 |
|
| 資料照片 |
|
騰訊移動安全實驗室近日發(fā)布的《2013年上半年手機安全報告》顯示,,今年上半年,,安卓系統(tǒng)新增染毒手機用戶數(shù)達3819.6萬,平均每月有653.1萬臺安卓手機“中招”。專家指出,,安卓系統(tǒng)的開放特性,導致系統(tǒng)版本過多,、軟件下載渠道失控,、手機應用缺乏有效審核等多重問題。層出不窮的惡意軟件不僅嚴重破壞了安卓系統(tǒng)的生態(tài)體系,,也對用戶的信息,、財產(chǎn)安全構成嚴重威脅,亟須引起用戶的警惕和相關部門的注意,。
安卓暴露多重安全隱患
隨著《2013年上半年手機安全報告》的陸續(xù)發(fā)布,,安卓系統(tǒng)的安全問題再次引發(fā)關注。國家網(wǎng)絡信息安全技術研究所的檢測報告亦顯示,,今年二季度,,在抽取的18萬款安卓應用中,約六成應用存在可疑行為,。
專家指出,,在安卓手機快速普及的同時,安卓系統(tǒng)正暴露越來越多的安全隱患,。
首先,,竊取用戶個人信息。國家網(wǎng)絡信息安全技術研究所對市面上主要的安卓手機非官方應用商店進行檢測發(fā)現(xiàn),,在抽取的18萬個應用樣本中,,惡意應用占到了11%,這些應用包括鱷魚愛洗澡,、手電筒,、sky省錢電話等常用軟件,其共同特征是可在用戶沒有允許的情況下竊取密碼,、通訊錄等極其私密的信息,。另外,約六成應用存在可疑行為,,這些應用能夠得到用戶的設備ID,、具體位置信息,甚至能自動連接網(wǎng)絡,、開啟藍牙,。
南開大學信息技術科學學院副教授史廣順指出,許多安卓應用都會要求讀取用戶通訊錄、短信,、通話記錄,、地理位置等私密信息,其中一些會強制用戶授權(不授權就無法安裝),,一些甚至不經(jīng)用戶授權就直接竊取,。這些被竊取的信息極有可能被用于黑市交易,給安卓用戶的個人信息安全帶來極大隱患,。
其次,,竊取用戶話費。易觀智庫統(tǒng)計發(fā)現(xiàn),,今年上半年截獲的安卓手機病毒中,,約35.7%的病毒具有消耗資費能力,其中有一些還可以在用戶不知情的情況下進行惡意扣費,。
艾媒咨詢CEO張毅指出,,惡意軟件實現(xiàn)暗中扣費,主要是與違規(guī)SP相結合,,在用戶不經(jīng)意的情況下“替”用戶開通SP服務,。由于三大運營商往往會對用戶發(fā)送確認短信,以確認用戶自愿開通服務,,一些惡意軟件還會直接屏蔽運營商的短信,。另據(jù)了解,,一些惡意軟件還會與指定垃圾短信相結合,,自動回復代碼,訂購SP服務,。
第三,,強制推送浮窗廣告、通知欄廣告,。據(jù)了解,,“云端惡意廣告指令類病毒”在今年上半年迅速蔓延,制毒機構可針對知名應用的指定頁面強行顯示浮窗廣告,,不僅消耗用戶的流量,,還會極大地傷害用戶的使用體驗。
除此之外,,一些惡意軟件還會在安卓手機的通知欄強制推送廣告,。網(wǎng)秦手機安全專家鄒仕洪告訴記者,安卓通知欄是安卓系統(tǒng)專門開辟的系統(tǒng)消息通知區(qū),,用于展示諸如軟件更新,、郵件提示等信息。一些應用開發(fā)者利用安卓系統(tǒng)這一特點,強制進行廣告推廣,。當用戶打開該應用或手機處于待機狀態(tài)時,,通知欄強制彈出,展示廣告或提示,,引導用戶點擊下載其它應用程序,。而由于用戶不知道這些“彈窗廣告”是那個應用觸發(fā)的,往往想刪軟件也無從下手,。
安卓惡意應用如何傳播
