Mike+Elgan著+楊勇譯

安全世界變得異常怪異，而解決方案可能比威脅更怪異。

上個(gè)月周我就說(shuō)過(guò)，一些技術(shù)大公司被發(fā)現(xiàn)故意把潛在的漏洞放到移動(dòng)操作系統(tǒng)中，而且絲毫沒(méi)有讓用戶(hù)知情的意思。

其中一個(gè)被谷歌放到了安卓系統(tǒng)中。在這種情況下，安卓系統(tǒng)被發(fā)現(xiàn)在傳送位置數(shù)據(jù)，而且不需要電話的GPS系統(tǒng)，甚至也不需要安裝SIM卡。谷歌聲稱(chēng)從未存儲(chǔ)或者使用過(guò)這些數(shù)據(jù)，后來(lái)它終止了這種做法。

對(duì)于移動(dòng)應(yīng)用，跟蹤確實(shí)是個(gè)問(wèn)題，這個(gè)問(wèn)題在自帶設(shè)備（BYOD）策略中被低估了。

耶魯大學(xué)法學(xué)院的隱私實(shí)驗(yàn)室和法國(guó)的非營(yíng)利組織Exodus Privacy研究表明，他們調(diào)查的300多個(gè)Android應(yīng)用程序中75%以上都含有某種跟蹤器，主要用于廣告、行為分析或者位置跟蹤。

大部分位置跟蹤器依賴(lài)于訪問(wèn)GPS信息，而這需要用戶(hù)選擇是否打開(kāi)GPS。但現(xiàn)在，普林斯頓大學(xué)的研究人員開(kāi)發(fā)了一款名為PinMe的應(yīng)用軟件，不使用GPS信息便能夠收集智能手機(jī)的位置信息，這就說(shuō)明有可能出現(xiàn)隱私泄露。

總的來(lái)說(shuō)，我們?cè)J(rèn)為關(guān)閉手機(jī)位置功能就能夠保護(hù)我們不會(huì)被定位監(jiān)視——這種想法已經(jīng)過(guò)時(shí)了。

實(shí)際上，我們?cè)诎踩系暮芏嗉僭O(shè)都受到了實(shí)際新情況的挑戰(zhàn)。以雙重身份驗(yàn)證為例。

Javelin Strategy & Research上個(gè)月發(fā)布的一份報(bào)告稱(chēng)，目前多重身份驗(yàn)證的應(yīng)用正在“遭到破壞”。企業(yè)還沒(méi)有充分利用雙重和多重身份驗(yàn)證功能，只有三分之一多點(diǎn)的企業(yè)使用了“兩重或者多重身份驗(yàn)證功能來(lái)保護(hù)對(duì)其數(shù)據(jù)和系統(tǒng)的訪問(wèn)?！?/p>

因此，我們不能再像以前那樣信任雙重身份驗(yàn)證——即使我們信任它，其應(yīng)用也沒(méi)有完全普及開(kāi)來(lái)。

那我們當(dāng)然可以信任蘋(píng)果設(shè)備，對(duì)吧？蘋(píng)果因其強(qiáng)大的安全特性而名聲赫赫?；蛘?，我應(yīng)該說(shuō)，“曾經(jīng)有過(guò)”這樣的聲譽(yù)。

本周，蘋(píng)果針對(duì)一個(gè)重大的安全漏洞進(jìn)行道歉并發(fā)布了補(bǔ)丁，由于這一漏洞的存在，任何人只要接觸到運(yùn)行macOS High Sierra的蘋(píng)果計(jì)算機(jī)，不需要密碼就能夠獲得完全訪問(wèn)權(quán)限（簡(jiǎn)單地使用“root”做為用戶(hù)名即可）。

蘋(píng)果修復(fù)了這個(gè)漏洞。但事實(shí)上，這個(gè)漏洞是新出現(xiàn)的，而且很怪異，挑戰(zhàn)了我們對(duì)蘋(píng)果安全信譽(yù)的看法。

蘋(píng)果新的Face ID身份驗(yàn)證功能已經(jīng)被研究人員破解，一些安全專(zhuān)家拒絕使用它。破解Face ID有各種各樣的方法，從簡(jiǎn)單地找一個(gè)面貌相似的人，到制作一個(gè)逼真的面具來(lái)欺騙它，等等。很顯然，網(wǎng)絡(luò)犯罪分子也會(huì)制作并帶上面具。

在風(fēng)險(xiǎn)面前，一些身份驗(yàn)證系統(tǒng)看起來(lái)根本無(wú)法保護(hù)我們免受風(fēng)險(xiǎn)的威脅。

據(jù)報(bào)道，臉書(shū)正在測(cè)試一項(xiàng)身份驗(yàn)證方案，要求用戶(hù)在登錄時(shí)自拍。而很多智能手機(jī)照片都含有時(shí)間和位置信息。

在過(guò)去的一兩個(gè)月里，我們?cè)?jīng)的安全假設(shè)被顛覆了。過(guò)去我們認(rèn)為安全的，再也不安全了。而且這變得更糟，不是更好。

軟件安全公司McAfee本月指出，2018年將是新一輪更猛烈的攻擊，因?yàn)椤肮粽邥?huì)更多的利用機(jī)器學(xué)習(xí)進(jìn)行攻擊，試著把機(jī)器學(xué)習(xí)和人工智能（AI）組合起來(lái)，竭盡全力去發(fā)現(xiàn)并破壞防御方的機(jī)器學(xué)習(xí)模型?！?/p>

