《Android惡意程式碼分析與滲透測試》作者趙涏元：Android平臺安全問題的特點和價值（圖靈訪談）

趙涏元目前在KB投資證券公司負責安全工作，管理安全防範專案（boanproject.com）。他曾在A3 Security公司做過5年滲透測試諮詢顧問，在滲透測試專案管理、網路應用開發、原始碼診斷等多種領域有豐富的漏洞診斷經驗。他還曾在KTH安全團隊負責移動服務、雲服務安全，以及應對侵權事故等業務。著有《什麼是滲透測試？》，與人合著《Kali Linux & BackTrack滲透測試實戰》、《Nmap NSE安全漏洞診斷實戰》、《數字取證的世界》、《逮捕駭客的名偵探黑客》等。趙涏元的最新作品《Android惡意程式碼分析與滲透測試》詳細地講解了惡意程式碼在各種渠道的散播方式 ，並針對開發者和使用者介紹如何應對此類威脅。

問：您撰寫《Android惡意程式碼分析與滲透測試》的初衷是什麼？

我每次寫書的時候，最先考慮的是這個主題是否是“韓國國內已有論述的”。如果是未有論述的主題，我會將其排在第一位，然後再積極推進我可以集中研究以及人們關注的領域。韓國國內引進的外版書有很多，但我認為，更重要的是要根據韓國市場的技術氛圍撰寫書籍，與人分享知識。為了能夠向選擇這個領域的眾多讀者提供一點幫助，我寫下此書。希望這些對韓國開發人員來說很重要的知識也能夠為中國讀者提供支援。

問：您寫過很多安全方面的書籍，其中包括《Kali Linux & BackTrack滲透測試實戰》、《什麼是滲透測試？》等。《Android惡意程式碼分析與滲透測試》相比於您以前的作品有什麼不同？這本書最大的特色是什麼？

Android惡意程式碼分析、Android移動滲透測試、Android數字取證分析等的區別僅在於研究方法，其實使用的是同樣的技術。《Android惡意程式碼分析與滲透測試》不僅講解了惡意程式碼分析、介紹了滲透測試漏洞分析，還從數字取證分析角度講述瞭如何獲得移動裝置內建資訊。因為我本人目前從事滲透測試（Penetration）、安全應急響應（Cert）、數字取證（Forensic）業務，所以寫書時總是嘗試從多角度進行分析。

問：您覺得安卓的開源是否造成了安全方面更大的隱患？安卓在未來有可能會效仿iOS封閉系統，進行區域性封閉嗎？

人們認為Android比iOS更易成為安全隱患是因為：使用Android手機的使用者越來越多。攻擊者想獲取更多的使用者資訊，所以更關注Android，而非iOS。如果iOS的使用者也增多，那麼攻擊者也會更多地研究iOS。近來，針對iOS使用者的惡意程式碼也釋出了很多。對安全而言，眾多領域中只要有一個被打破，那麼所有領域都會受到同樣的威脅。Android今後也會保持開源政策，但各製造商會加強系統防禦，谷歌也會逐漸強化安全。因此我認為，安全得到保障的同時，使用者體驗並不會受到影響。

問：您認為Android平臺上的安全問題與其他平臺上的安全問題有何不同？這些不同可能是由哪些原因造成的？

如前所述，Android平臺延續了使用者非常熟悉的基於Linux核心的開源政策，而且在世界範圍內得到最廣泛的應用。隨著IoT環境的普及，這個比例會更驚人。Android平臺正在為使用者提供很多便利，安裝應用時，使用者可以隨意控制，rooting時也很方便。雖然金融界和遊戲服務都在強化安全功能，但如果使用者稍感不便，他們就會降低安全度，將所有問題歸結於使用者的責任。保證使用者便利的同時強化安全，這是開發人員的共同使命，但並非易事。

問：學習新技術能夠獲取更大的利益，學習安全方面的知識卻未必會帶來經濟價值。您是否能舉例說明一下對安全的關注能夠給企業和開發者帶來的真正價值？

關於“學習安全方面的知識未必會帶來經濟價值”，我有不同意見。無論哪個領域，僅滿足於公司月薪的話，那麼其價值也不過就是公司年薪而已。國外很多國家都鼓勵舉辦黑客大賽並積極推進人才培養計劃，政府也給予很多投資。從事安全工作的人應當靈活運用這些資源，通過多種活動將市場中的價值變為自身價值。

