360 OS的木桶理论

8月底手机扎堆发布,没有专门去看奇酷的发布视频。但以老周的高调作风,奇酷相关的报道也无法避免。其中有一点吸引了我的注意:老周的木桶理论。

报道原文如下:

http://www.tuicool.com/articles/vQNNVjY 

对于支付安全,周鸿祎提出了“木桶理论”:用户在手机上进行支付交易,存在下载支付APP、运行APP支付费用、APP支付数据上传和短信验证等多个环节。每一个环节都是木桶上面的一块木头,其中出现任意一块短板都会导致安全问题。

周鸿祎认为,当下国内所有安卓系统在支付安全领域都没有任何作为。目前,很多安卓用户都会碰到山寨APP恶意应用、系统环境自身漏洞、不明WiFi钓鱼网络或者验证短信被窃取这些风险,安卓用户面临严重支付安全问题。

因此,360 OS提出了一个对支付安全所有环节进行保护的方案——财产隔离系统。可以理解为针对支付安全建立的一套独立系统,通过连接360安全VPN安全网络通道,消除不安全网络的隐患,隔绝山寨应用和恶意软件对网银和支付类APP的威胁。

同时,对于支付验证短信,360 OS将其归类到系统信息,并进行加密隔离保护,不允许无关的应用读取,也杜绝了验证码被盗的问题。

周鸿祎表示,财产隔离系统是没有短板的安全支付解决方案,其背后有大量的安全支持人员作为后盾。

其实木桶理论也不是什么新的东西,任何对安全有一定概念的人都会明白,如果一个操作流程中任何一个步骤如果出现安全问题,整个流程就不能算作安全的。但到目前为止也从没有一家公司敢说自己的系统是绝对安全的。目前还没有能真正测试过奇酷的360 OS,仅能从公开的资料中谈一些自己的想法:

1. 先讲一个可笑的逻辑:如果对这个隔离系统有足够的信心,为什么要给赔付设一个上限?为什么不敢说有多少我陪多少? 8 )

号称中国最安全的系统:360 OS亮点总结

2. 从应用来源来说,奇酷单独提供了一个支付应用下载来源,也就是说应用发布多了一个环节--360, 我们先不怀疑360会对apk做什么,但支付应用都是前后台配合的,如果一个支付应用发现一个bug,需要更新版本,但360还没有发布,老版本引起的问题应该算是360的还是支付应用本身的?而且很多支付应用都采用的是自更新,请问360是允许呢?还是允许呢?

3. 从运行环境来说,360应该是在360OS上又提供了一个运行环境/虚拟机,在运行环境/虚拟机中跑应用,这里面就牵扯出很多环节:android系统、中间件、虚拟机、第二个中间件,还不清楚这里面有多少是360自己的东西,当然也无法判断360是否真的在这些环节上都没有短板

4. 再提一个老周没有放到桶里的木板,360自己的管理应用,从报道描述中看系统应该提供不少私有的接口供这些管理应用使用,这里可能出现两个短板:接口和应用,如果这两个中出现了问题就等于其他应用有可能也获取了杀进程、改数据库等系统级的权限,这块木板看来也是不可或缺的。


其他的问题,VPN的通道、短信的验证这里就不一一细谈,只是希望大家在使用手机的时候记得安全漏洞最大的就是你自己,如果自己做了决定把机器root了,或者使用了什么工具,其后果也只能自己承担,不要指望别人。

老周语录:“自己约的炮,含着泪也要打完!” 8 )


最后再给大家推荐一篇文章,帮助大家理解一下黑客的社交工程:

黑客瞄准社交工程技术:巨额投入难保系统安全

阅读更多
个人分类: 行业
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页

关闭
关闭
关闭