騰訊移動安全實驗室近日發佈的《2013年上半年手機安全報告》顯示,今年上半年,安卓系統新增染毒手機用戶數達3819.6萬,平均每月有653 .1萬台安卓手機“中招”。專家指出,安卓系統的開放特性,導致系統版本過多、軟體下載渠道失控、手機應用缺乏有效審核等多重問題。層出不窮的惡意軟體不僅嚴重破壞了安卓系統的生態體系,也對用戶的資訊、財産安全構成嚴重威脅,亟須引起用戶的警惕和相關部門的注意。
安卓暴露多重安全隱患
隨著《2013年上半年手機安全報告》的陸續發佈,安卓系統的安全問題再次引發關注。國家網路資訊安全技術研究所的檢測報告亦顯示,今年二季度,在抽取的18萬款安卓應用中,約六成應用存在可疑行為。
專家指出,在安卓手機快速普及的同時,安卓系統正暴露越來越多的安全隱患。
首先,竊取用戶個人資訊。國家網路資訊安全技術研究所對市面上主要的安卓手機非官方應用商店進行檢測發現,在抽取的18萬個應用樣本中,惡意應用佔到了11%,這些應用包括鱷魚愛洗澡、手電筒、sky省錢電話等常用軟體,其共同特徵是可在用戶沒有允許的情況下竊取密碼、通訊錄等極其私密的資訊。另外,約六成應用存在可疑行為,這些應用能夠得到用戶的設備ID、具體位置資訊,甚至能自動連接網路、開啟藍芽。
南開大學資訊技術科學學院副教授史廣順指出,許多安卓應用都會要求讀取用戶通訊錄、短信、通話記錄、地理位置等私密資訊,其中一些會強制用戶授權(不授權就無法安裝),一些甚至不經用戶授權就直接竊取。這些被竊取的資訊極有可能被用於黑市交易,給安卓用戶的個人資訊安全帶來極大隱患。
其次,竊取用戶話費。易觀智庫統計發現,今年上半年截獲的安卓手機病毒中,約35.7%的病毒具有消耗資費能力,其中有一些還可以在用戶不知情的情況下進行惡意扣費。
艾媒諮詢C E O張毅指出,惡意軟體實現暗中扣費,主要是與違規SP相結合,在用戶不經意的情況下“替”用戶開通SP服務。由於三大運營商往往會對用戶發送確認短信,以確認用戶自願開通服務,一些惡意軟體還會直接遮罩運營商的短信。另據了解,一些惡意軟體還會與指定垃圾短信相結合,自動回復代碼,訂購SP服務。
第三,強制推送浮窗廣告、通知欄廣告。據了解,“雲端惡意廣告指令類病毒”在今年上半年迅速蔓延,制毒機構可針對知名應用的指定頁面強行顯示浮窗廣告,不僅消耗用戶的流量,還會極大地傷害用戶的使用體驗。
除此之外,一些惡意軟體還會在安卓手機的通知欄強制推送廣告。網秦手機安全專家鄒仕洪告訴記者,安卓通知欄是安卓系統專門開闢的系統消息通知區,用於展示諸如軟體更新、郵件提示等資訊。一些應用開發者利用安卓系統這一特點,強制進行廣告推廣。當用戶打開該應用或手機處於待機狀態時,通知欄強制彈出,展示廣告或提示,引導用戶點擊下載其他應用程式。而由於用戶不知道這些“彈窗廣告”是那個應用觸發的,往往想刪軟體也無從下手。
安卓惡意應用如何傳播
據了解,我國大部分安卓手機用戶都會使用百度應用、91手機助手、360手機助手等第三方應用商店安裝手機應用。儘管這些第三方應用商店都自稱嚴格審核,但效果卻不盡如人意。
史廣順指出,我國並未建立第三方應用商店的標準和規範,現有的應用商店魚龍混雜。由於各應用商店普遍追求規模、下載量和市場份額,在安卓應用整體安全程度較低的情況下,各應用商店都沒有動力對數量龐大的安卓應用進行嚴格篩選。由此導致許多惡意軟體都得以通過應用商城進行傳播擴散。
值得注意的是,在國內一些應用商店中,還存在許多流行軟體的“山寨版本”。這些“山寨植物打僵屍”、“山寨塗鴉跳躍”在外觀上可以以假亂真,但被植入了病毒代碼或廣告插件,用戶在真假難辨的 情 況 下 一 旦 下 載 , 就 會 “ 中招”,在不知不覺中消耗大量手機流量和資費。更有甚者,由於許多安卓手機已經獲得了R O O T許可權,一 些 惡 意 軟 件 還 可 以 “ 自 我 繁衍”———在用戶不知情的情況下,接受“雲端指令”,在後臺安裝其他的惡意軟體。
除了第三方應用商店,安卓用戶的“刷機熱”也是安卓手機容易“中招”的重要原因。鄒仕洪告訴記者,許多安卓用戶都出於提升手機性能、更換手機操作界面等原因選擇了刷機,而並沒有認識到刷機的危害性———許多惡意軟體都潛伏在R O M 刷 機 包 中 , 借 刷 機 來 傳播,用戶在完成刷機的同時,也在不知不覺中“中招”。另外,許多水貨手機在用戶買到手時就是被刷過機的,其中預裝了大量的垃圾軟體甚至惡意軟體。
誰來給安卓手機安全把關
南開大學資訊技術科學學院副教授史廣順認為,從理論上講,技術體系越開放,提供安全服務的廠商就越多,系統也就越安全;但在現實中,安卓系統作為一個開放平臺,系統版本過多,對應用下載渠道難以把控,反而導致安卓系統成為惡意手機應用的重災區。
專家指出,優化安卓系統的安全環境,仍然需要多方面共同努力。
首先,進一步完善立法,嚴厲打擊手機竊密行為。據了解,工信部已于2012年6月初發佈《關於加強移動智慧終端進網管理的通知》(徵求意見稿),對終端設備的製造商進行約束,但目前尚未有相應法規對應用程式的開發者進行監管。什麼資訊可以讀取,什麼資訊不能讀取,在法律層面並不明確。
南開大學資訊安全系主任賈春福表示,智慧手機中包含大量的個人資訊,且手機天然聯網的特性導致其無法通過物理隔離的方式來防止資訊被竊。相關部門必須儘快制定相關法規,明確應用開發者許可權,嚴禁手機應用“越界”讀取用戶資訊。對於竊取用戶資訊用於非法目的的行為,必須嚴懲。
其次,整頓第三方應用商城。史廣順認為,第三方應用商城已成為惡意軟體最重要的傳播渠道。相關部門應建立嚴格的標準和規範,對各應用商店進行嚴格審查,並對違規傳播惡意應用的應用商城進行相應懲罰,以此促使各應用商店更好地篩選手機應用。
第三,用戶應培養正確的使用習慣。張毅指出,在安卓應用整體安全程度偏低的情況下,用戶也應提高警惕,養成正確的使用習慣。不 要 輕 易 獲 取 安 卓 系 統 的 最 高 許可權,不要輕易刷機,儘量選擇官方應用商店以及正規的第三方應用商店下載手機軟體。
[責任編輯: 雍紫薇]