近期,一款具备自主任务执行能力的智能软件在国内多个云平台开放部署,其便捷性引发用户追捧。然而,国家互联网应急中心监测发现,伴随该软件普及的第三方代安装服务正成为新型网络安全洼地。 问题显现 该软件为实现复杂功能需获取文件访问、环境变量读取等高危权限,但默认安全防护机制存在明显缺陷。安全机构测试显示——攻击者可轻易突破权限隔离——实现系统级控制。更严峻的是,约78%的用户因技术门槛选择代安装服务,其中超四成服务商被检出违规操作。 风险溯源 DARKNAVY安全团队首席研究员指出,乱象主要源于三重漏洞:一是部分服务商在安装包中捆绑窃密木马;二是为规避兼容问题,普遍使用已停更的旧版本,内含至少3个已知高危漏洞;三是密钥管理失控,超90%的代安装商采用明文存储用户凭证。今年1月某电商平台泄露的12万条订单数据,即与某代安装服务商的配置失误直接有关。 行业影响 此类风险已形成连锁反应。金融、医疗等行业的十余家机构近期遭遇的供应链攻击中,攻击者均通过污染代安装渠道渗透内网。某省级政务云平台因违规接入第三方安装服务,导致2万台终端遭勒索病毒侵袭,直接经济损失超两千万元。 应对措施 国家互联网应急中心已启动三项应对机制:建立智能软件安全准入白名单,要求云服务商下架未经验证的安装镜像;联合工信部门开展代安装服务专项整治,重点打击非法提权行为;开通专项举报通道,鼓励企业上报供应链安全事件。中国计算机学会建议用户优先选择官方商店下载并开启沙盒运行模式。 未来研判 随着《网络安全法》配套细则即将修订,针对软件分发环节的审计要求预计将大幅提升。业内专家认为,此次事件暴露出新兴技术推广中的监管盲区,需建立从开发到部署的全生命周期安全管理体系。