该报告综合网秦“云安全”数据分析中心、网秦全球手机安全中心等部门的统计、研究数据和分析资料,针对2011第一季度全球Android手机安全形势发展进行统计、研究和分析。
安全隐患解读
5.途径:应用商店/"刷机包"成传播温床
感染途径方面,据网秦"云安全"数据分析中心统计,Android应用商店成为手机病毒、恶意软件的主要传播途径,超过57%的用户因此"中招"。17%的用户则因在"刷机"时不慎安装了被植入扣费软件的"刷机包"后感染,另有14%的用户通过WAP/WWW网站下载软件时感染,7%的用户通过蓝牙传输方式感染,3%的用户通过存储卡途径感染,2%的用户通过其它途径感染。
小贴士:何为"刷机"?何为"刷机包"?
"刷机"就是更新、升级手机操作系统。可以突破手机本来的限制,个性化自己的手机,可以DIY个性化手机,更改、替换机内的各图片、铃声、开关机画面及菜单字符等等。
"刷机包"则指将相应设定进行打包便于用户一次性安装的程序集,作者可将其打包到系统ROM镜像中,上传到相关论坛,网友直接下载批量安装后享受到全套应用服务。尽管相当方便,但因部分病毒作者会在"刷机包"中植入恶意扣费代码,故用户在下载安装后极易感染恶意软件。
超过57%的Android恶意软件通过应用商店感染手机用户
三、安全隐患解读
进入2011年,Android手机平台的安全性备受用户关注,据权威的市场调研机构Frost&Sullivan(沙利文)近期发布了《2011年中国手机安全产品市场白皮书》,报告显示:截至2010年底,Android应用程序数量已超过20万次,累计下载次数达到25亿个。但恶意软件比例也持续增长,目前在中国市场上,约有8%的Android应用程序存在各种恶意扣费的程序设置,"恶意扣费"行为一般在用户下载安装相应的应用软件过程中"自动"产生,用户很难觉察。
同时,Android手机存在的ROOT权限隐患、联网流量隐患和Android应用商店普遍存在的应用上传时的审核机制隐患以及Android应用存在的易被批量植入恶意代码的隐患等,也正在严重威胁Android用户的安全。
1.ROOT权限被轻易获取
众所周知,Android操作系统底层为Linux内核,ROOT是Linux超级管理员用户,具有最大的权限。在Android的安全设计中,默认情况下用户不具有ROOT权限。
但是,近年来,Android系统出现了多个可让用户获取ROOT权限的途径,例如:
1)默认情况下,系统不具有ROOT权限,而导致很多操作无法进行(如备份系统),用户为使用更方便,主动利用漏洞或者第三方提供的软件获取ROOT权限;
2)用户使用其他人自制的ROM刷机,而该ROM在制作时已经获取了ROOT权限,从而用户在不知情情况下具有了ROOT权限;
3)用户安装了某个恶意程序,该程序为了达到某种恶意目的,在用户不知情情况下获取了ROOT权限。
一旦获取了ROOT权限,不但可以做到应用程序的静默安装,还可以访问其他应用程序以及随意读写用户隐私数据,修改或删除非其他应用程序的文件等等,对用户的Android手机造成的安全隐患。
2.联网管理意识淡薄
随着移动互联网的发展,越来越多的应用需要频繁使用网络,如天气资讯与IM类软件;同时应用开发者在产品(尤其是免费产品)中植入了广告插件(如AdMob),而广告插件需要联网更新广告内容。这些导致用户在手机使用过程中流量大增,按照国内以流量为计费单位的方式,很容易让用户产生高额的流量费用。
但在Android手机系统中默认并不具备流量管理功能,且多数手机用户尚未养成实时管理上网流量的意识,用户很难察觉到是否超支或是否有恶意软件在恶意联网消耗流量。使得黑客有了在用户毫不知情的状态下,肆意上传隐私和实施扣费的机会。
3.应用发布前缺乏安全审核
作为用户下载Android应用的主要渠道,当前应用商店却正在成为恶意软件的传播温床。网秦《2011年第一季度全球Android手机安全报告》显示,超过57%的用户正在通过应用商店下载。伴随谷歌批量剔除数十款恶意软件等事件的发生,和国内多家Android商店爆出发现恶意软件的消息,应用商店安全性已愈发引起关注。
实际上,造成Android恶意软件肆意传播的原因在于当前应用商店存在的审核隐患。其中以GoogleMarket为例,如果用户要在GoogleMarket发布应用,用户首先需要注册,然后支付一定的费用后才能发布应用,如果要发布付费应用,还需要提供一个银行帐号,Google需要认证。这已经很大程度上规避了用户虚假身份信息。一旦出现法律问题,Google可以追究其法律责任。
但是Google在应用上架时,没有二次认证的审核流程,开发者上传后的APP会立刻发布,如果开发者发布了恶意应用,虽然被发现后会被下架,事后也可能会被追究法律责任,但是对在发布后和下架前的时间段内下载该软件的用户,已经造成了损失。由于开发者能够通过服务器控制客户端恶意行为的发作时间,在应用通过审核上架后再来激活恶意行为,即使通过审核也难以完全确保程序安全性。
4.批量植入恶意代码
与塞班平台不同,当前Android平台的恶意软件数量正在呈几何级增长,其中,部分插件在被发现时已累积植入到数十、乃至数百款普通应用软件之中。例如"安卓吸费王"病毒自2011年初被发现以后,累积植入到包括手机QQ、塔防等超过数百款Android应用软件之中。
究其原因,由于Android应用开发主要使用Java语言,Java语言本身反编译较为容易,恶意程序开发者可以反编译获取应用源码,继而修改原代码并植入恶意插件程序代码,最后再重新编译生成新应用程序包,采用该方式生成的新应用仍然保留了原应用的正常功能,从而具有较高的欺骗性。该方法可以批量进行,使得恶意软件(尤其是变种)的数目剧增。
同时,由于Android平台和塞班平台不同,缺乏全面的测试及数字签名验证机制,导致其批量植入恶意代码的成本被进一步降低,从而导致了如"安卓吸费王"等恶意程序的大面积泛滥。
对此,由于Android平台存在批量植入恶意代码的隐患,导致在渠道操控中一旦存在安全问题,用户下载应用时极易遭到感染,若未安装专业手机安全软件,将面临极大的安全风险。
网友评论