 —– 毕竟电脑手机这类电子设备和各种相关的服务，在带来极大方便的同时，也有非常多的安全问题 —– 有得就必有失，几年前爆出的亚马逊的语音识别器和三星的智能电视可以被远程遥控用来窃听就是例子。所以我手机换了几个，但安全问题自认为没碰到过几个。原因吗简单，让它只做它该做的事儿??

手机是干嘛用的电话的。后来能上网了，那就上网逛逛呗。和钱有关的，尽量少用它，比如各家银行和金融机构的软件、这个宝那个通的，能不装的就别碰，实在需要的就限制额度，比如微信就只管收红包?? —当然和我在国外，手机上的移动服务也没有国内的这么丰富有关。我并非鼓励大家回到过去，“交通基本靠走、交流基本靠吼”，而是在手机没有解决基本的安全问题前（比如去年有统计谷歌的应用商店还有30%的应用软件有安全问题，实际上没查出来的软件、特别是游戏类的，后门更多），尽量用更稳妥的办法来处理和钱有关的交易。

除了红包，我不在手机上做和钱有关的交易。平时在家里的一台电脑上处理小额的款项，而且那台电脑就只干这事儿?? 额度大的，就上银行。我每周还是会逛逛一些黑客和安全类的网站，但全都是在另一台电脑的虚拟机里，不会直接在电脑上乱跑。供各位参考。

如果可能，你可以专机专用，比如一台手机只安装和工作以及个人理财有关的软件，别的一切绝对绝对不要碰。另外一台手机可以聊天和打游戏，但完全不要搞和钱有关的事情 — 很多软件特别是游戏和视频娱乐一类的非常容易被利用，可以在运行一段时间后被用来偷偷安装和运行你不知道的东西，这个很难防范 — 苹果和谷歌的应用商店号称会检查、但架子上有不少这样有缺陷的软件，国内一些不规范的应用商店就更不用提了。如果安装的软件里有涉及黄赌毒的，这一类软件几乎百分之百被做过手脚，哪怕以后卸载了、手机本身也基本上是废了—–只要有一个病毒没被清掉或者漏洞没被堵住，你我可能就是“皇帝的新装”里那光着身子的人。

信息安全涵盖的范围很大，从底层的硬件到软件、网络和互联网、手机等等都牵扯其中。常在河边走，只能是小心翼翼、耗子尾汁 ??

大家都知道Windows里有未公开的数据结构和功能调用，更不要说下层的Intel和AMD的芯片还有未公开的指令，GitHub上能搜到一堆扫描这些指令的开源程序，安全问题更是一抓一大把，比如时髦的侧信道攻击等等 — 有人的地方就有江湖，江湖到处黑乎乎?? 所以还是自己做的最放心，哪怕是烧饼 ??

看一看啊、瞧一瞧啊

这里是我常去的一些和安全有关的网站，它们本身都安全，感兴趣的同学可以去看看，感受一下。

• 国内的：

  • 腾讯安全玄武实验室的微博：https://www.weibo.com/xuanwulab
  • 平安银河实验室：https://galaxylab.com.cn/
  • 天融信阿尔法实验室：http://blog.topsec.com.cn/
  • 看雪论坛，这个恐怕是国内名气最大的。早年间是灰帽子，现在白了不少：https://bbs.pediy.com/

• 国外的：

  • 黑帽大会，这是电脑安全行业里最负盛名的：https://www.blackhat.com/
  • vxunderground: 常去的，信息非常丰富。largest collection of malware source, samples, and papers https://vxug.fakedoma.in/
    • 它的twitter：https://twitter.com/vxunderground
  • 破解和利用数据库，Exploits Database, by Offensive Security：https://www.exploit-db.com
  • 信息安全和讨论频道 /r/netsec – Information Security News & Discussion：https://www.reddit.com/r/netsec/new/

技术的进步实在太快了。记得九十年代中期出国后第一家公司的客服有个Andy老头，人很好，桌上摆着60年代他参与设计的IBM硬盘，和餐馆里差不多大小的十几个大盘子叠在一起，一共不过64KB。现在装口袋里的几个TB的硬盘都很普通了，1TB的SSD闪盘就是一块芯片大小。现在还有谁保留有录像带和随身听CD可能都不容易看到了吧/p>

哪行都一样，都有永远学不完的新东西。

衷心感谢大学时各位老师的教诲，还有同学们的帮助。虽说“修行靠个人”，但首先是在你们的帮助下、打开了这扇门。多谢！

呃，你的玉呢?

（大家拿的都是砖头啊这世道 。。。）

后记

1. 拖拖拉拉写了半年，还没有个条理，惭愧。明天就是2021牛年春节了，就这么着了??
2. 苹果电脑的指纹识别—呵呵！呵呵呵！

• 前面讲了，闺女2019年款的MacBook Pro电脑，俺和她完全相反的指纹也能混进去 ??
• 苹果去年11月17日推出新的操作系统Big Sur，闺女更新电脑后，俺的手指印按上去就不管用了? 后来发现用手指快速地在指纹识别处上下擦一擦，还是能混进她的电脑！
• 两个星期后苹果推出了安全更新，擦一下不管用了，但擦个两三下，还能混进去。哈哈！
• 苹果去年12月14日接着推出更新，这次擦一下和擦个两三下都不行了。几天后和丫头开心，偶然发现猛擦一下然后停住，就又能蒙过它的指纹识别！
• 今年2月1日苹果推出11.2版本的更新，手指怎么横擦竖擦都不行了。我严重怀疑苹果把你我每次扫描的指纹都偷偷上传做分析、修正它的问题 ??
• 上周末和丫头赌50美刀进她的电脑，想着怎么着都没戏，就一把按上去不动。你猜怎么着头的$50归我了！苹果来来回回折腾了这么多回，又回到了半年前！
• 前天2月9日苹果推出了最新的11.2.1更新。这两天试了几次，手指不乱动，可以继续混进去。
• 指纹识别严重打击了忠实果粉的闺女的信心。她安慰自己说：好歹手机没这问题。我说：那是这半年来我就再也没机会碰你的手机，连摸一下都不行！

祝牛年平安吉祥、万事顺遂！

来源：书虫  