“XX神器”，打“猫”游戏的启示

“XX神器”，一位尚在象牙塔里的小朋友折腾出的恶意应用掀起一场安全风暴，来自不同领域的厂商为这个危害性并不是那么大的玩意儿各显神通，俨然一场军事演习。整个事情是，一堆猎人和看客一直在静候大老虎的出现，等了很久没出现，“XX神器”这只猫出现便被人们当做老虎一顿痛打。

移动安全事件频频，各大厂商要出头

各界对“XX神器”兴师动众，想必是极好的。移动互联网的特点就是快，“病毒”产生快、传播快、死得也快。一周之内“病毒”就被扼杀在摇篮，那位倒霉蛋已落网静候发落，媒体则从不同视角进行传播，不同线条有条不紊、分工协作、快速响应，将安全隐患扼杀在了摇篮，同时借机进行一次全民教育宣贯。

在移动互联网高速发展的近5年内，移动安全无大战事。安全厂商们对于“查杀”的目标一变再变，在知道移动安全十分重要、比PC更重要的前提下，却又一直找不到移动安全具体的痛点。移动安全成为“重要但不紧急”的事情，巨头们才有资源进行投入。腾讯将其作为国防事业，百度作为后起之秀强劲追赶，360则是老本行自然不会示弱，各大巨头纷纷卡位移动安全，在没有安全事故之时，让人有巨头们在围绕移动安全打“冷战”的错觉。

在这样的背景下，一旦有练手机会安全厂商们便迫不及待赤膊上阵。安全厂商们一直在积蓄势能，一直在等待彰显实力的实际，因此哪怕出来的是一只猫，安全巨头们依然可以向打虎一样卖力。说到底，还是为了“出头”。

360、腾讯和百度可圈可点，思路迥异

在“XX神器”的围剿战役之后，参演各方纷纷向用户邀功请赏。

运营商：截断却不退费。宣称及时切断传播渠道，协助警方定位立大功等等，不少还不忘顺带宣传自家糟糕的杀毒应用和服务。笔者想问的是，你们当年与SP勾结抢劫用户话费的行为比“XX神器”邪恶多少？在各家媒体曝光“XX神器”之前你们干嘛去了？你们发现问题只是通过官微告知用户却不与更有效的媒体共享信息，这算诚意吗？用户被“病毒”自动转发短信的通信费损失，你们会退还吗？如果不退，运营商反而在此次事件中坐收渔利。

360：重查杀轻预警。360对外宣称率先实现对“XX神器”的查杀，用老牌安全技术厂商的形象背书。问题是，360安全这么牛，但运营商都比你先发现问题，安全厂商的预警作用完全没有发挥出来。尽管最后进行了亡羊补牢，但那已是每家厂商都在做的事情，不值得夸耀，360表现出的是正常水平。

腾讯：配合警方立大功。腾讯在本次事件中，凭借着地缘优势与深圳警方快速联动，通过反编译手段掌握了那位倒霉蛋的手机号码和邮箱，在警方9个小时破案抓捕中起到关键技术支持作用，同时腾讯手机管家实现了全网查杀和基于腾讯传播渠道的全网提醒。因为“地缘优势“，腾讯在这次事件中中了头彩，未来互联网安全企业与公安部门联手解决移动安全问题成为大趋势。

百度：花力气通知用户。百度作为安全行业的新秀，不像360和腾讯那样“经验丰富”，除了积极查杀“XX神器”之外，百度还做了另外一件十分重要的事情——向用户预警，通过自有渠道和第三方渠道普及“XX神器”的危害以及如何预防和解决，包括安全专家接受CCTV采访，让小白用户提起重视，安全专家厉哥(ROY LI)的科普式解读等等通过不同的方式向小白们预警。百度重视传播与运营商的只堵不疏截然相反，因为安全最大的问题还是人的问题，如果那个倒霉蛋早点被教育就不会干这蠢事儿，如果用户知道保护自己的隐私就不会在“XX神器”安装过程中给它短信和通讯录权限。

