復(fù)旦大學(xué)計算機科學(xué)技術(shù)學(xué)院日前發(fā)布的報告表明,由于各個應(yīng)用商城運營方缺乏有力的程序安全審查機制與檢測手段,,以獲取用戶隱私信息為目的的程序大量涌現(xiàn),,有可能導(dǎo)致大量用戶隱私泄露。該研究團隊抽查安卓系統(tǒng)七個應(yīng)用商城300余款應(yīng)用,,58%存在泄露用戶隱私的行為,,其中25%的程序還將泄露的信息進行了加密發(fā)送,使得在進行安全性審查時,,確認其內(nèi)容和傳送目的地變得非常困難,。一些泄露用戶隱私的應(yīng)用甚至連“騰訊手機管家”、“360手機衛(wèi)士”等殺毒軟件都無法查出,。
專家表示,,安卓系統(tǒng)版本過多、應(yīng)用開發(fā)門檻低,、應(yīng)用市場混亂,、刷機市場暗藏風(fēng)險、惡意軟件形成聯(lián)盟,,在這些因素的影響下,,移動安全已面臨巨大威脅。
安全領(lǐng)域頻頻淪陷
作為開源,、免費策略的成果,,安卓系統(tǒng)在近幾年以驚人的速度占領(lǐng)市場,成為智能手機市場老大,。然而在安卓系統(tǒng)普及的同時,,一系列的困擾也隨之而來:通知欄廣告轟炸、惡意軟件,、后臺扣費甚至信息泄露層出不窮,。安卓系統(tǒng)在安全領(lǐng)域頻頻淪陷,使安卓輝煌的成績單蒙上了一層陰影。
在天津某事業(yè)單位工作的阿鵬在一年前購買了一部安卓手機,,購買之后他從來沒有刷過機,,也幾乎沒有下載過什么軟件。前些天他突發(fā)奇想下了一堆軟件嘗鮮,,結(jié)果當場“中招”——第二天他的包月流量就宣布告罄,。而在他身邊,安卓用戶出現(xiàn)各種各樣問題的并不鮮見,。
艾媒咨詢發(fā)布的數(shù)據(jù)顯示,,2012第二季度,谷歌公司的安卓系統(tǒng)在我國操作系統(tǒng)中占比達到63.1%,,諾基亞塞班系統(tǒng)占比19.9%,,蘋果公司的iOS操作系統(tǒng)占比11.7%。有預(yù)測認為,,2012年將有1.4億臺移動互聯(lián)網(wǎng)終端投放中國市場,,其中搭載安卓系統(tǒng)的超過總數(shù)2/3。
網(wǎng)秦手機安全專家鄒仕洪告訴記者,,由于安卓系統(tǒng)采取了開源+免費的策略,,使得手機廠商使用安卓系統(tǒng)門檻很低,導(dǎo)致安卓系統(tǒng)在中低端手機市場出貨量極大,,市場占有率快速提高,。同時在市場競爭中,塞班衰落,,WP8尚未發(fā)力,,IOS不開放,手機廠商沒有太多選擇,,安卓系統(tǒng)得以獨步天下,。
南開大學(xué)信息安全系主任賈紅福認為,安卓系統(tǒng)的開放性是一把雙刃劍,,一方面可以為用戶提供更靈活的界面和操作,,提升用戶體驗,快速占領(lǐng)市場,,另一方面也帶來了惡意軟件失控,、信息安全難以保證的問題。
在安卓惡意軟件方面,,網(wǎng)秦公司提供的數(shù)據(jù)顯示,,僅僅在今年6月,就查殺到安卓平臺手機惡意軟件5582款,,數(shù)量為當月查殺塞班惡意軟件數(shù)的十倍,,其中有15款惡意軟件感染超過10萬部手機,。360公司的數(shù)據(jù)顯示,已經(jīng)有超過五萬款安卓應(yīng)用捆綁了通知欄廣告插件,。
業(yè)內(nèi)人士認為,,惡意軟件推廣領(lǐng)域已經(jīng)形成聯(lián)盟。由于很多惡意軟件本身就有強制推廣的能力,,聯(lián)盟會接受其他惡意軟件開發(fā)者的委托,,對新的惡意軟件進行流氓推廣。惡意軟件與垃圾短信相互結(jié)合,,并與非法SP相勾結(jié),可以在后臺完成訂購SP服務(wù)吸費的全過程,,產(chǎn)業(yè)鏈條非常巨大,。
信息泄露風(fēng)險最大
專家表示,安卓系統(tǒng)最大的風(fēng)險不在于扣費或者惡意廣告,,而是在于信息安全難以保證,,這種信息安全隱患是廠商、應(yīng)用商城,、手機應(yīng)用多個層面的,。
據(jù)賈紅福介紹,安卓系統(tǒng)是谷歌公司開發(fā)的一種開源操作系統(tǒng),,安卓系統(tǒng)內(nèi)核層面的安全是由谷歌來維護的,。谷歌擁有世界上技術(shù)最強大的工程師團隊,應(yīng)該說在內(nèi)核層面上安全是有保障的,;從手機廠商層面來講,,眾多手機廠商均可基于安卓內(nèi)核“二次加工”,更改界面,,植入應(yīng)用,操作系統(tǒng)的外延掌握在各家廠商手里,。由于缺乏統(tǒng)一的規(guī)范和安全標準,,在完全依靠廠商自律的情況下,,在技術(shù)層面上講是有一定風(fēng)險的,。