現在，企業如果不重視安全問題，那麼黑客攻擊或感染惡意程式碼就有可能導致“一夜回到解放前”。最近，勒索軟體（Ransomware）正在急速擴散。過去只要將感染惡意程式碼的PC終端斷開網路，備份檔案後格式化或防毒即可。但勒索軟體對PC終端的所有重要檔案加密後，我們無法解密，甚至會對具有寫許可權的所有網路共享檔案造成危害。積攢數十年的公司資產可能一瞬間就化為烏有，令公司難以為繼。我們需要動員所有安全領域的監測力量，研究這個惡意程式碼是通過什麼路徑進行滲透的。另外，還必須監測/攔截外部試圖入侵的眾多攻擊。安全是公司經營中必不可少的專案。以前那種遭到網路攻擊後一帶而過的時代結束了，包括安全負責人在內的所有員工都應當逐步開展安全工作。

問：一款名為“Brain Test”的惡意程式攻破了谷歌Google Play應用商店，波及上百萬安卓使用者，而Brain Test很難被徹底刪除。請問如果是您，會如何分析診斷這個惡意程式？

谷歌應用商店也有防止惡意程式碼註冊的系統，如果連這個系統都繞過了，那麼使用者確實束手無策。最好的方法就是在移動終端安裝防毒軟體，定期升級韌體。從企業角度講，需要引入完整性驗證解決方案，實時監測並攔截使用者執行的應用。

問：怎樣測試一個應用是否存在安全問題？應用層面上，什麼型別的漏洞才算得上是一個安全漏洞？

與我們診斷Web服務時使用的方法一樣。診斷Web服務時，同時檢查伺服器和終端PC中發生的變化，從而找出漏洞。此時參考OWASP TOP 10或SANS釋出的診斷指南，或各機構釋出的指南。

移動應用診斷時，診斷的是伺服器和移動終端中發生的變化。OWASP TOP 10也釋出了檢查專案。金融界需要保護的使用者資產資料很多，應當安裝並重點檢查應用安全解決方案。

問：作為一個Android使用者和一個程式設計師，如何從系統層面保護自己的手機和資料？難道只能依賴安全軟體和Android定製廠商的良心嗎？

我考慮移動安全時，總使用與使用者終端PC一樣的方法。終端PC中，為了不感染惡意程式碼，我們要拒絕訪問可疑網站，不安裝可疑檔案。移動環境也是如此，尤其不要下載可疑檔案，也不要安裝貼吧中附帶的應用（APK）。另外，應當安裝可信賴的防毒軟體進行預防。韓國三星公司生產的Android機器中，有個安全區域叫做KNOX。將公司環境連線到移動裝置時，建議各位在類似KNOX的安全區域中進行。

問：在讀完《Android惡意程式碼分析與滲透測試》後，對於想要進一步鑽研安卓系統安全問題的讀者，您有什麼學習方面的建議？

移動環境今後會有更長足的發展，IoT環境也在蓬勃生長。不僅是移動終端，家中的所有事物都將與移動裝置連線。那時，更多基礎設施將得到建設，人們也會使用更多應用。我們應當繼續監測移動環境中可能發生的威脅，希望各位以本書為基礎，今後加深研究。韓文版有計劃要針對新的熱點話題出版修訂版，各位也可在Google或YouTube上檢索資料，學習更多內容。與其學習如何分析一兩個應用，不如構建可以自動分析大量應用的系統環境，深入研究高效的診斷方法。

問：根據您在證券公司負責安全工作的經驗，在安全體系中，是技術手段防範重要還是社會工程防範重要，重要性各佔多大比例？

二者同樣重要。現在很難預測惡意程式碼將感染什麼地方。社會工程攻防技術往往源於惡意程式碼，因此，員工安全意識診斷（電子郵件惡意程式碼應對培訓等）的持續安全活動很重要。在“員工訪問的所有網站都可能通過DBD（drive-by download）攻擊感染惡意程式碼”的假設下，需要365*24執行控制監測業務。另外，應當時刻關注最新熱點，提前掌握與自己公司服務相關的攻擊技術，進行事前攔截。

---

更多精彩，加入圖靈訪談微信！