安卓暴露多重安全隐患
腾讯移动安全实验室近日发布的《2013年上半年手机安全报告》显示,今年上半年,安卓系统新增染毒手机用户数达3819.6万,平均每月有653 .1万台安卓手机“中招”。专家指出,安卓系统的开放特性,导致系统版本过多、软件下载渠道失控、手机应用缺乏有效审核等多重问题。层出不穷的恶意软件不仅严重破坏了安卓系统的生态体系,也对用户的信息、财产安全构成严重威胁,亟须引起用户的警惕和相关部门的注意。
安卓暴露多重安全隐患
随着《2013年上半年手机安全报告》的陆续发布,安卓系统的安全问题再次引发关注。国家网络信息安全技术研究所的检测报告亦显示,今年二季度,在抽取的18万款安卓应用中,约六成应用存在可疑行为。
专家指出,在安卓手机快速普及的同时,安卓系统正暴露越来越多的安全隐患。
首先,窃取用户个人信息。国家网络信息安全技术研究所对市面上主要的安卓手机非官方应用商店进行检测发现,在抽取的18万个应用样本中,恶意应用占到了11%,这些应用包括鳄鱼爱洗澡、手电筒、sky省钱电话等常用软件,其共同特征是可在用户没有允许的情况下窃取密码、通讯录等极其私密的信息。另外,约六成应用存在可疑行为,这些应用能够得到用户的设备ID、具体位置信息,甚至能自动连接网络、开启蓝牙。
南开大学信息技术科学学院副教授史广顺指出,许多安卓应用都会要求读取用户通讯录、短信、通话记录、地理位置等私密信息,其中一些会强制用户授权(不授权就无法安装),一些甚至不经用户授权就直接窃取。这些被窃取的信息极有可能被用于黑市交易,给安卓用户的个人信息安全带来极大隐患。
其次,窃取用户话费。易观智库统计发现,今年上半年截获的安卓手机病毒中,约35.7%的病毒具有消耗资费能力,其中有一些还可以在用户不知情的情况下进行恶意扣费。
艾媒咨询CEO张毅指出,恶意软件实现暗中扣费,主要是与违规SP相结合,在用户不经意的情况下“替”用户开通SP服务。由于三大运营商往往会对用户发送确认短信,以确认用户自愿开通服务,一些恶意软件还会直接屏蔽运营商的短信。另据了解,一些恶意软件还会与指定垃圾短信相结合,自动回复代码,订购SP服务。
第三,强制推送浮窗广告、通知栏广告。据了解,“云端恶意广告指令类病毒”在今年上半年迅速蔓延,制毒机构可针对知名应用的指定页面强行显示浮窗广告,不仅消耗用户的流量,还会极大地伤害用户的使用体验。
除此之外,一些恶意软件还会在安卓手机的通知栏强制推送广告。网秦手机安全专家邹仕洪告诉记者,安卓通知栏是安卓系统专门开辟的系统消息通知区,用于展示诸如软件更新、邮件提示等信息。一些应用开发者利用安卓系统这一特点,强制进行广告推广。当用户打开该应用或手机处于待机状态时,通知栏强制弹出,展示广告或提示,引导用户点击下载其它应用程序。而由于用户不知道这些“弹窗广告”是那个应用触发的,往往想删软件也无从下手。
安卓恶意应用如何传播
据了解,我国大部分安卓手机用户都会使用百度应用、91手机助手、360手机助手等第三方应用商店安装手机应用。尽管这些第三方应用商店都自称严格审核,但效果却不尽如人意。
史广顺指出,我国并未建立第三方应用商店的标准和规范,现有的应用商店鱼龙混杂。由于各应用商店普遍追求规模、下载量和市场份额,在安卓应用整体安全程度较低的情况下,各应用商店都没有动力对数量庞大的安卓应用进行严格筛选。由此导致许多恶意软件都得以通过应用商城进行传播扩散。
值得注意的是,在国内一些应用商店中,还存在许多流行软件的“山寨版本”。这些“山寨植物打僵尸”、“山寨涂鸦跳跃”在外观上可以以假乱真,但被植入了病毒代码或广告插件,用户在真假难辨的 情 况 下 一 旦 下 载 , 就 会 “ 中招”,在不知不觉中消耗大量手机流量和资费。更有甚者,由于许多安卓手机已经获得了R O O T权限,一些恶意软件还可以“自我繁衍”———在用户不知情的情况下,接受“云端指令”,在后台安装其他的恶意软件。
