復(fù)旦大學(xué)計(jì)算機(jī)科學(xué)技術(shù)學(xué)院日前發(fā)布的報(bào)告表明�����,由于各個(gè)應(yīng)用商城運(yùn)營(yíng)方缺乏有力的程序安全審查機(jī)制與檢測(cè)手段�����,以獲取用戶隱私信息為目的的程序大量涌現(xiàn)����,有可能導(dǎo)致大量用戶隱私泄露。該研究團(tuán)隊(duì)抽查安卓系統(tǒng)七個(gè)應(yīng)用商城300余款應(yīng)用�����,58%存在泄露用戶隱私的行為�,其中25%的程序還將泄露的信息進(jìn)行了加密發(fā)送,使得在進(jìn)行安全性審查時(shí)��,確認(rèn)其內(nèi)容和傳送目的地變得非常困難�。一些泄露用戶隱私的應(yīng)用甚至連“騰訊手機(jī)管家”、“360手機(jī)衛(wèi)士”等殺毒軟件都無法查出�。
專家表示,安卓系統(tǒng)版本過多����、應(yīng)用開發(fā)門檻低���、應(yīng)用市場(chǎng)混亂��、刷機(jī)市場(chǎng)暗藏風(fēng)險(xiǎn)�、惡意軟件形成聯(lián)盟�����,在這些因素的影響下,移動(dòng)安全已面臨巨大威脅��。
安全領(lǐng)域頻頻淪陷
作為開源���、免費(fèi)策略的成果�����,安卓系統(tǒng)在近幾年以驚人的速度占領(lǐng)市場(chǎng)�,成為智能手機(jī)市場(chǎng)老大��。然而在安卓系統(tǒng)普及的同時(shí)���,一系列的困擾也隨之而來:通知欄廣告轟炸��、惡意軟件��、后臺(tái)扣費(fèi)甚至信息泄露層出不窮���。安卓系統(tǒng)在安全領(lǐng)域頻頻淪陷,使安卓輝煌的成績(jī)單蒙上了一層陰影�。
在天津某事業(yè)單位工作的阿鵬在一年前購(gòu)買了一部安卓手機(jī)����,購(gòu)買之后他從來沒有刷過機(jī)����,也幾乎沒有下載過什么軟件。前些天他突發(fā)奇想下了一堆軟件嘗鮮���,結(jié)果當(dāng)場(chǎng)“中招”——第二天他的包月流量就宣布告罄���。而在他身邊,安卓用戶出現(xiàn)各種各樣問題的并不鮮見���。
艾媒咨詢發(fā)布的數(shù)據(jù)顯示���,2012第二季度,谷歌公司的安卓系統(tǒng)在我國(guó)操作系統(tǒng)中占比達(dá)到63.1%����,諾基亞塞班系統(tǒng)占比19.9%�,蘋果公司的iOS操作系統(tǒng)占比11.7%。有預(yù)測(cè)認(rèn)為�,2012年將有1.4億臺(tái)移動(dòng)互聯(lián)網(wǎng)終端投放中國(guó)市場(chǎng)��,其中搭載安卓系統(tǒng)的超過總數(shù)2/3����。
網(wǎng)秦手機(jī)安全專家鄒仕洪告訴記者�,由于安卓系統(tǒng)采取了開源+免費(fèi)的策略,使得手機(jī)廠商使用安卓系統(tǒng)門檻很低�,導(dǎo)致安卓系統(tǒng)在中低端手機(jī)市場(chǎng)出貨量極大,市場(chǎng)占有率快速提高���。同時(shí)在市場(chǎng)競(jìng)爭(zhēng)中����,塞班衰落��,WP8尚未發(fā)力���,IOS不開放����,手機(jī)廠商沒有太多選擇�����,安卓系統(tǒng)得以獨(dú)步天下。
南開大學(xué)信息安全系主任賈紅福認(rèn)為�����,安卓系統(tǒng)的開放性是一把雙刃劍���,一方面可以為用戶提供更靈活的界面和操作�����,提升用戶體驗(yàn)����,快速占領(lǐng)市場(chǎng)���,另一方面也帶來了惡意軟件失控��、信息安全難以保證的問題�。
