早在“七夕”當(dāng)天,超級手機(jī)病毒“**神器”突然大規(guī)模蔓延,群發(fā)500萬條詐騙短信�,按每條短信0 .1元計(jì)算,相當(dāng)於造成中招手機(jī)用戶50萬的話費(fèi)損失���。而“**神器”的製作者李某只是某大學(xué)軟體係大一學(xué)生����,這一蔓延全國��、造成巨大經(jīng)濟(jì)損失的手機(jī)病毒事件��,為近期愈演愈烈的智慧手機(jī)安全問題再蒙一層陰影��。據(jù)獵豹移動(dòng)上半年安全數(shù)據(jù)報(bào)告顯示����,2440萬個(gè)安卓應(yīng)用樣本有215萬個(gè)病毒,是2012全年的20 .5倍���。也就是説���,10個(gè)應(yīng)用裏有1個(gè)是病毒�����。360安全專家萬仁國告訴記者���,“安卓手機(jī)開發(fā)門檻低,惡意軟體製作成本低�,這種安全威脅不在少數(shù)?����!迸c此同時(shí)����,資訊安全問題也再次被提上日程,小米手機(jī)日前被曝主動(dòng)向北京伺服器發(fā)送用戶號碼及相關(guān)資訊����,小米手機(jī)開頭並未承認(rèn),而此後���,亦是輕描淡寫地宣稱“已經(jīng)修復(fù)漏洞”。
第三方下載市場是重災(zāi)區(qū)
比起只能接收短信、電話通訊的功能機(jī)��,2010年開始大爆發(fā)的智慧手機(jī)擁有更多延伸功能��,無論在操作體驗(yàn)還是應(yīng)用範(fàn)圍都有了質(zhì)的飛躍���,受到的安全威脅亦更加嚴(yán)峻���。萬仁國告訴記者,“功能機(jī)時(shí)代的危害主要是單純的詐騙�����、垃圾短信電話等通信安全���,傳播性及破壞性較弱�����;而智慧機(jī)時(shí)代則增加了手機(jī)系統(tǒng)安全��、隱私安全���、手機(jī)應(yīng)用安全等安全威脅����?���!?/p>
與此同時(shí),相比安卓智慧手機(jī)���,iO S系統(tǒng)安全性則受到各大安全廠商的認(rèn)可�����?�!敖衲昝襟w報(bào)道的iO S系統(tǒng)竊取並上傳用戶資訊的新聞個(gè)人覺得未經(jīng)證實(shí)�,不能作為判斷依據(jù)�。iO S作為封閉市場,應(yīng)用安全性明顯好於安卓系統(tǒng)�����?�!鲍C豹安全專家李鐵軍如是表示����。據(jù)卡巴斯基安全實(shí)驗(yàn)室數(shù)據(jù)顯示�����,98%的智慧手機(jī)病毒發(fā)生在安卓手機(jī)市場上。
儘管各大安全廠商統(tǒng)計(jì)口徑及樣本選取不同�,但主要安卓威脅分析基本一致:主要的威脅來源是手機(jī)論壇及第三方下載市場,類似于“**神器”這種“點(diǎn)對點(diǎn)”的A PK傳播相對少數(shù)�;主要表現(xiàn)為短信木馬、廣告軟體和獲得root許可權(quán)���,竊取上傳用戶數(shù)據(jù)�,其中�,用戶數(shù)據(jù)最易受到攻擊;主要的類別是惡意付費(fèi)類��、資費(fèi)消耗類以及竊取隱私��。
不同於iO S的應(yīng)用下載官方渠道���,安卓可以通過第三方市場下載��,而在沒有g(shù)oogleplay的中國市場�����,這個(gè)問題則更甚���?�!暗谌较螺d市場審核不嚴(yán)���,沒有制度保障,是病毒重災(zāi)區(qū)�����。60%的病毒來源於此��?��!崩铊F軍認(rèn)為�����,第三方下載市場應(yīng)該通過聯(lián)合設(shè)立黑名單的形式強(qiáng)化制度保障���?����!安荒芤粋€(gè)惡意軟體換個(gè)名字���,在另一個(gè)下載市場又通過審核?�!?/p>
