Mike+Elgan著+楊勇譯

安全世界變得異常怪異，而解決方案可能比威脅更怪異。

上個月周我就說過，一些技術(shù)大公司被發(fā)現(xiàn)故意把潛在的漏洞放到移動操作系統(tǒng)中，而且絲毫沒有讓用戶知情的意思。

其中一個被谷歌放到了安卓系統(tǒng)中。在這種情況下，安卓系統(tǒng)被發(fā)現(xiàn)在傳送位置數(shù)據(jù)，而且不需要電話的GPS系統(tǒng)，甚至也不需要安裝SIM卡。谷歌聲稱從未存儲或者使用過這些數(shù)據(jù)，后來它終止了這種做法。

對于移動應(yīng)用，跟蹤確實是個問題，這個問題在自帶設(shè)備（BYOD）策略中被低估了。

耶魯大學(xué)法學(xué)院的隱私實驗室和法國的非營利組織Exodus Privacy研究表明，他們調(diào)查的300多個Android應(yīng)用程序中75%以上都含有某種跟蹤器，主要用于廣告、行為分析或者位置跟蹤。

大部分位置跟蹤器依賴于訪問GPS信息，而這需要用戶選擇是否打開GPS。但現(xiàn)在，普林斯頓大學(xué)的研究人員開發(fā)了一款名為PinMe的應(yīng)用軟件，不使用GPS信息便能夠收集智能手機的位置信息，這就說明有可能出現(xiàn)隱私泄露。

總的來說，我們曾認(rèn)為關(guān)閉手機位置功能就能夠保護我們不會被定位監(jiān)視——這種想法已經(jīng)過時了。

實際上，我們在安全上的很多假設(shè)都受到了實際新情況的挑戰(zhàn)。以雙重身份驗證為例。

Javelin Strategy & Research上個月發(fā)布的一份報告稱，目前多重身份驗證的應(yīng)用正在“遭到破壞”。企業(yè)還沒有充分利用雙重和多重身份驗證功能，只有三分之一多點的企業(yè)使用了“兩重或者多重身份驗證功能來保護對其數(shù)據(jù)和系統(tǒng)的訪問?！?/p>

因此，我們不能再像以前那樣信任雙重身份驗證——即使我們信任它，其應(yīng)用也沒有完全普及開來。

那我們當(dāng)然可以信任蘋果設(shè)備，對吧？蘋果因其強大的安全特性而名聲赫赫?；蛘撸覒?yīng)該說，“曾經(jīng)有過”這樣的聲譽。

本周，蘋果針對一個重大的安全漏洞進行道歉并發(fā)布了補丁，由于這一漏洞的存在，任何人只要接觸到運行macOS High Sierra的蘋果計算機，不需要密碼就能夠獲得完全訪問權(quán)限（簡單地使用“root”做為用戶名即可）。

蘋果修復(fù)了這個漏洞。但事實上，這個漏洞是新出現(xiàn)的，而且很怪異，挑戰(zhàn)了我們對蘋果安全信譽的看法。

蘋果新的Face ID身份驗證功能已經(jīng)被研究人員破解，一些安全專家拒絕使用它。破解Face ID有各種各樣的方法，從簡單地找一個面貌相似的人，到制作一個逼真的面具來欺騙它，等等。很顯然，網(wǎng)絡(luò)犯罪分子也會制作并帶上面具。

在風(fēng)險面前，一些身份驗證系統(tǒng)看起來根本無法保護我們免受風(fēng)險的威脅。

據(jù)報道，臉書正在測試一項身份驗證方案，要求用戶在登錄時自拍。而很多智能手機照片都含有時間和位置信息。

在過去的一兩個月里，我們曾經(jīng)的安全假設(shè)被顛覆了。過去我們認(rèn)為安全的，再也不安全了。而且這變得更糟，不是更好。

軟件安全公司McAfee本月指出，2018年將是新一輪更猛烈的攻擊，因為“攻擊者會更多的利用機器學(xué)習(xí)進行攻擊，試著把機器學(xué)習(xí)和人工智能（AI）組合起來，竭盡全力去發(fā)現(xiàn)并破壞防御方的機器學(xué)習(xí)模型。”

