編者按：去年我們策劃了『解讀2014』系列文章，贏得了讀者的贊譽。2015年，整個IT技術領域發生了許多深刻而又復雜的變化，InfoQ策劃了『解讀2015』年終技術盤點系列文章，希望能夠給讀者清晰地梳理出技術領域在這一年的發展變化，回顧過去，繼續前行。

2015年12月16日，在烏云TangScan的發布會上，我跟鄔迪說這一年安全領域變化很大，各路安全峰會從年初開到年尾，安全理念也從“氣宗與劍宗”發展到了“南向與北向”，作為第三方平臺烏云理應盤點一下2015年的變化。近日報告初成，可以看到過去的這一年在安全領域，安全事件有增無減；數據隱私泄漏更為嚴重；第三方平臺開始出現嚴重的信任危急；企業員工安全意識薄弱令人觸目驚心；而智能設備的不斷涌現，萬物互聯使得本就脆弱的基礎設施安全更加千瘡百孔。

對于IT從業者

熱點漏洞

0x00 打印機居然接入互聯網

4月29日，烏云平臺報告了中國移動某省公司打印機未授權訪問的漏洞。由于該公司網絡部打印機接入互聯網可直接外網訪問，導致黑客可以通過該打印機下載曾經打印過的文檔。作為企業來說，對于需要聯網的辦公設備，應該盡可能保證不對外開放，畢竟一切接入互聯網的東西都是存在安全風險的，何況是存儲著企業資料的打印機呢？

相關廠商內容

提高工程效率的各種最佳實踐和典型思路

知道創宇技術副總裁余弦將擔任QCon北京2016出品人

QCon北京2016大會，4月21-23日，與您相約北京國際會議中心，現在報名享8折優惠！

相關贊助商

QCon北京2016大會，4月21-23日，北京·國際會議中心，精彩內容邀您參與！

0x01 不可信的第三方

貸齊樂借貸系統出現多處注入漏洞，影響上百家P2P平臺

8月8日，烏云匿名白帽子路人甲報告了知名P2P系統貸齊樂存在多處SQL注入漏洞，可影響大量P2P網貸站點，并隨手附上了100+案例。據了解，貸齊樂公司是一家專業從事P2P網絡借貸平臺開發的戰略性電子商務有限公司，目前全國百分之七十以上的借貸網站都是用貸齊樂系統搭建，當貸齊樂系統出現多處注入之后，上百家P2P平臺都受到了漏洞影響。

Java反序列化漏洞爆發，風頭直逼當年的Struts 2

11月6日，國外 FoxGlove 安全研究團隊在其博客上公開了一篇關于常見 Java 應用如何利用反序列化操作進行遠程命令執行的文章，其中詳細說明了 Java 中如何使用 Apache Commons Collections 這個常用庫來構造 POP 鏈（類ROP鏈）來進行任意命令執行。從11月份Java反序列化漏洞爆發開始，2015年的最后兩個月里，烏云平臺已經陸續收到白帽子報告的此類漏洞數量多達900+，這個數字還在繼續增加，影響范圍直逼當年的Struts 2漏洞。

Redis后門植入

11月10日，國外安全研究者的一份文檔顯示，Redis在未進行有效驗證，并且服務器對外開啟了SSH服務的前提下，攻擊者有可能惡意登錄服務器甚至進行提權操作（root權限）。通過與一些企業和機構的溝通，已經發現了大量掃描與自動化攻擊痕跡。

烏云君說：從2010年烏云平臺創立至今，已不斷收到了包括Struts、Jboss、Weblogic、ElasticSearch、Redis、Java、短信平臺等第三方軟件或服務的相關漏洞，這些漏洞已影響了無數廠商。隨著使用者數量的增多，第三方軟件或服務的漏洞影響范圍還在不斷擴大。對于使用第三方軟件或服務的企業，需要密切關注漏洞預警，及時打上相關補丁，做好防護工作，降低損失。

0x02 XCodeGhost引發的信任危機

9月14日，一例XCode非官方版本惡意代碼污染事件逐步被關注，并成為社會熱點事件。多數分析者將這一事件稱為“XCodeGhost”。截止到9月20日就已確認共692種（如按版本號計算為858個）APP曾受到污染，受影響的廠商中包括了微信、滴滴、網易云音樂等著名應用。（我能說“珍愛生命、遠離國產”嗎？）