手機(jī)網(wǎng)銀病毒增長最快
“值得關(guān)注的是���,隨著手機(jī)購物和手機(jī)支付應(yīng)用的快速發(fā)展,以盜竊用戶網(wǎng)銀資訊為目的的手機(jī)木馬病毒開始興起��?�!笨ò退够苿?dòng)安全部負(fù)責(zé)人徐新華告訴記者�����,2013年底��,以竊取手機(jī)網(wǎng)銀授權(quán)碼為目的的變異病毒ZeuS在歐洲蔓延�,盜取金額達(dá)4700萬美元。李鐵軍補(bǔ)充説���,“這種盜取驗(yàn)證碼的病毒是今年增長最快的惡意軟體��?���!鄙习肽甑牟《緲颖局校?4%的病毒是支付及惡意扣費(fèi)類�,而類似于“**神器”的資費(fèi)消耗類則降為17%。
騰訊安全2014年上半年報(bào)告稱���,“目前手機(jī)支付病毒一般通過兩種智慧化的方式搶劫用戶資金����。首先���,通過偽裝銀行���、支付類A PP誘導(dǎo)用戶輸入銀行賬號密碼資訊,然後再通過病毒攔截�����、轉(zhuǎn)發(fā)手機(jī)支付驗(yàn)證碼、支付成功回執(zhí)短信完成資金的竊取����。”
同時(shí)���,手機(jī)網(wǎng)銀客戶端的盜版問題同樣嚴(yán)重����。據(jù)《2014年第二期中國移動(dòng)支付安全報(bào)告》顯示����,手機(jī)網(wǎng)銀客戶端軟體均存在盜版現(xiàn)象��,個(gè)別客戶端甚至有20個(gè)以上不同的盜版版本�,這客觀上又增加了手機(jī)安全的潛在威脅。李鐵軍認(rèn)為����,銀行應(yīng)該與安全廠商合作,通過簽名校驗(yàn)或加固處理等形式����,提高盜版軟體篡改的難度。
數(shù)據(jù)上傳的“紅與黑”
“數(shù)據(jù)上傳是把雙刃劍,可以方便我們資訊保管���,例如微信�,雲(yún)端存儲(chǔ)聊天內(nèi)容���,方便我們查詢資訊�����,但一旦被竊取並惡意利用�����,同樣也會(huì)對用戶造成傷害�����?���!毙旖▏鴣K不否認(rèn)數(shù)據(jù)讀取及上傳對軟體功能的輔助作用�,但很多應(yīng)用過度讀取資訊,殺毒軟體則以“必要與否”判斷是否為惡意軟體�。“比如手電筒A PP就沒必要讀取用戶地理資訊及通訊錄,甚至上傳數(shù)據(jù)����。”
但“必要性”的界定如此模糊�����,更多時(shí)候需要法律的監(jiān)管�����?����!罢訌?qiáng)立法監(jiān)管�����,一方面從源頭治理隱私倒賣産業(yè)鏈���,另一方面在應(yīng)用分發(fā)渠道層層設(shè)崗?����!毙旖▏缡潜硎尽?/p>
“竊取用戶資訊的基本判斷條件是:用戶是否具有知情權(quán)及選擇權(quán)�。”廣東人和律師事務(wù)所律師李軍紅告訴記者��,目前沒有專門的法律保護(hù)用戶隱私���,但用戶可以運(yùn)用《民法通則》的規(guī)定來��,運(yùn)用舉證責(zé)任倒置的原則來厘定是否非法�?����!坝脩艏词箾]有因?yàn)橘Y訊洩露而造成損失��,倘若用戶不知道其個(gè)人資訊被利用造成商業(yè)利益���,同樣被視為非法��?���!蓖瑫r(shí),李軍紅還表示��,如果作業(yè)系統(tǒng)不是人為故意造成系統(tǒng)漏洞���,則視為技術(shù)問題無需負(fù)相關(guān)責(zé)任����。
?����。ú蓪懀耗隙加浾卟梯x 實(shí)習(xí)生李益明方圓圓)
