|
手機(jī)已經(jīng)成為我們的貼身伴侶�����,每天你看了哪些網(wǎng)頁(yè)���,網(wǎng)購(gòu)了哪些東西,手機(jī)錢(qián)包里有多少錢(qián)……都存儲(chǔ)在手機(jī)中。 假如有人將你的手機(jī)支付賬戶(hù)全都復(fù)制到另一部手機(jī)上�,他一定會(huì)知道你錢(qián)包里有多少錢(qián),吃了什么外賣(mài)��,住過(guò)哪些酒店��。 
1月9日��,騰訊安全旗下的玄武實(shí)驗(yàn)室和知道創(chuàng)宇404Team聯(lián)合發(fā)布一個(gè)基于Android系統(tǒng)的“應(yīng)用克隆攻擊模型”��,利用該漏洞可以將你的許多個(gè)人賬號(hào)“克隆”至另一部手機(jī)����。據(jù)悉,安全研究人員應(yīng)用市場(chǎng)中挑選了200個(gè)應(yīng)用��,發(fā)現(xiàn)27個(gè)存在該漏洞�����,比例超過(guò)10%��。 
早在12月7日騰訊安全就已經(jīng)將該漏洞上報(bào)給國(guó)家信息安全漏洞共享平臺(tái)����,通過(guò)該平臺(tái)通知存在漏洞的APP所有者,并給出修復(fù)漏洞的具體方案。目前����,支付寶、WiFi萬(wàn)能鑰匙����、小米生活、百度旅游等APP已經(jīng)完成了修復(fù)��,攜程�����、易車(chē)網(wǎng)��、豆瓣等APP還未進(jìn)行修復(fù)�����。 
很多讀者以及大量媒體對(duì)安全公司提交漏洞的做法并不了解���。在現(xiàn)場(chǎng)與幾位媒體交流的時(shí)候,他們說(shuō):“騰訊安全提交這個(gè)漏洞給廠商�����,廠商會(huì)給騰訊付錢(qián)么?或者國(guó)家信息安全漏洞平臺(tái)付錢(qián)給騰訊�����?” 發(fā)現(xiàn)安全漏洞是一種公益行為 事實(shí)上���,安全廠商提交漏洞是沒(méi)有錢(qián)可賺的�。沒(méi)錢(qián)賺的事情�����,企業(yè)為何會(huì)去做����?難道是要做公益么?這還真的說(shuō)對(duì)了���。安全公司提交漏洞�,就是一種公益行為����。 為了獎(jiǎng)勵(lì)這些漏洞提供者�����,微軟�、谷歌����、蘋(píng)果、騰訊���、SAP等許多企業(yè)都設(shè)置了對(duì)漏洞發(fā)現(xiàn)者的獎(jiǎng)勵(lì)����。比如����,谷歌曾承諾對(duì)于發(fā)現(xiàn)Google Play漏洞的安全人員���,按照每個(gè)漏洞1000美元給予獎(jiǎng)勵(lì)����;國(guó)內(nèi)公司騰訊���,對(duì)于發(fā)現(xiàn)QQ�����、微信等客戶(hù)端漏洞的安全人員����,根據(jù)發(fā)現(xiàn)漏洞的級(jí)別給予1萬(wàn)-10萬(wàn)不等的獎(jiǎng)勵(lì)。 
而大量安全人員����、白帽子黑客發(fā)現(xiàn)漏洞并非為了獲得獎(jiǎng)勵(lì),而是他們的愛(ài)好與職責(zé)��。他們就像是啄木鳥(niǎo)一樣����,天生就喜歡發(fā)現(xiàn)“蛀蟲(chóng)”。當(dāng)然企業(yè)提供獎(jiǎng)勵(lì)金可以鼓勵(lì)更多的安全人員去發(fā)現(xiàn)漏洞����。 據(jù)悉,在2016年��,騰訊安全總計(jì)為微軟�、蘋(píng)果���、谷歌、Adobe四大國(guó)際頂尖廠商提交漏洞269個(gè)�,位居國(guó)內(nèi)首位。在Adobe漏洞提交方面����,2016年5月Adobe公司發(fā)表的安全公告中,騰訊安全玄武實(shí)驗(yàn)室單次提交漏洞高達(dá)32個(gè)�����,是Adobe Reader有史以來(lái)單方提交漏洞之最�����。 在2017年3月��,由中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)網(wǎng)絡(luò)與信息安全工作委員會(huì)和國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)共同主辦的“國(guó)家信息安全漏洞共享平臺(tái)(CNVD)2017年工作會(huì)議”上�����,騰訊安全實(shí)驗(yàn)室—玄武實(shí)驗(yàn)室以1302.87積分在原創(chuàng)漏洞提交的工作中名列第一�,被CNVD授予“原創(chuàng)漏洞報(bào)送突出貢獻(xiàn)單位”的稱(chēng)號(hào)�����。 