烏云君說：此次受到污染的XCode雖然是非官方渠道下載的，但開發者們卻不約而同的默認了它的安全性與正規性，這也可以看出企業在開發流程方面的不規范。經由此次事件可以看出，開發流程的規范是必不可少的，開發直接接觸企業與用戶之間溝通的產品，用戶體驗不只是使用時的舒適感，更是使用時的安全和放心。

0x03 WormHole：比葫蘆娃還可怕的百度“全家桶”漏洞

7月28日，烏云收到了第一例“蟲洞”漏洞報告，白帽子發現百度助手開啟的某個奇怪的數據通訊端口提供了一系列的信息查詢功能，分析后猜測這個功能應該是用作與百度統計進行一些用戶信息的交互回調。同網絡環境中的其他用戶可以直接訪問這個端口并獲取用戶敏感信息，后來白帽子又陸續有了新的發現，比如新的監聽端口以及接口功能等。該漏洞屬于通用性質，國內其他廠商APP、SDK也可能存在類似問題。

烏云君說：蘋果CEO庫克同志曾經說過，“你不應該給軟件裝后門因為你不能保證這個后門只有好人能夠使用”。不論廠商由于何種緣故而在軟件中添加后門，都是一種不可取的做法，一旦后門被不法分子利用，造成的后果不僅是讓用戶的敏感信息不保，更會傷害用戶對于企業的信任，這實在是種得不償失的做法。

0x04 當企業對自己所處領域的安全技術信息不對稱時

9月6日，烏云收到了白帽子提交的有關小米手環的漏洞，該漏洞可以使黑客通過使用Lightblue來控制手環狂震不止。漏洞是由于藍牙可以用BLE讀寫工具在不匹配的過程中直接讀寫設備數據造成的。

烏云君說：在智能硬件這個新興行業中，企業還處于對該行業技術的摸索與上升階段，目前大多智能硬件都使用藍牙作為設備連接的方式，不可否認這也是一種非常合適的技術。不過現在大部分設備都還停留在無認證無加密的鏈路默認模式，這是非常不靠譜的。

這個漏洞從側面反映了智能硬件行業中，企業對于所使用的技術的安全性信息不對稱，場景考慮不夠全面。雖然企業可能有關于產品開發周期與成本的顧慮，但還是缺少了對于一些場景的思考，盡管智能硬件行業的攻防現在還屬于很小眾的話題，硬件的開發和存儲空間對于開發也是一個挑戰，但對于一家想要用心做好產品的企業來說，對于安全的敏感性和掌控性仍舊不可以丟失。

熱點事件

0x00 企業安全中最脆弱的一環——人

9月25日，蘇寧易購iOS源代碼被發現出現在GitHub上，導致大量敏感信息泄漏。這已經不是第一起“人為”的安全事故了。1月6日，烏云平臺發現大量將各類帳號密碼公布在公告中的QQ群；6月13日，白帽子提交的編號為WooYun-2015-119843的漏洞就是因為中國聯通工號申請審核人員的安全意識薄弱而給了黑客可乘之機……一連串人為造成的安全隱患證明了每一個不起眼的個體都能成為安全環節中的致命點，企業安全中「全員」的安全意識也應成為重中之重。

0x01 被盯上的辦公網環境

4月16日白帽子提交了一個通過破解京東某辦公分部的WiFi而成功漫游京東內網的漏洞（WooYun-2015-108465）。其實因為辦公網WiFi密碼泄漏而造成的黑客侵入內網事件不單單出現在京東，早在2月14日，就有白帽子連接“天河一號”某用戶的企業辦公WLAN后導致白帽子漫游“天河一號”；10月27日，小米科技因為售后授權中心的辦公網wifi密碼被破解而使得白帽子成功進入售后系統……企業中很多重要設施或系統因為安全起見都被放在內網環境，但是當辦公網密碼被破解，內網還能安全嗎？

0x02 企業員工的日常安全

1月14日，TCL某網站在遷移代碼時把Mac的隱藏文件 DS _Store 搬了過去，導致目錄結構泄漏，從而可以使黑客獲取到工具掃不出來的后臺管理頁面以及數據庫文件。現在大部分企業在開發架構時會選擇使用Mac，但Mac具有系統特殊性，在編輯文件時會自動生成隱藏文件 DS _Store ，該文件會包含很多網站敏感信息，成為網站安全性的致命點。安全在于細節，細節決定成敗。

