蘋果阻止上架的這款軟件，到底有多可惡？

編者按：本文來自微信公眾號“CSDN”（ID:CSDNnews），作者：馬超，責(zé)編：胡巍?。?6氪經(jīng)授權(quán)發(fā)布。

日前，美國人臉識別公司Clearview AI的數(shù)據(jù)泄露事件，引發(fā)美國當(dāng)局關(guān)注。據(jù)BuzzFeed News獲取的一份泄露名單顯示，美國移民和海關(guān)執(zhí)法局、美國司法部、美國聯(lián)邦調(diào)查局、梅西百貨和Best Buy、沃爾瑪?shù)?2200多家政府機構(gòu)和私人公司使用了該公司軟件。目前，美國佛蒙特州司法部長TJ Donovan已對Clearview AI提起訴訟，蘋果也阻止了該公司在iOS上的應(yīng)用。

那么，這是系統(tǒng)漏洞，還是故意為之？我們的信息安全，如何從根本上得到保障？一起來看看CSDN博客專家馬超的解讀。

近日備受爭議的公司Clearview AI由于涉嫌在互聯(lián)網(wǎng)上爬取的人臉圖像，被美國佛蒙特州總法務(wù)官以違反該州消費者保護和數(shù)據(jù)法為由提起訴訟，要求該公司立即停止收集佛蒙特州居民的照片，并銷毀此前收集的數(shù)據(jù)存檔。

在此之前Clearview AI也是爭議不斷，2019年一名美國億萬富翁就通過女兒在臉書分享的照片，找到其男友的人臉信息，并利用Clearview AI的App直接定位到了準(zhǔn)女婿的臉書、推特等社交媒體上的照片集及所在地址，并最終確定他是舊金山的一名風(fēng)險投資人。而且Clearview AI還被爆出曾與小型超市試驗人臉識別系統(tǒng)，來識別已知的商店扒手或其他商店的店主。

其實不光是Clearview AI人臉識別技術(shù)在各個國家的應(yīng)用過程中都存在著很多問題，比如2019年，一夜爆紅的AI實時換臉軟件ZAO就因“用戶協(xié)議不規(guī)范”和“數(shù)據(jù)泄露風(fēng)險”等問題受到工信部約談，并最終下架；2019年年底杭州野生動物世界啟用人臉識別入園，也造成該園的用戶不滿，引發(fā)了人臉識別做為出入憑證，是否涉及強制收集個人面部特征的網(wǎng)上大討論，最終雙方協(xié)調(diào)未果訴儲法院，成為我國“人臉識別第一案”。

近日在信息安全方面還有一個值得關(guān)注的事件，就是利用SMB遠(yuǎn)程代碼執(zhí)行的漏洞（CVE-2020-0796）-“永恒之黑”。由于SMB遠(yuǎn)程代碼執(zhí)行漏洞與之前“永恒之藍(lán)”系列漏洞極為相似，因此以“永恒”命名。SMB(Server Message Block)協(xié)議作為一種局域網(wǎng)文件共享傳輸協(xié)議，常被用來作為共享文件安全傳輸研究的平臺。

由于SMB 3.1.1協(xié)議中處理壓縮消息時，對其中數(shù)據(jù)沒有經(jīng)過安全檢查，直接使用會引發(fā)內(nèi)存破壞漏洞，可能被攻擊者利用遠(yuǎn)程執(zhí)行任意代碼。“永恒之黑”一旦被成功利用，其危害不亞于永恒之藍(lán)，據(jù)估計全球約有10萬臺服務(wù)器都會受到該漏洞的影響。

其實無論是名造一時的“熊貓燒香”、還是最近開始流行的人臉信息泄漏，其背后的核心技術(shù)還是信息安全的，我們看到隨著IT技術(shù)的不斷發(fā)展，IT從業(yè)人員雖在不斷增多，但是主要的就業(yè)人員的技術(shù)棧基本集中在移動、前后端以及人工智能等領(lǐng)域，最流行的編程語言也由面向底層操作的C和C++逐漸演變到托管型的JAVA乃至至腳本型的Python。

而信息安全領(lǐng)域是個直接面向底層的技術(shù)，從事底層編程的人員越來越少，也就代表著信息安全的從業(yè)者基數(shù)是越來越小，這個現(xiàn)象的直接后果就是，IT世界出現(xiàn)了落后的技術(shù)可以攻擊先進技術(shù)的情況，這點與人類社會中落后蠻族對高級文明的侵略非常相像。

而最新出現(xiàn)的人臉信息泄漏情況又與社會工程攻擊結(jié)合緊密，可以說又形成了信息安全攻防戰(zhàn)的新動態(tài)。下面筆者就為大家梳理一下信息安全技術(shù)發(fā)展的歷史和趨勢。