企業(yè)設(shè)置獎(jiǎng)金,CNVD這樣的機(jī)構(gòu)設(shè)置獎(jiǎng)項(xiàng)�,這極大的鼓勵(lì)企業(yè)、個(gè)人去發(fā)現(xiàn)安全漏洞并積極上報(bào)����。這些發(fā)現(xiàn)漏洞的安全從業(yè)者就是整個(gè)互聯(lián)網(wǎng)森林的“啄木鳥(niǎo)”醫(yī)生,可以發(fā)現(xiàn)普通人無(wú)法發(fā)現(xiàn)的“蛀蟲(chóng)”����,默默守護(hù)著互聯(lián)網(wǎng)森林的安全。 騰訊安全為何能成為“漏洞挖掘機(jī)”����? 自從安全軟件免費(fèi)之后,做安全公司就很難從消費(fèi)者一側(cè)獲得收入�����。收入的主要來(lái)源是為企業(yè)提供安全防護(hù)能力����,比如,為銀行的網(wǎng)站�����、APP、U盾做加固���,為智能硬件廠商做安全防護(hù)設(shè)計(jì)���。 但是TO B市場(chǎng)并不像TO C市場(chǎng)那么龐大,而且這塊市場(chǎng)也是隨著物聯(lián)網(wǎng)�����、云計(jì)算�����、智能硬件的發(fā)展不斷增加的��。想要獲得更高的收入����,非常困難。 因此���,在TO C的安全市場(chǎng)上���,那些迫切需要依靠TO C安全盈利的企業(yè)都死掉了。只剩下了騰訊安全等少數(shù)幾家公司�,在做手機(jī)安全、PC安全以及惡意短信攔截���、偽基站監(jiān)測(cè)等�����。因?yàn)檫@種需要大量人力��、物力�����、資金支持���,又難以獲得收益的安全產(chǎn)品,只能本著公益的心態(tài)���,以承擔(dān)企業(yè)社會(huì)責(zé)任的目的去做���。 
騰訊非但沒(méi)削減安全方面的投入���,反而自2012年成立騰訊安全實(shí)驗(yàn)室,并投入重金打造科恩實(shí)驗(yàn)室��、玄武實(shí)驗(yàn)室�、湛瀘實(shí)驗(yàn)室、云鼎實(shí)驗(yàn)室���、反病毒實(shí)驗(yàn)室�、反詐騙實(shí)驗(yàn)室���、移動(dòng)安全實(shí)驗(yàn)室七大實(shí)驗(yàn)室���,覆蓋了連接、系統(tǒng)��、應(yīng)用��、信息���、設(shè)備����、云六大互聯(lián)網(wǎng)關(guān)鍵領(lǐng)域。 由于在安全方面的巨大投入��,這讓騰訊安全在協(xié)助政府打擊電信詐騙�、網(wǎng)絡(luò)黑產(chǎn)��、木馬病毒����、發(fā)現(xiàn)系統(tǒng)漏洞等方面都取得巨大成績(jī)。 做安全就像是做醫(yī)療科研���,即使遠(yuǎn)在美國(guó)的科學(xué)家發(fā)現(xiàn)某種疾病的治療方案����,也能夠幫助中國(guó)乃至全球的人解決病痛�����,這就是技術(shù)創(chuàng)新的“普惠價(jià)值”�。 比如,偉大的科學(xué)家愛(ài)因斯坦在基礎(chǔ)科學(xué)領(lǐng)域的研究����,推動(dòng)了電燈����、無(wú)線電等的發(fā)明���,讓整個(gè)世界變得光明���,讓世界每個(gè)角落的人都可以在毫秒內(nèi)通話、聯(lián)絡(luò)��。 諾貝爾醫(yī)學(xué)獎(jiǎng)得主屠呦呦發(fā)現(xiàn)青蒿素����,幫助全球特別是非洲人民對(duì)抗了瘧疾的侵?jǐn)_,拯救了無(wú)數(shù)人生命�����。 同樣����,騰訊對(duì)安全的巨大投入,其所發(fā)現(xiàn)的漏洞和防御辦法�,查殺的木馬病毒�,打擊的黑產(chǎn)����,可以為全球任何國(guó)家的企業(yè)、個(gè)人提供保護(hù)��。就像這次公布的“應(yīng)用克隆攻擊模型”��,通過(guò)騰訊安全提供的解決方案���,即使是騰訊的競(jìng)爭(zhēng)對(duì)手支付寶,也可以快速的完成APP的漏洞修復(fù)����。 在安全漏洞、木馬病毒的面前�,就像是在疾病面前一樣,每個(gè)企業(yè)都是平等的�,都不再是敵對(duì)關(guān)系�����,因?yàn)樗鼈兠鎸?duì)的是共同的敵人。 當(dāng)一家企業(yè)發(fā)展到足夠大的時(shí)候���,他就應(yīng)該承擔(dān)起社會(huì)責(zé)任�。所謂窮則獨(dú)善其身,達(dá)則兼濟(jì)天下�,小企業(yè)為了生計(jì)奔波,大企業(yè)要有大企業(yè)的擔(dān)當(dāng)�,大企業(yè)的胸懷,大企業(yè)的社會(huì)責(zé)任感和歷史使命感���。(完成)
|
