早在“七夕”当天,超级手机病毒“**神器”突然大规模蔓延,群发500万条诈骗短信,按每条短信0 .1元计算,相当于造成中招手机用户50万的话费损失。而“**神器”的制作者李某只是某大学软件系大一学生,这一蔓延全国、造成巨大经济损失的手机病毒事件,为近期愈演愈烈的智能手机安全问题再蒙一层阴影。据猎豹移动上半年安全数据报告显示,2440万个安卓应用样本有215万个病毒,是2012全年的20 .5倍。也就是说,10个应用里有1个是病毒。360安全专家万仁国告诉记者,“安卓手机开发门槛低,恶意软件制作成本低,这种安全威胁不在少数。”与此同时,信息安全问题也再次被提上日程,小米手机日前被曝主动向北京服务器发送用户号码及相关信息,小米手机开头并未承认,而此后,亦是轻描淡写地宣称“已经修复漏洞”。
第三方下载市场是重灾区
比起只能接收短信、电话通讯的功能机,2010年开始大爆发的智能手机拥有更多延伸功能,无论在操作体验还是应用范围都有了质的飞跃,受到的安全威胁亦更加严峻。万仁国告诉记者,“功能机时代的危害主要是单纯的诈骗、垃圾短信电话等通信安全,传播性及破坏性较弱;而智能机时代则增加了手机系统安全、隐私安全、手机应用安全等安全威胁。”
与此同时,相比安卓智能手机,iO S系统安全性则受到各大安全厂商的认可。“今年媒体报道的iO S系统窃取并上传用户信息的新闻个人觉得未经证实,不能作为判断依据。iO S作为封闭市场,应用安全性明显好于安卓系统。”猎豹安全专家李铁军如是表示。据卡巴斯基安全实验室数据显示,98%的智能手机病毒发生在安卓手机市场上。
尽管各大安全厂商统计口径及样本选取不同,但主要安卓威胁分析基本一致:主要的威胁来源是手机论坛及第三方下载市场,类似于“**神器”这种“点对点”的A PK传播相对少数;主要表现为短信木马、广告软件和获得root权限,窃取上传用户数据,其中,用户数据最易受到攻击;主要的类别是恶意付费类、资费消耗类以及窃取隐私。
不同于iO S的应用下载官方渠道,安卓可以通过第三方市场下载,而在没有googleplay的中国市场,这个问题则更甚。“第三方下载市场审核不严,没有制度保障,是病毒重灾区。60%的病毒来源于此。”李铁军认为,第三方下载市场应该通过联合设立黑名单的形式强化制度保障。“不能一个恶意软件换个名字,在另一个下载市场又通过审核。”
手机网银病毒增长最快
“值得关注的是,随着手机购物和手机支付应用的快速发展,以盗窃用户网银信息为目的的手机木马病毒开始兴起。”卡巴斯基移动安全部负责人徐新华告诉记者,2013年底,以窃取手机网银授权码为目的的变异病毒ZeuS在欧洲蔓延,盗取金额达4700万美元。李铁军补充说,“这种盗取验证码的病毒是今年增长最快的恶意软件。”上半年的病毒样本中,64%的病毒是支付及恶意扣费类,而类似于“**神器”的资费消耗类则降为17%。
腾讯安全2014年上半年报告称,“目前手机支付病毒一般通过两种智能化的方式抢劫用户资金。首先,通过伪装银行、支付类A PP诱导用户输入银行账号密码信息,然后再通过病毒拦截、转发手机支付验证码、支付成功回执短信完成资金的窃取。”
同时,手机网银客户端的盗版问题同样严重。据《2014年第二期中国移动支付安全报告》显示,手机网银客户端软件均存在盗版现象,个别客户端甚至有20个以上不同的盗版版本,这客观上又增加了手机安全的潜在威胁。李铁军认为,银行应该与安全厂商合作,通过签名校验或加固处理等形式,提高盗版软件篡改的难度。
数据上传的“红与黑”
“数据上传是把双刃剑,可以方便我们信息保管,例如微信,云端存储聊天内容,方便我们查询信息,但一旦被窃取并恶意利用,同样也会对用户造成伤害。”徐建国并不否认数据读取及上传对软件功能的辅助作用,但很多应用过度读取信息,杀毒软件则以“必要与否”判断是否为恶意软件。“比如手电筒A PP就没必要读取用户地理信息及通讯录,甚至上传数据。”
但“必要性”的界定如此模糊,更多时候需要法律的监管。“政府加强立法监管,一方面从源头治理隐私倒卖产业链,另一方面在应用分发渠道层层设岗。”徐建国如是表示。
“窃取用户信息的基本判断条件是:用户是否具有知情权及选择权。”广东人和律师事务所律师李军红告诉记者,目前没有专门的法律保护用户隐私,但用户可以运用《民法通则》的规定来,运用举证责任倒置的原则来厘定是否非法。“用户即使没有因为信息泄露而造成损失,倘若用户不知道其个人信息被利用造成商业利益,同样被视为非法。”同时,李军红还表示,如果操作系统不是人为故意造成系统漏洞,则视为技术问题无需负相关责任。
(采写:南都记者蔡辉 实习生李益明方圆圆)
[责任编辑: 林天泉]