|
手機已經(jīng)成為我們的貼身伴侶��,每天你看了哪些網(wǎng)頁��,網(wǎng)購了哪些東西���,手機錢包里有多少錢……都存儲在手機中�����。 假如有人將你的手機支付賬戶全都復(fù)制到另一部手機上�����,他一定會知道你錢包里有多少錢����,吃了什么外賣�,住過哪些酒店。 
1月9日�,騰訊安全旗下的玄武實驗室和知道創(chuàng)宇404Team聯(lián)合發(fā)布一個基于Android系統(tǒng)的“應(yīng)用克隆攻擊模型”,利用該漏洞可以將你的許多個人賬號“克隆”至另一部手機��。據(jù)悉�����,安全研究人員應(yīng)用市場中挑選了200個應(yīng)用�����,發(fā)現(xiàn)27個存在該漏洞����,比例超過10%。 
早在12月7日騰訊安全就已經(jīng)將該漏洞上報給國家信息安全漏洞共享平臺�����,通過該平臺通知存在漏洞的APP所有者�����,并給出修復(fù)漏洞的具體方案。目前�,支付寶、WiFi萬能鑰匙���、小米生活��、百度旅游等APP已經(jīng)完成了修復(fù)�����,攜程��、易車網(wǎng)����、豆瓣等APP還未進行修復(fù)�����。 
很多讀者以及大量媒體對安全公司提交漏洞的做法并不了解�����。在現(xiàn)場與幾位媒體交流的時候,他們說:“騰訊安全提交這個漏洞給廠商�����,廠商會給騰訊付錢么�?或者國家信息安全漏洞平臺付錢給騰訊�?” 發(fā)現(xiàn)安全漏洞是一種公益行為 事實上,安全廠商提交漏洞是沒有錢可賺的�。沒錢賺的事情,企業(yè)為何會去做��?難道是要做公益么���?這還真的說對了�。安全公司提交漏洞����,就是一種公益行為。 為了獎勵這些漏洞提供者�,微軟、谷歌��、蘋果����、騰訊���、SAP等許多企業(yè)都設(shè)置了對漏洞發(fā)現(xiàn)者的獎勵。比如����,谷歌曾承諾對于發(fā)現(xiàn)Google Play漏洞的安全人員,按照每個漏洞1000美元給予獎勵��;國內(nèi)公司騰訊�����,對于發(fā)現(xiàn)QQ�����、微信等客戶端漏洞的安全人員��,根據(jù)發(fā)現(xiàn)漏洞的級別給予1萬-10萬不等的獎勵����。 
而大量安全人員、白帽子黑客發(fā)現(xiàn)漏洞并非為了獲得獎勵,而是他們的愛好與職責(zé)�����。他們就像是啄木鳥一樣�����,天生就喜歡發(fā)現(xiàn)“蛀蟲”��。當(dāng)然企業(yè)提供獎勵金可以鼓勵更多的安全人員去發(fā)現(xiàn)漏洞�。 據(jù)悉���,在2016年����,騰訊安全總計為微軟�����、蘋果����、谷歌、Adobe四大國際頂尖廠商提交漏洞269個,位居國內(nèi)首位����。在Adobe漏洞提交方面,2016年5月Adobe公司發(fā)表的安全公告中�,騰訊安全玄武實驗室單次提交漏洞高達32個,是Adobe Reader有史以來單方提交漏洞之最����。 在2017年3月,由中國互聯(lián)網(wǎng)協(xié)會網(wǎng)絡(luò)與信息安全工作委員會和國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)共同主辦的“國家信息安全漏洞共享平臺(CNVD)2017年工作會議”上��,騰訊安全實驗室—玄武實驗室以1302.87積分在原創(chuàng)漏洞提交的工作中名列第一�����,被CNVD授予“原創(chuàng)漏洞報送突出貢獻單位”的稱號�。 企業(yè)設(shè)置獎金,CNVD這樣的機構(gòu)設(shè)置獎項�����,這極大的鼓勵企業(yè)����、個人去發(fā)現(xiàn)安全漏洞并積極上報。