90後駭客:99%手遊有漏洞 改一下就能變成錢
- 發佈時間:2015-07-08 10:23:07 來源:大河網 責任編輯:湯婧
“又是一個有問題的APP。”徐匯公安分局網安支隊的鮑警官,記錄下這款手機軟體的名稱及其被“黑”的症狀。
這是鮑警官和同事們做的一項實驗:他們選取有一定影響力的手機軟體APP,運用網上已有的各類軟體進行測試,結果發現至少10%的手機軟體存在安全問題。
從去年年底開始,徐匯網安支隊陸續接報多起涉及手機軟體的案件。偵查員發現,這些案件非常相似,駭客都是利用網上各類攻擊軟體撬開手機軟體APP的“後門”。
粉絲攻破連結提前發佈港劇
今年5月,香港某知名電視臺的電視劇內地版權發佈方發現,明明晚上8時才可以在電腦、手機上播出的電視劇集,居然在下午就已經提前在網上公開了。按照傳統的辦案思路,嫌疑人很可能是掌握獨家資源的內鬼。但最終的調查結果令人吃驚,嫌疑人竟然是兩名熱衷網上追劇的“發燒友”。
一般來説,電視臺白天會將當天電視劇內容上傳至伺服器,內地公司會提前做好連結,待晚上電視臺播出時同步推出視頻。這兩名嫌疑人發現手機播放存在漏洞,通過駭客軟體分析出視頻連結格式。通過規律總結,生成了20個離線下載,居然成功下載了部分未播放的新劇集。
彩票代理網站被駭客惡意轉賬
今年1月,上海一家彩票代理網站發現後臺被人惡意轉賬140萬元。鮑警官和同事調查發現,問題出在這家公司的網路支付移動端口。駭客在彩票代理網站註冊賬戶後充值1元,然後利用技術手段將賬戶金額篡改為10萬元。鮑警官介紹,當時這夥人在彩票網站的APP上一共篡改了7次後臺數據,第一筆5000元,最後一筆高達88萬元。一週後,彩票網站方才察覺異常。
在對犯罪嫌疑人的調查中,徐匯公安發現,受害者不止這一家彩票網站。一家知名電影票代理網站,也被這夥不法分子採取類似的辦法,先後騙得價值160余萬元的電影票。警方還發現,部分掌握全國院線資源的手機軟體同樣存在風險,因而及時將情況反饋給相關公司。
APP安全性能第一責任人是企業
在與部分手機軟體開發運作公司接觸後,鮑警官認為,很關鍵的一點在於企業安全意識不強。在一起手機遊戲敲詐案中,鮑警官和同事特別詢問公司是否進行過內部安全測試。對方回應:“為了搶佔市場,只考慮運營問題,沒考慮安全問題。”
曾參與數款APP開發、正在自主創業的劉納告訴記者,在APP設計之初,大家主要考慮的是用戶需求和體驗,以及人氣累積後可能爭取到的風險投資。至於APP的安全性能,很少會專門對此予以分析並提出對策。不過,劉納認為,如果靜下心來做一款經得起時間檢驗的産品,其實應當在每個環節上精益求精。
在法律界人士看來,APP安全性能的第一責任人是企業,然後是監管部門。作為“最後把門者”,鮑警官認為:“前端做一定比後端做更好。”他説,隨著網際網路技術的發展,此類犯罪的破案難度和成本將越來越高。
政府能否提供基礎安全檢測服務
手機軟體的安全隱患,究竟來自何處?業內人士分析,一方面有系統原因,如安卓系統的源代碼是公開的;另一方面是開發者的原因,如部分代碼編寫不規範等,讓不法分子有可乘之機。此外,安卓系統的應用商店數以百計,這些應用商店對上架APP的審核標準不一,導致手機軟體品質良莠不齊。
有人建議,應該在全國層面為手機軟體制訂統一審核標準,將安全性能作為其中一項重要指標。還有業內人士建議,政府部門可以通過購買服務的方式,為相關企業提供APP基礎安全性能檢測。
不過,也有開發者對此並不認同。從事APP開發的楊青認為:“手機軟體正處於‘野蠻生長’階段,用‘標準’來限制不利於發展,不如讓市場發揮淘汰作用。”在知名網路公司工作的技術人員周晴則認為,手機軟體技術一日千里,用統一標準來保護安全並不現實。
記者手記
“駭客”“紅客”的界限
在網路上,類似的駭客攻擊軟體很容易找到,業內人士稱其為測試軟體。它由一些專業公司或技術人員開發,公開發佈到網上供人免費下載,有的還附有使用教程。在法律界人士看來,這種新興軟體處於灰色地帶,難以對其準確定性。軟體開發的初衷是給手機軟體公司提供低廉的安全測試工具,但如果被不法分子利用也可能成為作案工具。
熱衷使用這些軟體的人,同樣有著微妙的身份。通常,那些能攻破知名網站的“大神”,會成為偶像。這些“大神”大多不屑于攻破APP後非法牟利,而更在乎自己在網上的聲譽。一些“大神”甚至會在攻破知名APP後,主動將軟體漏洞、解決方法告知相關企業。這樣的舉動,也為他們贏得了“紅客”之名。
在公安部門抓獲的嫌疑人中,幾乎人人都聲稱曾有一個“紅客”的夢想。去年年底,徐匯公安分局曾接到一家手機遊戲公司報案,遊戲剛上線就有人聯絡客服人員,聲稱已經掌握這款手遊的多個程式漏洞,並主動提供兩個漏洞供驗證。一開始,對方表示公司給些測試費就可以,但後來索價越來越高,從5000元到數萬元,甚至威脅“不給錢就把漏洞賣給別人”。
今年1月,徐匯警方抓獲涉案的8名嫌疑人。其中一名主要嫌疑人李某平時在一家修車店當小工,閒暇時喜歡鑽研手機遊戲,李某跟其餘7個素未謀面的網友,創建QQ群交流經驗,市面上出現一款手遊便“測試一下”。李某稱,自己曾研究過上百款手遊,“99%都找得到漏洞”。
這些嫌疑人,絕大多數是90後,都是憑興趣自學鑽研。一開始,他們都抱著“試試能否攻破”的態度。可當“改下數字就能變成錢”的時候,他們動搖了!
紅與黑之間,界限似乎並不明顯。如果從一開始就有合法途徑把這些年輕人引上正道,他們或許就會成為“紅客”。