除了第三方应用商店,安卓用户的“刷机热”也是安卓手机容易“中招”的重要原因。邹仕洪告诉记者,许多安卓用户都出于提升手机性能、更换手机操作界面等原因选择了刷机,而并没有认识到刷机的危害性———许多恶意软件都潜伏在ROM刷机包中,借刷机来传播,用户在完成刷机的同时,也在不知不觉中“中招”。另外,许多水货手机在用户买到手时就是被刷过机的,其中预装了大量的垃圾软件甚至恶意软件。
谁来给安卓手机安全把关
南开大学信息技术科学学院副教授史广顺认为,从理论上讲,技术体系越开放,提供安全服务的厂商就越多,系统也就越安全;但在现实中,安卓系统作为一个开放平台,系统版本过多,对应用下载渠道难以把控,反而导致安卓系统成为恶意手机应用的重灾区。
专家指出,优化安卓系统的安全环境,仍然需要多方面共同努力。
首先,进一步完善立法,严厉打击手机窃密行为。据了解,工信部已于2012年6月初发布《关于加强移动智能终端进网管理的通知》(征求意见稿),对终端设备的制造商进行约束,但目前尚未有相应法规对应用程序的开发者进行监管。什么信息可以读取,什么信息不能读取,在法律层面并不明确。
南开大学信息安全系主任贾春福表示,智能手机中包含大量的个人信息,且手机天然联网的特性导致其无法通过物理隔离的方式来防止信息被窃。相关部门必须尽快制定相关法规,明确应用开发者权限,严禁手机应用“越界”读取用户信息。对于窃取用户信息用于非法目的的行为,必须严惩。
其次,整顿第三方应用商城。史广顺认为,第三方应用商城已成为恶意软件最重要的传播渠道。相关部门应建立严格的标准和规范,对各应用商店进行严格审查,并对违规传播恶意应用的应用商城进行相应惩罚,以此促使各应用商店更好地筛选手机应用。
第三,用户应培养正确的使用习惯。张毅指出,在安卓应用整体安全程度偏低的情况下,用户也应提高警惕,养成正确的使用习惯。不要轻易获取安卓系统的最高权限,不要轻易刷机,尽量选择官方应用商店以及正规的第三方应用商店下载手机软件。
脸谱有赏找漏洞
北京时间8月3日早间消息,Facebook周五宣布,在“Bug Bounty”找漏洞项目中,已向329名信息安全研究人员发放了100万美元奖金。Facebook于两年前启动了这一项目。Facebook表示,这些研究人员来自51个国家,而其中只有20%奖金被发放给了美国国内的研究者。获得奖金最多的5个国家分别为美国、印度、英国、土耳其和德国,而奖金增长速度最快的10个国家分别为美国、印度、土耳其、以色列、加拿大、德国、巴基斯坦、埃及、巴西和瑞典。
Facebook表示,这一项目比该公司最初预期中更成功。目前,Facebook已将两名奖金获得者聘请为信息安全团队的全职员工。
Facebook信息安全工程师科林·格林(Collin Greene)在一份公告中称:“这一初步进展令人鼓舞。对于确保Facebook的安全,这样的项目能带来巨大影响。毕竟,无论我们对信息安全的投入有多少,我们的团队永远都不可能拥有世界上全部最聪明的人才,也无法以所有方式去看待一个非常复杂,存在漏洞的系统。Bug Bounty项目帮助我们利用拥有各种不同背景,来自全世界的人才以及他们看待问题的角度。”
Facebook计划继续扩大这一项目,但此次并未公布未来的具体计划。目前,在确定应当为某一漏洞向研究者提供多少奖金时,Facebook通常会考虑4方面因素,分别为漏洞的影响、漏洞报告的质量、漏洞针对的目标,以及是否有助于发现更多漏洞。
谷歌和Mozilla目前也在开展找漏洞项目,微软近期也加入其中。
网友评论