這些發(fā)現(xiàn)漏洞的安全從業(yè)者就是整個互聯(lián)網(wǎng)森林的“啄木鳥”醫(yī)生,可以發(fā)現(xiàn)普通人無法發(fā)現(xiàn)的“蛀蟲”�����,默默守護著互聯(lián)網(wǎng)森林的安全���。 騰訊安全為何能成為“漏洞挖掘機”����? 自從安全軟件免費之后��,做安全公司就很難從消費者一側(cè)獲得收入�����。收入的主要來源是為企業(yè)提供安全防護能力����,比如����,為銀行的網(wǎng)站、APP���、U盾做加固�,為智能硬件廠商做安全防護設(shè)計。 但是TO B市場并不像TO C市場那么龐大��,而且這塊市場也是隨著物聯(lián)網(wǎng)�����、云計算���、智能硬件的發(fā)展不斷增加的����。想要獲得更高的收入�,非常困難。 因此����,在TO C的安全市場上,那些迫切需要依靠TO C安全盈利的企業(yè)都死掉了�。只剩下了騰訊安全等少數(shù)幾家公司,在做手機安全���、PC安全以及惡意短信攔截����、偽基站監(jiān)測等。因為這種需要大量人力�、物力、資金支持����,又難以獲得收益的安全產(chǎn)品,只能本著公益的心態(tài)����,以承擔(dān)企業(yè)社會責(zé)任的目的去做。 
騰訊非但沒削減安全方面的投入�,反而自2012年成立騰訊安全實驗室,并投入重金打造科恩實驗室�、玄武實驗室、湛瀘實驗室���、云鼎實驗室、反病毒實驗室���、反詐騙實驗室�����、移動安全實驗室七大實驗室��,覆蓋了連接�����、系統(tǒng)��、應(yīng)用��、信息�����、設(shè)備����、云六大互聯(lián)網(wǎng)關(guān)鍵領(lǐng)域。 由于在安全方面的巨大投入��,這讓騰訊安全在協(xié)助政府打擊電信詐騙���、網(wǎng)絡(luò)黑產(chǎn)���、木馬病毒��、發(fā)現(xiàn)系統(tǒng)漏洞等方面都取得巨大成績���。 做安全就像是做醫(yī)療科研,即使遠在美國的科學(xué)家發(fā)現(xiàn)某種疾病的治療方案�,也能夠幫助中國乃至全球的人解決病痛,這就是技術(shù)創(chuàng)新的“普惠價值”���。 比如�����,偉大的科學(xué)家愛因斯坦在基礎(chǔ)科學(xué)領(lǐng)域的研究�����,推動了電燈����、無線電等的發(fā)明��,讓整個世界變得光明��,讓世界每個角落的人都可以在毫秒內(nèi)通話���、聯(lián)絡(luò)����。 諾貝爾醫(yī)學(xué)獎得主屠呦呦發(fā)現(xiàn)青蒿素�,幫助全球特別是非洲人民對抗了瘧疾的侵擾,拯救了無數(shù)人生命����。 同樣,騰訊對安全的巨大投入��,其所發(fā)現(xiàn)的漏洞和防御辦法��,查殺的木馬病毒����,打擊的黑產(chǎn),可以為全球任何國家的企業(yè)��、個人提供保護��。就像這次公布的“應(yīng)用克隆攻擊模型”�����,通過騰訊安全提供的解決方案,即使是騰訊的競爭對手支付寶�����,也可以快速的完成APP的漏洞修復(fù)��。 在安全漏洞�����、木馬病毒的面前���,就像是在疾病面前一樣�,每個企業(yè)都是平等的����,都不再是敵對關(guān)系,因為它們面對的是共同的敵人��。 當(dāng)一家企業(yè)發(fā)展到足夠大的時候�����,他就應(yīng)該承擔(dān)起社會責(zé)任。所謂窮則獨善其身�,達則兼濟天下����,小企業(yè)為了生計奔波,大企業(yè)要有大企業(yè)的擔(dān)當(dāng)���,大企業(yè)的胸懷�����,大企業(yè)的社會責(zé)任感和歷史使命感����。(完成)
|