信息安全技術(shù)的前世今生

原始階段：

最早的信息安全事件出現(xiàn)于1989年，當(dāng)時一款名為“艾滋病信息木馬”的病毒開始流行。該木馬通過替換系統(tǒng)文件，在開機時計數(shù)，一旦系統(tǒng)啟動達到90次時，該木馬將隱藏磁盤的多個目錄，C盤的全部文件名也會被加密，從而導(dǎo)致系統(tǒng)無法啟動。此時，屏幕顯示信息聲稱用戶的軟件許可已過期，要求郵寄189美元以解鎖系統(tǒng)。而“艾滋病信息木馬”也可以被看做是木馬、病毒及流氓軟件的共同始祖。

2006年出現(xiàn)的Redplus勒索木馬是我國首款本土勒索軟件。該木馬會隱藏用戶文檔，然后彈出窗口勒索贖金，金額從70元至200元不等。據(jù)我國計算機病毒應(yīng)急處理中心統(tǒng)計，全國各地的該病毒及其變種的感染報告有580多例。而實際上用戶的文件并未丟失，只是被移動到一個具有隱藏屬性的文件夾中。

勒索支付手段升級：

從2013年的CryptoLocker病毒開始，比特幣進入了黑客的視野。CryptoLocker可以感染大部分Windows操作系統(tǒng)，通常通過郵件附件傳播，附件執(zhí)行后會對特定類型的文件進行加密，之后彈出付款窗口，也就是從這款軟件開始，黑客開始要求機構(gòu)使用比特幣的支付贖金，而就是這款軟件為黑客組織帶來了近41000枚比特幣的收入，按照比特幣最新6000美元左右的市價，這款病毒為其幕后的黑客帶來了數(shù)億美元的收入。

病毒也開源：

2015年一款名為Tox的勒索軟件開發(fā)平臺正式發(fā)布，通過注冊服務(wù)，任何人都可創(chuàng)建勒索軟件，管理面板會顯示感染數(shù)量、支付贖金人數(shù)以及總體收益，Tox的創(chuàng)始人收取贖金的20%。同年土耳其安全專家發(fā)布了一款名為Hidden Tear的開源勒索軟件。它僅有12KB，雖然體量較小，但是麻雀雖小五臟俱全，這款軟件在傳播模塊，破壞模塊等方面的設(shè)計都非常出色。

盡管來自土耳其的黑客一再強調(diào)此軟件是為了讓人們更多地了解勒索軟件的工作原理，可它作為病毒軟件的開源產(chǎn)品，還是引發(fā)了諸多爭議的，一方面增加技術(shù)社區(qū)對于勒索軟件的認(rèn)識，另一方面也加快的病毒技術(shù)的發(fā)展。后來那款由于破壞力超群而抱得大名的勒索病毒，WannaCry（一種“蠕蟲式”的勒索病毒軟件）據(jù)說就從開源的Hidden Tear當(dāng)中借鑒了很多代碼。

結(jié)合社會工程攻擊，竊取大眾隱私信息：

近年來，針對某些快捷酒店住宿系統(tǒng)及私營醫(yī)院HIS系統(tǒng)的入侵、脫庫（脫庫指黑客入侵到系統(tǒng)后進行信息竊?。┬袨閷映霾桓F，而2016年之前黑客一般只會將信息悄然盜出后在黑市上待價而沽，不過目前最新的趨勢是黑客在出售掉隱私信息之前還要對涉事機構(gòu)行勒索。

比如2017年底美國好萊塢某醫(yī)療中心就被黑客攻陷，并勒索340萬美元的贖金，經(jīng)過一番討價還價醫(yī)院最終支付了1.7萬美元想花錢了事，但是不久后該院的就診記錄就出現(xiàn)在了的數(shù)據(jù)黑市上。

而且最近的病毒明顯加強了“用戶體驗”的建設(shè)，會給用戶很強的心理暗示，比如某些最新的勒索軟件將UI設(shè)計成無法退出的界面，而且贖金隨時間漲價，還會以倒計時強化緊迫感。

后記

從最新的情況來看，公開兜售人臉數(shù)據(jù)的情況并不少見，一般每張人臉圖片搭配一份數(shù)據(jù)，包括人臉的各處關(guān)鍵點，甚至還標(biāo)注了性別、情緒、顏值等具體信息，根據(jù)這些信息不但能夠換臉，而且還能生成3D人臉模型打印數(shù)據(jù)。

這樣的情況無疑將給人臉信息的濫用帶來極大風(fēng)險，因此在這方面還需要多管齊下，另一方面也要盡快立法，從嚴(yán)打擊信息黑市。

作者簡介

馬超，CSDN博客專家、華為云MVP，金融科技行業(yè)資深從業(yè)者，著名的國產(chǎn)操作系統(tǒng)及數(shù)據(jù)庫軟件的布道者。