0x03 企業安全機制的根本設計導致安全問題

1月15日，酷派由于短信服務配置不當導致酷派云所有用戶信息泄漏，酷派云注冊找回密碼時的短信網關因為沒有任何限制而可以直接訪問，其中包含大量用戶敏感信息。本來作為安全機制使用的“找回密碼”由于根本設計上的風險而成為安全中的最大障礙，這總讓人有種無限惋惜和難以置信的感覺。安全不僅要注意每一處微小的細節，更要從根本上就規避可能隱藏的安全風險，安全真的容不得一絲疏漏，誰知道哪處疏漏就能造成怎樣的危害呢？

對于白帽子

熱點漏洞

0x00 一切輸入皆有風險

1月18日烏云公開了一個通過微信公眾號獲取到了大量優酷內部員工敏感信息，并存在定向釣魚風險的漏洞。由于后端開發時什么都沒有過濾，所以只需要往優酷內部的某公眾號發送注入語句，就能獲取到大量內部用戶信息，甚至還可以把數據Dump下來，讓我們來幻想一下：如果把所有用戶數據都拖了出來，然后解出幾個密碼，順利登陸郵箱VPN啥的，會出現什么后果呢？另外，通過該公眾號，白帽子還找到了該公眾號的微信后臺管理入口并利用弱口令成功登錄，這一點可以被用來做什么樣的釣魚我們就不多說了。雖然是面向內部員工開放的公眾號，但既然是公眾號，那就要做好會被“公眾”知曉的準備，后端開發怎么可以如此馬虎呢？要記得：一切輸入皆有風險。

0x01 萬物互聯之車聯網的安全風險

聽說我們現在正在逐漸步入「萬物互聯」的物聯網時代，這其中會存在怎樣的安全風險呢？3月30日，烏云“著名白帽子”路人甲報告了一例有關比亞迪智能汽車的漏洞（WooYun-2015-104734），車聯網也開始成為了黑客的攻擊目標。該漏洞是由于在比亞迪云服務頁面，瀏覽器發送AJAX請求判斷手機號存在時，會返回車主包括姓名、車牌號、車架號、身份證號等個人敏感信息，利用此漏洞，可以遍歷手機號段來獲取車主信息和控制密碼。這是最好的時代，也是最壞的時代，「萬物互聯」帶來的不只是生活上的便利，似乎，還有些別的東西，你覺得呢？

0x02 安全設備真的可以成為我們的“保護神”嗎？

你們買安全設備是為了什么？當然這是一個很傻的問題——買安全設備當然是為了保證安全?。】墒悄阌邢脒^有一天你買的安全設備也可能帶來安全問題嗎？4月2日，有白帽子提交了一個天融信應用交付系統源碼泄漏的漏洞（WooYun-2015-105415），并且使用CloudEye直接黑盒測試，發現可以存在命令執行。在這個漏洞中，源碼泄漏的方式非常有意思，就是在php頁面的url后加了個「.」，就成功獲取到了源代碼，這讓人有些哭笑不得。安全設備出現安全問題會讓用戶的第一道防線出現破綻，而其中封裝的黑盒也會隱藏著很多難以察覺的不確定因素，更需認真對待。

0x03 可以被任意下載的離線文件

漏洞的影響范圍往往取決于用戶量的多少。9月25日，騰訊QQ被報存在高危漏洞可以讀取并下載任意用戶離線文件，導致用戶敏感信息泄漏（WooYun-2015-143395）。這個漏洞的實現手法非常簡單，但影響范圍還是比較可觀的，畢竟QQ作為目前國人主要的社交聊天軟件，用戶群還是非常龐大的。那么問題來了，當你承載著那么龐大用戶量的各類隱私時，怎么可以不做好服務端校驗等安全小細節呢？

熱點事件

0x00 Hacking Team的“軍火庫”泄漏

7月份，意大利一家專業向政府及執法機構販售入侵與監視工具的意大利黑客公司Hacking Team被攻擊，攻擊者對公眾發布了多達400GB的內部文件、源代碼以及電子郵件供任意下載。攻擊者黑掉了Hacking Team的Twitter賬戶，丑化了Logo、簡介，并且將獲得的內部消息通過該公司的Twitter公布于眾。

