|
手機已經成為我們的貼身伴侶���,每天你看了哪些網頁,網購了哪些東西���,手機錢包里有多少錢……都存儲在手機中����。 假如有人將你的手機支付賬戶全都復制到另一部手機上��,他一定會知道你錢包里有多少錢,吃了什么外賣��,住過哪些酒店�。 
1月9日,騰訊安全旗下的玄武實驗室和知道創(chuàng)宇404Team聯合發(fā)布一個基于Android系統(tǒng)的“應用克隆攻擊模型”���,利用該漏洞可以將你的許多個人賬號“克隆”至另一部手機�����。據悉,安全研究人員應用市場中挑選了200個應用��,發(fā)現27個存在該漏洞��,比例超過10%�。 
早在12月7日騰訊安全就已經將該漏洞上報給國家信息安全漏洞共享平臺,通過該平臺通知存在漏洞的APP所有者�����,并給出修復漏洞的具體方案�。目前,支付寶�、WiFi萬能鑰匙、小米生活、百度旅游等APP已經完成了修復�����,攜程����、易車網、豆瓣等APP還未進行修復���。 
很多讀者以及大量媒體對安全公司提交漏洞的做法并不了解��。在現場與幾位媒體交流的時候���,他們說:“騰訊安全提交這個漏洞給廠商,廠商會給騰訊付錢么�?或者國家信息安全漏洞平臺付錢給騰訊?” 發(fā)現安全漏洞是一種公益行為 事實上���,安全廠商提交漏洞是沒有錢可賺的�����。沒錢賺的事情��,企業(yè)為何會去做�����?難道是要做公益么����?這還真的說對了。安全公司提交漏洞�,就是一種公益行為。 為了獎勵這些漏洞提供者��,微軟��、谷歌����、蘋果�����、騰訊��、SAP等許多企業(yè)都設置了對漏洞發(fā)現者的獎勵�����。比如,谷歌曾承諾對于發(fā)現Google Play漏洞的安全人員�����,按照每個漏洞1000美元給予獎勵��;國內公司騰訊����,對于發(fā)現QQ、微信等客戶端漏洞的安全人員���,根據發(fā)現漏洞的級別給予1萬-10萬不等的獎勵����。 
而大量安全人員��、白帽子黑客發(fā)現漏洞并非為了獲得獎勵���,而是他們的愛好與職責�。他們就像是啄木鳥一樣����,天生就喜歡發(fā)現“蛀蟲”�����。當然企業(yè)提供獎勵金可以鼓勵更多的安全人員去發(fā)現漏洞�。 據悉�,在2016年,騰訊安全總計為微軟�����、蘋果���、谷歌���、Adobe四大國際頂尖廠商提交漏洞269個,位居國內首位���。在Adobe漏洞提交方面,2016年5月Adobe公司發(fā)表的安全公告中���,騰訊安全玄武實驗室單次提交漏洞高達32個���,是Adobe Reader有史以來單方提交漏洞之最���。 在2017年3月,由中國互聯網協(xié)會網絡與信息安全工作委員會和國家互聯網應急中心(CNCERT)共同主辦的“國家信息安全漏洞共享平臺(CNVD)2017年工作會議”上��,騰訊安全實驗室—玄武實驗室以1302.87積分在原創(chuàng)漏洞提交的工作中名列第一���,被CNVD授予“原創(chuàng)漏洞報送突出貢獻單位”的稱號��。 企業(yè)設置獎金���,CNVD這樣的機構設置獎項,這極大的鼓勵企業(yè)�����、個人去發(fā)現安全漏洞并積極上報��。這些發(fā)現漏洞的安全從業(yè)者就是整個互聯網森林的“啄木鳥”醫(yī)生�����,可以發(fā)現普通人無法發(fā)現的“蛀蟲”��,默默守護著互聯網森林的安全。 騰訊安全為何能成為“漏洞挖掘機”��? 自從安全軟件免費之后��,做安全公司就很難從消費者一側獲得收入��。收入的主要來源是為企業(yè)提供安全防護能力��,比如�����,為銀行的網站��、APP�、U盾做加固,為智能硬件廠商做安全防護設計��。 但是TO B市場并不像TO C市場那么龐大�,而且這塊市場也是隨著物聯網、云計算�、智能硬件的發(fā)展不斷增加的。想要獲得更高的收入�����,非常困難����。 因此,在TO C的安全市場上��,那些迫切需要依靠TO C安全盈利的企業(yè)都死掉了����。只剩下了騰訊安全等少數幾家公司,在做手機安全�、PC安全以及惡意短信攔截、偽基站監(jiān)測等�����。因為這種需要大量人力�����、物力�、資金支持,又難以獲得收益的安全產品��,只能本著公益的心態(tài),以承擔企業(yè)社會責任的目的去做�����。 
騰訊非但沒削減安全方面的投入�,反而自2012年成立騰訊安全實驗室,并投入重金打造科恩實驗室���、玄武實驗室�、湛瀘實驗室��、云鼎實驗室����、反病毒實驗室、反詐騙實驗室��、移動安全實驗室七大實驗室����,覆蓋了連接、系統(tǒng)���、應用�����、信息���、設備、云六大互聯網關鍵領域����。 由于在安全方面的巨大投入,這讓騰訊安全在協(xié)助政府打擊電信詐騙����、網絡黑產、木馬病毒�����、發(fā)現系統(tǒng)漏洞等方面都取得巨大成績�����。 做安全就像是做醫(yī)療科研���,即使遠在美國的科學家發(fā)現某種疾病的治療方案�����,也能夠幫助中國乃至全球的人解決病痛����,這就是技術創(chuàng)新的“普惠價值”。 比如�����,偉大的科學家愛因斯坦在基礎科學領域的研究����,推動了電燈、無線電等的發(fā)明�����,讓整個世界變得光明����,讓世界每個角落的人都可以在毫秒內通話、聯絡��。 諾貝爾醫(yī)學獎得主屠呦呦發(fā)現青蒿素���,幫助全球特別是非洲人民對抗了瘧疾的侵擾�����,拯救了無數人生命�����。 同樣��,騰訊對安全的巨大投入����,其所發(fā)現的漏洞和防御辦法���,查殺的木馬病毒���,打擊的黑產,可以為全球任何國家的企業(yè)����、個人提供保護。就像這次公布的“應用克隆攻擊模型”�����,通過騰訊安全提供的解決方案,即使是騰訊的競爭對手支付寶���,也可以快速的完成APP的漏洞修復�����。 在安全漏洞�、木馬病毒的面前���,就像是在疾病面前一樣��,每個企業(yè)都是平等的�,都不再是敵對關系����,因為它們面對的是共同的敵人。 當一家企業(yè)發(fā)展到足夠大的時候����,他就應該承擔起社會責任。所謂窮則獨善其身��,達則兼濟天下,小企業(yè)為了生計奔波�,大企業(yè)要有大企業(yè)的擔當,大企業(yè)的胸懷�����,大企業(yè)的社會責任感和歷史使命感����。(完成)
|