據(jù)了解,,我國大部分安卓手機用戶都會使用百度應用、91手機助手,、360手機助手等第三方應用商店安裝手機應用,。盡管這些第三方應用商店都自稱嚴格審核,但效果卻不盡如人意,。
史廣順指出,,我國并未建立第三方應用商店的標準和規(guī)范,現(xiàn)有的應用商店魚龍混雜,。由于各應用商店普遍追求規(guī)模,、下載量和市場份額,在安卓應用整體安全程度較低的情況下,,各應用商店都沒有動力對數(shù)量龐大的安卓應用進行嚴格篩選,。由此導致許多惡意軟件都得以通過應用商城進行傳播擴散。
值得注意的是,,在國內(nèi)一些應用商店中,,還存在許多流行軟件的“山寨版本”。這些“山寨植物打僵尸”,、“山寨涂鴉跳躍”在外觀上可以以假亂真,,但被植入了病毒代碼或廣告插件,用戶在真假難辨的情況下一旦下載,,就會“中招”,,在不知不覺中消耗大量手機流量和資費。更有甚者,,由于許多安卓手機已經(jīng)獲得了ROOT權限,,一些惡意軟件還可以“自我繁衍”——在用戶不知情的情況下,接受“云端指令”,,在后臺安裝其他的惡意軟件,。
除了第三方應用商店,安卓用戶的“刷機熱”也是安卓手機容易“中招”的重要原因,。鄒仕洪告訴記者,,許多安卓用戶都出于提升手機性能,、更換手機操作界面等原因選擇了刷機,而并沒有認識到刷機的危害性——許多惡意軟件都潛伏在ROM刷機包中,,借刷機來傳播,,用戶在完成刷機的同時,也在不知不覺中“中招”,。另外,,許多水貨手機在用戶買到手時就是被刷過機的,其中預裝了大量的垃圾軟件甚至惡意軟件,。
誰來給安卓手機安全把關
南開大學信息技術科學學院副教授史廣順認為,,從理論上講,技術體系越開放,,提供安全服務的廠商就越多,,系統(tǒng)也就越安全;但在現(xiàn)實中,,安卓系統(tǒng)作為一個開放平臺,,系統(tǒng)版本過多,對應用下載渠道難以把控,,反而導致安卓系統(tǒng)成為惡意手機應用的重災區(qū),。
專家指出,優(yōu)化安卓系統(tǒng)的安全環(huán)境,,仍然需要多方面共同努力,。
首先,進一步完善立法,,嚴厲打擊手機竊密行為,。據(jù)了解,工信部已于2012年6月初發(fā)布《關于加強移動智能終端進網(wǎng)管理的通知》(征求意見稿),,對終端設備的制造商進行約束,,但目前尚未有相應法規(guī)對應用程序的開發(fā)者進行監(jiān)管,。什么信息可以讀取,,什么信息不能讀取,在法律層面并不明確,。
南開大學信息安全系主任賈春福表示,,智能手機中包含大量的個人信息,且手機天然聯(lián)網(wǎng)的特性導致其無法通過物理隔離的方式來防止信息被竊,。相關部門必須盡快制定相關法規(guī),,明確應用開發(fā)者權限,嚴禁手機應用“越界”讀取用戶信息,。對于竊取用戶信息用于非法目的的行為,,必須嚴懲。
其次,整頓第三方應用商城,。史廣順認為,,第三方應用商城已成為惡意軟件最重要的傳播渠道。相關部門應建立嚴格的標準和規(guī)范,,對各應用商店進行嚴格審查,,并對違規(guī)傳播惡意應用的應用商城進行相應懲罰,以此促使各應用商店更好地篩選手機應用,。
第三,,用戶應培養(yǎng)正確的使用習慣。張毅指出,,在安卓應用整體安全程度偏低的情況下,,用戶也應提高警惕,養(yǎng)成正確的使用習慣,。不要輕易獲取安卓系統(tǒng)的最高權限,,不要輕易刷機,盡量選擇官方應用商店以及正規(guī)的第三方應用商店下載手機軟件,。