您的位置:台灣網  >  經貿  >  IT  > 正文

智慧手機病毒集中爆發:第三方下載市場是重災區

2014-08-13 09:22 來源:南方都市報 字號:       轉發 列印

智慧手機病毒集中爆發:第三方下載市場是重災區

智慧手機病毒集中爆發:第三方下載市場是重災區

  早在“七夕”當天,超級手機病毒“**神器”突然大規模蔓延,群發500萬條詐騙短信,按每條短信0 .1元計算,相當於造成中招手機用戶50萬的話費損失。而“**神器”的製作者李某只是某大學軟體係大一學生,這一蔓延全國、造成巨大經濟損失的手機病毒事件,為近期愈演愈烈的智慧手機安全問題再蒙一層陰影。據獵豹移動上半年安全數據報告顯示,2440萬個安卓應用樣本有215萬個病毒,是2012全年的20 .5倍。也就是説,10個應用裏有1個是病毒。360安全專家萬仁國告訴記者,“安卓手機開發門檻低,惡意軟體製作成本低,這種安全威脅不在少數。”與此同時,資訊安全問題也再次被提上日程,小米手機日前被曝主動向北京伺服器發送用戶號碼及相關資訊,小米手機開頭並未承認,而此後,亦是輕描淡寫地宣稱“已經修復漏洞”。

  第三方下載市場是重災區

  比起只能接收短信、電話通訊的功能機,2010年開始大爆發的智慧手機擁有更多延伸功能,無論在操作體驗還是應用範圍都有了質的飛躍,受到的安全威脅亦更加嚴峻。萬仁國告訴記者,“功能機時代的危害主要是單純的詐騙、垃圾短信電話等通信安全,傳播性及破壞性較弱;而智慧機時代則增加了手機系統安全、隱私安全、手機應用安全等安全威脅。”

  與此同時,相比安卓智慧手機,iO S系統安全性則受到各大安全廠商的認可。“今年媒體報道的iO S系統竊取並上傳用戶資訊的新聞個人覺得未經證實,不能作為判斷依據。iO S作為封閉市場,應用安全性明顯好於安卓系統。”獵豹安全專家李鐵軍如是表示。據卡巴斯基安全實驗室數據顯示,98%的智慧手機病毒發生在安卓手機市場上。

  儘管各大安全廠商統計口徑及樣本選取不同,但主要安卓威脅分析基本一致:主要的威脅來源是手機論壇及第三方下載市場,類似于“**神器”這種“點對點”的A PK傳播相對少數;主要表現為短信木馬、廣告軟體和獲得root許可權,竊取上傳用戶數據,其中,用戶數據最易受到攻擊;主要的類別是惡意付費類、資費消耗類以及竊取隱私。

  不同於iO S的應用下載官方渠道,安卓可以通過第三方市場下載,而在沒有googleplay的中國市場,這個問題則更甚。“第三方下載市場審核不嚴,沒有制度保障,是病毒重災區。60%的病毒來源於此。”李鐵軍認為,第三方下載市場應該通過聯合設立黑名單的形式強化制度保障。“不能一個惡意軟體換個名字,在另一個下載市場又通過審核。”

  手機網銀病毒增長最快

  “值得關注的是,隨著手機購物和手機支付應用的快速發展,以盜竊用戶網銀資訊為目的的手機木馬病毒開始興起。”卡巴斯基移動安全部負責人徐新華告訴記者,2013年底,以竊取手機網銀授權碼為目的的變異病毒ZeuS在歐洲蔓延,盜取金額達4700萬美元。李鐵軍補充説,“這種盜取驗證碼的病毒是今年增長最快的惡意軟體。”上半年的病毒樣本中,64%的病毒是支付及惡意扣費類,而類似于“**神器”的資費消耗類則降為17%。

  騰訊安全2014年上半年報告稱,“目前手機支付病毒一般通過兩種智慧化的方式搶劫用戶資金。首先,通過偽裝銀行、支付類A PP誘導用戶輸入銀行賬號密碼資訊,然後再通過病毒攔截、轉發手機支付驗證碼、支付成功回執短信完成資金的竊取。”

  同時,手機網銀客戶端的盜版問題同樣嚴重。據《2014年第二期中國移動支付安全報告》顯示,手機網銀客戶端軟體均存在盜版現象,個別客戶端甚至有20個以上不同的盜版版本,這客觀上又增加了手機安全的潛在威脅。李鐵軍認為,銀行應該與安全廠商合作,通過簽名校驗或加固處理等形式,提高盜版軟體篡改的難度。

  數據上傳的“紅與黑”

  “數據上傳是把雙刃劍,可以方便我們資訊保管,例如微信,雲端存儲聊天內容,方便我們查詢資訊,但一旦被竊取並惡意利用,同樣也會對用戶造成傷害。”徐建國並不否認數據讀取及上傳對軟體功能的輔助作用,但很多應用過度讀取資訊,殺毒軟體則以“必要與否”判斷是否為惡意軟體。“比如手電筒A PP就沒必要讀取用戶地理資訊及通訊錄,甚至上傳數據。”

  但“必要性”的界定如此模糊,更多時候需要法律的監管。“政府加強立法監管,一方面從源頭治理隱私倒賣産業鏈,另一方面在應用分發渠道層層設崗。”徐建國如是表示。

  “竊取用戶資訊的基本判斷條件是:用戶是否具有知情權及選擇權。”廣東人和律師事務所律師李軍紅告訴記者,目前沒有專門的法律保護用戶隱私,但用戶可以運用《民法通則》的規定來,運用舉證責任倒置的原則來厘定是否非法。“用戶即使沒有因為資訊洩露而造成損失,倘若用戶不知道其個人資訊被利用造成商業利益,同樣被視為非法。”同時,李軍紅還表示,如果作業系統不是人為故意造成系統漏洞,則視為技術問題無需負相關責任。

  (采寫:南都記者蔡輝 實習生李益明方圓圓)

[責任編輯: 林天泉]

視 頻
  1. 浙江慣偷鈔票點煙被抓 稱“窮得只剩錢”

    浙江慣偷鈔票點煙被抓

      近日,浙江義烏一名男子在網上不斷炫富,還用百元大鈔點煙...

  2. 江宜樺重申徹查島內油品市場

    江宜樺重申徹查島內油品市場

    關注臺灣食品油事件

圖 片
    服務專區

    投資流程辦事指南往來手續聯繫我們Q&A

    關於我們 | 本網動態 | 轉載申請 | 投稿郵箱 | 聯繫我們 | 版權申明 | 法律顧問
    京ICP證130248號 京公網安備110102003391
    網路傳播視聽節目許可證0107219號
    台灣網版權所有