賈紅福解釋說,由于植入應(yīng)用一般都在底層,,用戶很難刪除。如果廠商有意竊取用戶信息,,可以說完全沒有技術(shù)障礙。這是一個黑箱,,我們不知道廠商有沒有竊取我們的信息,,也不知道收集了多少信息,,只能說不排除這個可能,。
南開大學(xué)信息技術(shù)科學(xué)學(xué)院副教授史廣順認為,,目前安卓平臺最大的問題出在應(yīng)用層面。調(diào)查數(shù)據(jù)顯示,,約有五成的手機用戶通過PC端助手安裝手機應(yīng)用,。安裝手機應(yīng)用時,都要用戶開“調(diào)試模式”,。如果不開“調(diào)試模式”,,用戶無法讓手機與PC連接,,如果開了“調(diào)試模式”,手機里的日志信息,、用戶賬號、訪問歷史和書簽,、日歷和行程,、通話記錄、各類傳感器數(shù)據(jù),、本地文件等所有信息都向應(yīng)用商城敞開,,存在很大的風(fēng)險。
現(xiàn)在市面上有上百家安卓軟件應(yīng)用商店,著名的就有三十四家,,難保這些應(yīng)用商城都能做好自律,。不僅如此,應(yīng)用商城對應(yīng)用安全的掌控目前也處于混亂狀態(tài),。由于追求規(guī)模,,注重下載量,,導(dǎo)致一些應(yīng)用商城對應(yīng)用的審查并不嚴格,,許多惡意軟件都是通過應(yīng)用商城擴散的,。
網(wǎng)秦工作人員王瑛告訴記者,,在惡意軟件的作用下,,竊取位置信息甚至通話內(nèi)容并非難事,。網(wǎng)秦所截獲的“X臥底”是典型的手機竊聽軟件,這類竊聽軟件利用了手機的三方通話功能,,在誘騙用戶安裝后,每次啟動時可由黑客在通話時插入一則波段,,實際置于同一通話環(huán)境之中,,其中可以隨意聽取通話信息,。網(wǎng)秦在上半年截獲的隱私竊取類惡意軟件中,,有超過43%的惡意軟件可通過GPS等方式實現(xiàn)對目標手機的跟蹤定位,。
高度重視安卓系統(tǒng)隱患
史廣順認為,由于移動互聯(lián)網(wǎng)功能的增強,,智能手機上的個人信息往往比電腦上還要多,可是人們對手機信息安全的重視程度卻遠遠不如電腦,。
竊取信息如此便利,,意味著手機上的政治,、經(jīng)濟,、科技,、軍事機密都可以毫無障礙地竊取,,不僅僅是在侵犯公民的隱私權(quán),,更有可能威脅國家的信息安全,。
中央財經(jīng)大學(xué)民生經(jīng)濟研究中心主任李永壯認為,,在安卓系統(tǒng)占據(jù)了過半智能機市場的情況下,,不可以對其安全隱患視而不見。應(yīng)該將移動互聯(lián)安全問題上升到國家信息安全的高度,,切實保護好民眾的信息和財產(chǎn)安全,。
據(jù)悉,,工信部已于2012年6月初發(fā)布《關(guān)于加強移動智能終端進網(wǎng)管理的通知》(征求意見稿),,該通知主要針對終端設(shè)備的制造商進行約束,但未對應(yīng)用程序的開發(fā)者,、安卓系統(tǒng)應(yīng)用商城平臺的運營商進行相應(yīng)監(jiān)管,。
賈紅福表示,,在移動互聯(lián)安全方面,技術(shù)審查存在真空,,技術(shù)標準也沒有出臺,,更缺乏相應(yīng)的法規(guī)來保障用戶的信息安全。用戶手機中的個人信息,,對于手機廠商,、應(yīng)用商店和應(yīng)用開發(fā)者都有巨大的商業(yè)價值,而目前對信息安全的把控,,完全靠各個環(huán)節(jié)的自律,。指望所有環(huán)節(jié)都高度自律在現(xiàn)實中是不可能實現(xiàn)的,必須制定相應(yīng)的法規(guī)和制度,。
史廣順建議,,針對手機廠商,應(yīng)在系統(tǒng)架構(gòu),、內(nèi)置應(yīng)用,、信息收集等方面制定統(tǒng)一的技術(shù)標準;針對應(yīng)用商城混亂發(fā)展的局面,,應(yīng)加強規(guī)范,,制定應(yīng)用審查技術(shù)標準,,防止惡意應(yīng)用進駐應(yīng)用商城傳播,,并對違規(guī)應(yīng)用商城進行打擊,;對于惡意應(yīng)用開發(fā)者和個人信息竊取者,,應(yīng)制定相應(yīng)懲處法規(guī),,加大打擊力度,。同時,,對于對國家安全較為重要的信息,,更應(yīng)加大保護力度。