我們當(dāng)前的安全系統(tǒng)已經(jīng)被攻破，“攻擊者”變得非常老練。

我們需要的是更好，甚至更極端的安全措施，而且普通用戶在實際生活中也可以使用。

但我們有理由樂觀。

當(dāng)威脅變得怪異時，解決方案會變得更怪異

兩位谷歌的研究人員已經(jīng)開發(fā)出一種機器學(xué)習(xí)技術(shù)，可以實時檢測出是否有人在偷窺您智能手機的屏幕。

該系統(tǒng)結(jié)合面部識別（誰在攝像頭前）和凝視檢測（他們正在看什么），以防止“背后偷窺者”偷窺您的屏幕。

這一檢測工作在一秒鐘內(nèi)就完成了，在實際應(yīng)用中，如果出現(xiàn)背后偷窺事件，會導(dǎo)致屏幕變暗。

面部識別技術(shù)的能力類似于HBO電視劇“硅谷”的Not Hotdog應(yīng)用程序：它并不是要識別每個人，而只是要識別出每個人是授權(quán)用戶還是非授權(quán)用戶。如果是非授權(quán)用戶，則拒絕訪問。

這在概念上明顯優(yōu)于目前智能手機上使用的面部識別技術(shù)——經(jīng)過授權(quán)的人臉能夠解鎖設(shè)備，而設(shè)備一旦解鎖，任何人都可以看到屏幕上的內(nèi)容。

這種技術(shù)背后的關(guān)鍵概念是持續(xù)的實時認(rèn)證，而不是一次驗證后任何人都能看到或者使用設(shè)備。

據(jù)最近通過的一項谷歌專利，谷歌也在考慮一種“用戶檢測筆記本電腦蓋”。

該專利描述了一種為授權(quán)用戶自動打開的筆記本電腦蓋，當(dāng)用戶移動頭部時，它會隨著擺動而直接面對用戶的臉部。

它通過使用兩個攝像頭來工作，一個在蓋子外面，一個在里面。這些都用于檢測和識別人臉。當(dāng)授權(quán)用戶接近Pixelbook（據(jù)推測）時，蓋子會實際解鎖并打開。在授權(quán)用戶離開房間后的一段時間內(nèi)，筆記本蓋子會自動關(guān)閉并進行物理鎖定。

該專利還提出了使用其他身份驗證方式的可能性，即NFC、藍牙配對、語音ID、虹膜掃描或者手勢識別，以及各種方式的組合。

從安全的角度來看，這種想法是引入物理鎖定來進行身份驗證，授權(quán)用戶可以方便的自動解鎖。

一些其他形式的身份驗證也在不斷完善中。例如，語音ID在概念上非常好，因為它很簡單——畢竟，我們都要與我們的手機通話，因此自然的可以通過語音進行身份驗證。不幸的是，這很容易被欺騙。

佛羅里達大學(xué)的研究人員已經(jīng)開發(fā)出了一種驗證語音ID的技術(shù)。其設(shè)計初衷是通過技術(shù)手段，根據(jù)用戶聲音模式來驗證用戶。而這可以被高質(zhì)量的錄音所欺騙，因此，研究人員開發(fā)了VoiceGesture，它使用智能手機發(fā)出超聲波，用戶的臉會把這些聲波反射回去。它能夠確認(rèn)，被授權(quán)的聲音實際上是由實體人實時說出的，而不是錄音。

當(dāng)然，所有這些技術(shù)都使用了人工智能。人工智能是網(wǎng)絡(luò)安全更好的向前發(fā)展的關(guān)鍵所在。

IT界有一個眾所周知的格言，一旦你開發(fā)出了傻瓜式的東西，那就造就了一個傻瓜。也就是說：用戶通常是任何安全鏈中最薄弱的環(huán)節(jié)。這就是為什么人工智能能夠幫助用戶做出更好決策的原因。例如，一家名為KnowBe4的公司正在開發(fā)一款人工智能虛擬助理，為用戶提供安全決策建議（例如，“你最好不要下載那個附件，Dave”）。

您應(yīng)該知道的是，昨天的網(wǎng)絡(luò)攻擊明年將變成奇怪的、意想不到的新威脅，其中很多會采用人工智能。最好（或者唯一）的防御將是基于人工智能的怪異的新解決方案。

一場人工智能軍備競賽即將來臨。這將是我們從未見過的。endprint