本节书摘来自华章出版社《黑客大曝光:移动应用安全揭秘及防护措施》一书中的第1章,第1.1节,作者 (美)Neil Bergman ,更多章节内容可以访问云栖社区“华章计算机”公众号查看
1.1 移动生态系统
最受欢迎的电影之一《阿拉丁》中有一句经典台词:“拥有宇宙间无穷的力量,但却挤在小小的灯里” 。这句话可以准确地描述移动生态系统。也许在计算机的历史上没有别的时间点,我们将这么多东西都集成到了一个如此小的物体中:强大的处理器、便携性、摄像、GPS定位、邮件/网络、应用程序,以及所有的与无线通信(OTA)相关的网络连接(包括广域网形式的移动数据网和近距离通信的蓝牙等)。有一句广告语是对的:移动在很多方面是游戏的改变者。让我们拭目以待这个现象带来的一些重要的影响吧。
1.1.1 规模
我们淹没在有关移动规模的统计中。这里有一些来自移动市场相关网站mobithinking.com的数据:
300 000,在3年内开发的移动应用程序数量(2007—2010年);
10亿美元,移动新兴公司Instagram在18个月内的价值;
11亿,移动银行(m-banking)到2015年的消费者数量;
12亿,2011年移动宽带用户数量;
17亿,2012年的设备出货量(比2011年高出1.2%);
60亿,全球移动订阅量(中国和印度占了30%);
350亿美元,2014年移动应用程序下载价值估计;
769亿,2014年预测移动应用程序下载数量估计;
1万亿美元,2015年移动消费(m-payments)估计;
8万亿,2011年发出SMS信息数量估计。
从绝对数据上判断,移动像海啸一样涌进我们生活中的每个方面。但是你并不需要冰冷枯燥的统计数据来证明这点,因为你肯定拥有一个或几个移动设备。你每天都很依赖它,从重要事情到小事:紧急电话、重要通信(语音、信息、邮件),使用日历和位置服务准时赴约,使用Facebook、Twitter保持联系,玩愤怒小鸟等游戏,观看电影和电视,阅读报纸和杂志—我们今天几乎在移动设备上能够完成所有事情,很难想象我们没有它们该怎样生活。
当然,我们可以继续,而且会有大量用于探索移动现象的各类资源,但是我们这里是为了一个更加专业的目的:探讨所有这些看起来很好的资源的安全实现。
1.1.2 已知的不安全
是的,移动通信看起来是非常重要的,可以认为是继互联网之后最重要的技术发展之一。不幸的是,和互联网一样,安全似乎是事后才想起来的。
每天,你可能被各种骇人听闻的信息包围。下面是些例子:
McAfee季度威胁报告显示,2012年第一季度的移动恶意软件比2011年第四季度激增了1 200%。
Trend Micro预测2012年Android恶意软件环比增长60%。
IBM X-Force预测2011年“能够对移动操作系统产生影响的可利用漏洞将比2010年多出两倍以上”。
CVE数据跟踪显示,从2011年到2012年9月(几乎85%的2012年漏洞与AppleSafari浏览器使用的WebKit开源浏览器引擎有关),苹果 iOS在“代码执行”漏洞上会增加6倍以上。
当技术性变化发生在移动领域时,就会期待“天空在坠落”的趋势性报告。我们已经开始感激他们并绘制我们自己的趋势图,如图1-1所示。
我的天啊!如果安全这么糟糕,这些烦人的移动设备怎么能够这么流行?让我们来先揭开谜底,看看移动风险生态系统的机制。