我們當(dāng)前的安全系統(tǒng)已經(jīng)被攻破，“攻擊者”變得非常老練。

我們需要的是更好，甚至更極端的安全措施，而且普通用戶(hù)在實(shí)際生活中也可以使用。

但我們有理由樂(lè)觀。

當(dāng)威脅變得怪異時(shí)，解決方案會(huì)變得更怪異

兩位谷歌的研究人員已經(jīng)開(kāi)發(fā)出一種機(jī)器學(xué)習(xí)技術(shù)，可以實(shí)時(shí)檢測(cè)出是否有人在偷窺您智能手機(jī)的屏幕。

該系統(tǒng)結(jié)合面部識(shí)別（誰(shuí)在攝像頭前）和凝視檢測(cè)（他們正在看什么），以防止“背后偷窺者”偷窺您的屏幕。

這一檢測(cè)工作在一秒鐘內(nèi)就完成了，在實(shí)際應(yīng)用中，如果出現(xiàn)背后偷窺事件，會(huì)導(dǎo)致屏幕變暗。

面部識(shí)別技術(shù)的能力類(lèi)似于HBO電視劇“硅谷”的Not Hotdog應(yīng)用程序：它并不是要識(shí)別每個(gè)人，而只是要識(shí)別出每個(gè)人是授權(quán)用戶(hù)還是非授權(quán)用戶(hù)。如果是非授權(quán)用戶(hù)，則拒絕訪問(wèn)。

這在概念上明顯優(yōu)于目前智能手機(jī)上使用的面部識(shí)別技術(shù)——經(jīng)過(guò)授權(quán)的人臉能夠解鎖設(shè)備，而設(shè)備一旦解鎖，任何人都可以看到屏幕上的內(nèi)容。

這種技術(shù)背后的關(guān)鍵概念是持續(xù)的實(shí)時(shí)認(rèn)證，而不是一次驗(yàn)證后任何人都能看到或者使用設(shè)備。

據(jù)最近通過(guò)的一項(xiàng)谷歌專(zhuān)利，谷歌也在考慮一種“用戶(hù)檢測(cè)筆記本電腦蓋”。

該專(zhuān)利描述了一種為授權(quán)用戶(hù)自動(dòng)打開(kāi)的筆記本電腦蓋，當(dāng)用戶(hù)移動(dòng)頭部時(shí)，它會(huì)隨著擺動(dòng)而直接面對(duì)用戶(hù)的臉部。

它通過(guò)使用兩個(gè)攝像頭來(lái)工作，一個(gè)在蓋子外面，一個(gè)在里面。這些都用于檢測(cè)和識(shí)別人臉。當(dāng)授權(quán)用戶(hù)接近Pixelbook（據(jù)推測(cè)）時(shí)，蓋子會(huì)實(shí)際解鎖并打開(kāi)。在授權(quán)用戶(hù)離開(kāi)房間后的一段時(shí)間內(nèi)，筆記本蓋子會(huì)自動(dòng)關(guān)閉并進(jìn)行物理鎖定。

該專(zhuān)利還提出了使用其他身份驗(yàn)證方式的可能性，即NFC、藍(lán)牙配對(duì)、語(yǔ)音ID、虹膜掃描或者手勢(shì)識(shí)別，以及各種方式的組合。

從安全的角度來(lái)看，這種想法是引入物理鎖定來(lái)進(jìn)行身份驗(yàn)證，授權(quán)用戶(hù)可以方便的自動(dòng)解鎖。

一些其他形式的身份驗(yàn)證也在不斷完善中。例如，語(yǔ)音ID在概念上非常好，因?yàn)樗芎?jiǎn)單——畢竟，我們都要與我們的手機(jī)通話，因此自然的可以通過(guò)語(yǔ)音進(jìn)行身份驗(yàn)證。不幸的是，這很容易被欺騙。

佛羅里達(dá)大學(xué)的研究人員已經(jīng)開(kāi)發(fā)出了一種驗(yàn)證語(yǔ)音ID的技術(shù)。其設(shè)計(jì)初衷是通過(guò)技術(shù)手段，根據(jù)用戶(hù)聲音模式來(lái)驗(yàn)證用戶(hù)。而這可以被高質(zhì)量的錄音所欺騙，因此，研究人員開(kāi)發(fā)了VoiceGesture，它使用智能手機(jī)發(fā)出超聲波，用戶(hù)的臉會(huì)把這些聲波反射回去。它能夠確認(rèn)，被授權(quán)的聲音實(shí)際上是由實(shí)體人實(shí)時(shí)說(shuō)出的，而不是錄音。

當(dāng)然，所有這些技術(shù)都使用了人工智能。人工智能是網(wǎng)絡(luò)安全更好的向前發(fā)展的關(guān)鍵所在。

IT界有一個(gè)眾所周知的格言，一旦你開(kāi)發(fā)出了傻瓜式的東西，那就造就了一個(gè)傻瓜。也就是說(shuō)：用戶(hù)通常是任何安全鏈中最薄弱的環(huán)節(jié)。這就是為什么人工智能能夠幫助用戶(hù)做出更好決策的原因。例如，一家名為KnowBe4的公司正在開(kāi)發(fā)一款人工智能虛擬助理，為用戶(hù)提供安全決策建議（例如，“你最好不要下載那個(gè)附件，Dave”）。

您應(yīng)該知道的是，昨天的網(wǎng)絡(luò)攻擊明年將變成奇怪的、意想不到的新威脅，其中很多會(huì)采用人工智能。最好（或者唯一）的防御將是基于人工智能的怪異的新解決方案。

一場(chǎng)人工智能軍備競(jìng)賽即將來(lái)臨。這將是我們從未見(jiàn)過(guò)的。endprint