在安卓惡意軟件方面�,網(wǎng)秦公司提供的數(shù)據(jù)顯示,僅僅在今年6月���,就查殺到安卓平臺(tái)手機(jī)惡意軟件5582款��,數(shù)量為當(dāng)月查殺塞班惡意軟件數(shù)的十倍�,其中有15款惡意軟件感染超過10萬部手機(jī)�����。360公司的數(shù)據(jù)顯示���,已經(jīng)有超過五萬款安卓應(yīng)用捆綁了通知欄廣告插件�。
業(yè)內(nèi)人士認(rèn)為�,惡意軟件推廣領(lǐng)域已經(jīng)形成聯(lián)盟。由于很多惡意軟件本身就有強(qiáng)制推廣的能力���,聯(lián)盟會(huì)接受其他惡意軟件開發(fā)者的委托�����,對(duì)新的惡意軟件進(jìn)行流氓推廣���。惡意軟件與垃圾短信相互結(jié)合,并與非法SP相勾結(jié)���,可以在后臺(tái)完成訂購(gòu)SP服務(wù)吸費(fèi)的全過程���,產(chǎn)業(yè)鏈條非常巨大�����。
信息泄露風(fēng)險(xiǎn)最大
專家表示�����,安卓系統(tǒng)最大的風(fēng)險(xiǎn)不在于扣費(fèi)或者惡意廣告�����,而是在于信息安全難以保證����,這種信息安全隱患是廠商�、應(yīng)用商城、手機(jī)應(yīng)用多個(gè)層面的���。
據(jù)賈紅福介紹��,安卓系統(tǒng)是谷歌公司開發(fā)的一種開源操作系統(tǒng)����,安卓系統(tǒng)內(nèi)核層面的安全是由谷歌來維護(hù)的。谷歌擁有世界上技術(shù)最強(qiáng)大的工程師團(tuán)隊(duì)����,應(yīng)該說在內(nèi)核層面上安全是有保障的����;從手機(jī)廠商層面來講,眾多手機(jī)廠商均可基于安卓?jī)?nèi)核“二次加工”�����,更改界面�,植入應(yīng)用,操作系統(tǒng)的外延掌握在各家廠商手里��。由于缺乏統(tǒng)一的規(guī)范和安全標(biāo)準(zhǔn)���,在完全依靠廠商自律的情況下����,在技術(shù)層面上講是有一定風(fēng)險(xiǎn)的����。
賈紅福解釋說����,由于植入應(yīng)用一般都在底層���,用戶很難刪除�����。如果廠商有意竊取用戶信息��,可以說完全沒有技術(shù)障礙�。這是一個(gè)黑箱���,我們不知道廠商有沒有竊取我們的信息��,也不知道收集了多少信息�,只能說不排除這個(gè)可能�。
南開大學(xué)信息技術(shù)科學(xué)學(xué)院副教授史廣順認(rèn)為,目前安卓平臺(tái)最大的問題出在應(yīng)用層面�。調(diào)查數(shù)據(jù)顯示,約有五成的手機(jī)用戶通過PC端助手安裝手機(jī)應(yīng)用�。安裝手機(jī)應(yīng)用時(shí),都要用戶開“調(diào)試模式”。如果不開“調(diào)試模式”���,用戶無法讓手機(jī)與PC連接���,如果開了“調(diào)試模式”,手機(jī)里的日志信息�����、用戶賬號(hào)���、訪問歷史和書簽、日歷和行程�����、通話記錄�、各類傳感器數(shù)據(jù)、本地文件等所有信息都向應(yīng)用商城敞開��,存在很大的風(fēng)險(xiǎn)�。
現(xiàn)在市面上有上百家安卓軟件應(yīng)用商店,著名的就有三十四家�����,難保這些應(yīng)用商城都能做好自律。不僅如此��,應(yīng)用商城對(duì)應(yīng)用安全的掌控目前也處于混亂狀態(tài)�。由于追求規(guī)模,注重下載量���,導(dǎo)致一些應(yīng)用商城對(duì)應(yīng)用的審查并不嚴(yán)格�,許多惡意軟件都是通過應(yīng)用商城擴(kuò)散的��。