其他：凑热闹借势为主。有意思的是，瑞星、金山、PP助手和华为手机管家也来凑热闹说自己“第一时间”查杀。当然，它们这样做并没有错，因为在这样的“注意力盛宴”场合谁不站出来谁就没有存在感，甚至会被认为掉队了。但这也说明区分究竟谁是第一时间查杀已经不重要了，几分钟的时间差并无意义，对“XX神器”的查杀完全不是技术活儿。关键还是看谁真正理解了移动安全的要义，去做更有建设性的事情：与警方协同解决根本性问题，与媒体合作把安全知识普及当做长期公益，同时教育用户也是安全厂商的责任。

移动安全的“老虎”究竟在哪里？

最近关于移动安全的新闻多了起来，人们过去几年坐上的高速移动快车积累的隐患还是到了集中爆发的时刻。iOS系统、Android系统，甚至连GSM网络底层系统，都被曝光存在着安全漏洞，但几乎都可归类为“隐私信息”的泄露，移动安全的核心战场正在清晰。

杀毒已成伪需求：PC时代的病毒木马在移动设备遇到传播障碍，没有滋生土壤，无毒可杀让手机杀毒应用难以运转，移动互联网基本没有专业杀毒软件的立足之地，打着“手机杀毒”牌的网秦上市则成为中概股的笑话。

优化工具泛安全：第二阶段是所谓的泛安全，让用户用手机更爽就是泛安全——这也变相说明传统的安全无事可做。早期配置是瓶颈时大家拼的是优化，内存优化、电池优化，各种优化；随后进入手机清理、防骚扰、权限管理等为主的“隐私”类阶段，猎豹脱颖而出。

财产安全是移动安全的痛点：随着移动电商和移动支付的兴起，进入财产安全时代，流量监控、防盗防丢、防诈骗、防扣费等等功能开始出现，“XX神器”让人们害怕，还是因为它让人们损失通讯费，其次才是隐私数据泄露、可能引发的账户信息泄露。说到这，百度手机卫士自发布以来就把“防恶意扣费”、“支付安全”定位为核心功能，应该是想明白了的。而自今年315以来，随着百度提出“安全支付保赔”概念后，腾讯、360也纷纷将目标转向保护用户的财产安全。

安全影响物理世界：后移动互联网时代是智能硬件时代，实体世界与网络世界，软件与硬件，线上和线下充分融合。黑客入侵智能家居系统控制家电，入侵车联网去控制汽车，在你的手环植入后门程序监控你的行踪……就在最近温州有线电视便被入侵了，正是因为互联网与传统实体网络的融合才会给予黑客可趁之机。想必未来这样的安全隐患会越来越多，面向智能硬件或者物理世界的安全厂商有巨大的机会。

恶意软件只是“猫”：“XX神器”被国家互联网应急中心定义为“恶意软件”，但手机上最大的问题不是恶意软件，因为恶意软件是可以被检测的。“大老虎”是看上去正常实际上却侵害隐秘的服务。

1、ROM（系统层面的安全）是第一个老虎。系统自己有问题，基于它的生态的安全无从谈起。例如一些小众ROM，留着一些后门，手机成了天然的肉鸡。最近被曝光的苹果和安卓问题也是系统层面的。

2、第二个老虎是分发商。AppStore这种家长式的、集中控制的显然没有安全隐忧—前提是苹果没问题、用户没越狱。安卓的分发也在向百度、小米等寡头高度集中，分发巨头没问题，基本就可控制源头。“XX神器”就是因为绕过了应用分发体系，基于“短信+社交”的去中心化分发才出现问题，但这并不常见。如果应用市场本身有问题，例如一些小众市场，那就麻烦了。

3、第三个老虎是云端应用。它们对手机本地的权限有限，但用户却给这些应用给了很多权限，进而将自己的数据交给它们不断同步，甚至实时同步。如果这些应用云端出了问题，用户还是会面临巨大的安全危机。一个例子是秘密此前被爆出的安全漏洞，将会导致大家的真实身份泄露。虽然最后并未发生，但还是让不少在秘密乱吐槽的惊出一声冷汗。

最大的老虎一定来自正常系统或软件。平时你根本不知道它们会威胁你，一出事就不得了，比“XX神器”危害大多了。而这些都是安全软件解决不了的，只能基于众包的方式，人肉发现之后到乌云等平台举报知会厂商快速升级，充分发挥群众的力量带来一个相对安全的移动世界。

SuperSofter是阿超运营的公众账号，WeMedia早期成员。