對此，烏云君只想說，夜路走多了總會遇見鬼的，聲名狼藉的Hacking Team也會被黑。技術應該被用在正確的道路上，尊重民眾的隱私，保護個人信息安全才是安全從業者們想要做和應該做的。

0x01 “無敵艦隊”的DDoS勒索

11月份，國外一支名為“Armada Collective”的黑客團隊（即“無敵艦隊”）利用DDoS攻擊技術開始勒索企業，其中有很多值得國人警惕的地方。該團伙作案都是瞄準一些大目標，先發郵件勒索，然后會隨時發起1Tbps流量的DDoS攻擊。攻擊先從國外開始，但從“無敵艦隊”后來的郵件中可以看出他們已經對中國國內做了踩點分析。一直都說國外互聯網目前遇到的問題，就是國內互聯網未來要面對的。目前來看這進度快同步了，至少是互聯網的陰暗面——網絡勒索攻擊已經開始試運行了。

對于普通用戶

熱點漏洞

0x00 智能硬件安全標準貧瘠

WooYun-2015-134839、WooYun-2015-143270、WooYun-2015-143181…

2015年9月，烏云平臺上一支白帽團隊研究了市場上十余款暢銷智能兒童手表，發現大半存在漏洞可遠程定位、竊聽孩子并匹配身份，甚至還能切斷手表和父母手機的聯系。為保障孩子安全而買的兒童手表，因其簡陋的安全防范卻變身成了不懷好意者的竊聽利器。誰來監督智能硬件的安全性？

0x01 云端投毒

WooYun-2015-128592、WooYun-2015-139347

2015年7月、9月，烏云平臺連續收到兩個云端風險案例。7月有白帽發現某廣告屏蔽軟件云端的屏蔽規則審核后臺存在漏洞，可獲得管理員權限，這款軟件有數十萬用戶，任意一個規則出錯都影響巨大；9月另一白帽發現，某智能路由固件存儲了一個遠程服務器認證信息，登錄后發現為該品牌所有路由的云端管理調試平臺，可ROOT權限遠程控制任意路由。當“云”成為趨勢，廠商如何保障它的安全？

0x02 越獄插件竊密

WooYun-2015-136806

似乎只有慘痛教訓，才能讓大眾對安全有所重視。2015月8月，有白帽向烏云平臺報告，發現多款越獄軟件內置后門，會竊取用戶iCloud賬號密碼及機密信息。白帽從竊密軟件后臺找到了22萬iCloud賬號密碼，抽樣測試發現多為有效賬號，可直接登錄。未知來源的軟件可能不安全！再強調一百年也不為過。

熱點事件

0x00 大麥&&網易帳號泄漏事件

2015年8月26日，烏云報告平臺顯示，大麥網再次被發現存在安全漏洞，600余萬用戶賬戶密碼遭到泄漏，有白帽子甚至發現，這些隱私數據已被黑產行業進行售賣與傳播；10月份，有網易郵箱用戶在論壇和微博上反映自己的網易郵箱泄漏，一些用網易郵箱注冊的第三方賬戶被盜。

2015 年的數據泄漏事件不僅讓大眾更加明白了數據的重要性，提高了對于數據的安全意識，也讓民眾知道了「脫庫」和「撞庫」兩個安全名詞。

「脫庫」和「撞庫」是具有本質區別的，前者是黑客具有主動權，泄漏的數據也更完整，危害當然也更大；后者黑客是被動的，能否撞到數據全憑運氣以及網民的安全意識，危害當然相對而言較小。

小結

如果說2014年是史詩級漏洞頻發的一年，2015年則是安全環境持續惡化的一年。我們看到廣大企業并沒有平衡業務與安全的關系，甚至為了業務而犧牲安全。盡管一再有血的教訓，但麻木的大眾對頻發的安全事件越來越冷漠，IT從業者的安全意識依舊令人擔憂。在接下來的一年里，這一現狀能否有所改善，恐怕還需要企業、白帽子以及社會大眾的共同努力。

感謝魏星對本文的審校。

給InfoQ中文站投稿或者參與內容翻譯工作，請郵件至editors@cn.infoq.com。也歡迎大家通過新浪微博（@InfoQ，@丁曉昀），微信（微信號：InfoQChina）關注我們，并與我們的編輯和其他讀者朋友交流（歡迎加入InfoQ讀者交流群（已滿），InfoQ讀者交流群（#2））。