安全问题或许不是国内IT人特别关注的话题,不过最近360这次曝出的“国内首个手机挂马高危漏洞”还是引起了我的一些关注,只是想在360这纷繁复杂的公关炒作背后,还用户一个真相。
事件背景:9月5日,360和周鸿祎通过微博和微信大肆宣扬一个">手机安全漏洞的“惊天发现”:“国内惊现首个手机挂马高危漏洞”,并宣称“可被大规模利用”,并曝出腾讯、百度、金山的多款安卓应用具有严重的手机挂马漏洞,一时间人心惶惶。然而第二天360手机浏览器和手机卫士也被权威机构曝出存在同样的漏洞,等于自己打了自己一个耳光。
这究竟是怎么一回事呢?经笔者这些天的研究,已基本弄明白了事情的原委,且听笔者为你一一剖析:
真相一:这个漏洞源于安卓
第一、这是安卓的漏洞,所以基于安卓系统的APP都受到影响,因为需要点击链接打开挂马网站才能中招,因此手机浏览器首当其冲,UC、QQ、360、猎豹等浏览器都不能幸免。
第二、这个安卓的漏洞其实2年前就有了,而不是今天才“惊现”的。
专家是这么说的:“这个问题最早是可以追溯到2011年的一篇论文《Attacks on WebView in the Android System》http://www.cis.syr.edu/~wedu/Research/paper/webview_acsac2011.pdf 这篇文章指出了addJavascriptInterface的方式在功能上带来的一些风险,比如你的app里实现了一个读写文件的类,然后使用addJavascriptInterface接口允许js调用,那么就可能导致攻击者直接调用这个class(类)实现读写文件的操作。这种方式是最原始的风险,并没有直接指出getClass()方法的利用。”
第三、这个漏洞其实很难利用,危害程度并没有360说得那样惊悚。
专家说“这个漏洞要实现完美的利用,还需要一些其他东西配合”。
第四、这个漏洞很多厂商已逐步修复,对用户并未产生多少影响。
真相二:360是借机公关炒作(很有一套)
这么一件小事,为啥被360说得那么玄乎呢?这事到擅长公关炒作的360手里,就成了一次绝佳的机遇。笔者简要分析下,其炒作的步骤大致如下:
第一步,360手机卫士官方微博微信同步发出消息,采用360公关惯用的标题党打法:《国内惊现首个手机挂马高危漏洞 可被大规模利用》,这个标题起得真是不赖。
第二步,360全家出动微博转发, 360导航、360浏览器,360云盘,甚至包括周鸿祎本人,各种微博账号一起推转,可谓齐心协力。
第三步,发布网络新闻,做实此事。
这一套下来,普罗大众可能基本就相信了360在安全领域的专业和权威。
可是没想到,9月6日,360手机浏览器和360手机卫士也被曝出存在同样的漏洞,这一点,360当然是不会说的,不过,既然你打了别人,别人总会还个手的,如此杀敌一千自损八百,又是何苦呢?
真相三:360公关炒作真实目的是为扩大移动应用市场份额
事实上,借助安全事件,恐吓用户,恶意打击竞争对手,是360惯用的公关手段。细细想来,对360而言,能获得两个好处:
一是通过借揭露竞争对手的安全不足,树立自身安全的权威形象。
二是通过打击百度、腾讯、金山等竞争对手在移动应用上的不足,来提升360在移动应用上的市场份额。