網(wǎng)秦工作人員王瑛告訴記者����,在惡意軟件的作用下,竊取位置信息甚至通話內(nèi)容并非難事��。網(wǎng)秦所截獲的“X臥底”是典型的手機(jī)竊聽軟件���,這類竊聽軟件利用了手機(jī)的三方通話功能����,在誘騙用戶安裝后���,每次啟動(dòng)時(shí)可由黑客在通話時(shí)插入一則波段�����,實(shí)際置于同一通話環(huán)境之中����,其中可以隨意聽取通話信息。網(wǎng)秦在上半年截獲的隱私竊取類惡意軟件中���,有超過43%的惡意軟件可通過GPS等方式實(shí)現(xiàn)對(duì)目標(biāo)手機(jī)的跟蹤定位��。
高度重視安卓系統(tǒng)隱患
史廣順認(rèn)為,由于移動(dòng)互聯(lián)網(wǎng)功能的增強(qiáng)��,智能手機(jī)上的個(gè)人信息往往比電腦上還要多��,可是人們對(duì)手機(jī)信息安全的重視程度卻遠(yuǎn)遠(yuǎn)不如電腦���。
竊取信息如此便利���,意味著手機(jī)上的政治、經(jīng)濟(jì)��、科技、軍事機(jī)密都可以毫無障礙地竊取�,不僅僅是在侵犯公民的隱私權(quán),更有可能威脅國(guó)家的信息安全���。
中央財(cái)經(jīng)大學(xué)民生經(jīng)濟(jì)研究中心主任李永壯認(rèn)為���,在安卓系統(tǒng)占據(jù)了過半智能機(jī)市場(chǎng)的情況下,不可以對(duì)其安全隱患視而不見�����。應(yīng)該將移動(dòng)互聯(lián)安全問題上升到國(guó)家信息安全的高度�,切實(shí)保護(hù)好民眾的信息和財(cái)產(chǎn)安全。
據(jù)悉����,工信部已于2012年6月初發(fā)布《關(guān)于加強(qiáng)移動(dòng)智能終端進(jìn)網(wǎng)管理的通知》(征求意見稿),該通知主要針對(duì)終端設(shè)備的制造商進(jìn)行約束����,但未對(duì)應(yīng)用程序的開發(fā)者、安卓系統(tǒng)應(yīng)用商城平臺(tái)的運(yùn)營(yíng)商進(jìn)行相應(yīng)監(jiān)管���。
賈紅福表示��,在移動(dòng)互聯(lián)安全方面���,技術(shù)審查存在真空�,技術(shù)標(biāo)準(zhǔn)也沒有出臺(tái)�,更缺乏相應(yīng)的法規(guī)來保障用戶的信息安全。用戶手機(jī)中的個(gè)人信息����,對(duì)于手機(jī)廠商、應(yīng)用商店和應(yīng)用開發(fā)者都有巨大的商業(yè)價(jià)值����,而目前對(duì)信息安全的把控,完全靠各個(gè)環(huán)節(jié)的自律���。指望所有環(huán)節(jié)都高度自律在現(xiàn)實(shí)中是不可能實(shí)現(xiàn)的,必須制定相應(yīng)的法規(guī)和制度����。
史廣順建議,針對(duì)手機(jī)廠商�����,應(yīng)在系統(tǒng)架構(gòu)、內(nèi)置應(yīng)用��、信息收集等方面制定統(tǒng)一的技術(shù)標(biāo)準(zhǔn)�;針對(duì)應(yīng)用商城混亂發(fā)展的局面,應(yīng)加強(qiáng)規(guī)范�,制定應(yīng)用審查技術(shù)標(biāo)準(zhǔn),防止惡意應(yīng)用進(jìn)駐應(yīng)用商城傳播�����,并對(duì)違規(guī)應(yīng)用商城進(jìn)行打擊���;對(duì)于惡意應(yīng)用開發(fā)者和個(gè)人信息竊取者����,應(yīng)制定相應(yīng)懲處法規(guī)��,加大打擊力度��。同時(shí)����,對(duì)于對(duì)國(guó)家安全較為重要的信息,更應(yīng)加大保護(hù)力度���。