復旦大學計算機科學技術學院日前發布的報告表明�,由于各個應用商城運營方缺乏有力的程序安全審查機制與檢測手段�����,以獲取用戶隱私信息為目的的程序大量涌現�,有可能導致大量用戶隱私泄露�。該研究團隊抽查安卓系統七個應用商城300余款應用����,58%存在泄露用戶隱私的行為����,其中25%的程序還將泄露的信息進行了加密發送��,使得在進行安全性審查時�����,確認其內容和傳送目的地變得非常困難����。一些泄露用戶隱私的應用甚至連“騰訊手機管家”��、“360手機衛士”等殺毒軟件都無法查出���。
專家表示���,安卓系統版本過多�、應用開發門檻低�、應用市場混亂�����、刷機市場暗藏風險�����、惡意軟件形成聯盟��,在這些因素的影響下���,移動安全已面臨巨大威脅����。
安全領域頻頻淪陷
作為開源�����、免費策略的成果����,安卓系統在近幾年以驚人的速度占領市場��,成為智能手機市場老大���。然而在安卓系統普及的同時��,一系列的困擾也隨之而來:通知欄廣告轟炸����、惡意軟件���、后臺扣費甚至信息泄露層出不窮����。安卓系統在安全領域頻頻淪陷�,使安卓輝煌的成績單蒙上了一層陰影��。
在天津某事業單位工作的阿鵬在一年前購買了一部安卓手機�,購買之后他從來沒有刷過機����,也幾乎沒有下載過什么軟件����。前些天他突發奇想下了一堆軟件嘗鮮����,結果當場“中招”——第二天他的包月流量就宣布告罄�����。而在他身邊�,安卓用戶出現各種各樣問題的并不鮮見���。
艾媒咨詢發布的數據顯示�,2012第二季度�����,谷歌公司的安卓系統在我國操作系統中占比達到63.1%���,諾基亞塞班系統占比19.9%���,蘋果公司的iOS操作系統占比11.7%����。有預測認為��,2012年將有1.4億臺移動互聯網終端投放中國市場�����,其中搭載安卓系統的超過總數2/3�����。
網秦手機安全專家鄒仕洪告訴記者�����,由于安卓系統采取了開源+免費的策略����,使得手機廠商使用安卓系統門檻很低���,導致安卓系統在中低端手機市場出貨量極大��,市場占有率快速提高���。同時在市場競爭中��,塞班衰落�����,WP8尚未發力�,IOS不開放�����,手機廠商沒有太多選擇��,安卓系統得以獨步天下����。
南開大學信息安全系主任賈紅福認為��,安卓系統的開放性是一把雙刃劍��,一方面可以為用戶提供更靈活的界面和操作�����,提升用戶體驗���,快速占領市場��,另一方面也帶來了惡意軟件失控��、信息安全難以保證的問題��。
在安卓惡意軟件方面��,網秦公司提供的數據顯示���,僅僅在今年6月�����,就查殺到安卓平臺手機惡意軟件5582款�,數量為當月查殺塞班惡意軟件數的十倍����,其中有15款惡意軟件感染超過10萬部手機���。360公司的數據顯示���,已經有超過五萬款安卓應用捆綁了通知欄廣告插件���。
業內人士認為���,惡意軟件推廣領域已經形成聯盟���。由于很多惡意軟件本身就有強制推廣的能力����,聯盟會接受其他惡意軟件開發者的委托�����,對新的惡意軟件進行流氓推廣�。惡意軟件與垃圾短信相互結合����,并與非法SP相勾結��,可以在后臺完成訂購SP服務吸費的全過程����,產業鏈條非常巨大�����。
信息泄露風險最大
專家表示����,安卓系統最大的風險不在于扣費或者惡意廣告��,而是在于信息安全難以保證�,這種信息安全隱患是廠商���、應用商城�����、手機應用多個層面的�。
據賈紅福介紹�����,安卓系統是谷歌公司開發的一種開源操作系統�����,安卓系統內核層面的安全是由谷歌來維護的��。谷歌擁有世界上技術最強大的工程師團隊����,應該說在內核層面上安全是有保障的�����;從手機廠商層面來講��,眾多手機廠商均可基于安卓內核“二次加工”���,更改界面��,植入應用�����,操作系統的外延掌握在各家廠商手里��。由于缺乏統一的規范和安全標準����,在完全依靠廠商自律的情況下�����,在技術層面上講是有一定風險的�����。
賈紅福解釋說���,由于植入應用一般都在底層�,用戶很難刪除���。如果廠商有意竊取用戶信息���,可以說完全沒有技術障礙��。這是一個黑箱���,我們不知道廠商有沒有竊取我們的信息��,也不知道收集了多少信息����,只能說不排除這個可能��。
南開大學信息技術科學學院副教授史廣順認為�,目前安卓平臺最大的問題出在應用層面�。調查數據顯示��,約有五成的手機用戶通過PC端助手安裝手機應用�����。安裝手機應用時�����,都要用戶開“調試模式”�����。如果不開“調試模式”�,用戶無法讓手機與PC連接�����,如果開了“調試模式”���,手機里的日志信息�、用戶賬號����、訪問歷史和書簽����、日歷和行程��、通話記錄�����、各類傳感器數據���、本地文件等所有信息都向應用商城敞開��,存在很大的風險���。
現在市面上有上百家安卓軟件應用商店����,著名的就有三十四家��,難保這些應用商城都能做好自律�。不僅如此�,應用商城對應用安全的掌控目前也處于混亂狀態���。由于追求規模���,注重下載量�,導致一些應用商城對應用的審查并不嚴格�����,許多惡意軟件都是通過應用商城擴散的����。
網秦工作人員王瑛告訴記者�����,在惡意軟件的作用下��,竊取位置信息甚至通話內容并非難事���。網秦所截獲的“X臥底”是典型的手機竊聽軟件����,這類竊聽軟件利用了手機的三方通話功能���,在誘騙用戶安裝后�����,每次啟動時可由黑客在通話時插入一則波段����,實際置于同一通話環境之中���,其中可以隨意聽取通話信息��。網秦在上半年截獲的隱私竊取類惡意軟件中�,有超過43%的惡意軟件可通過GPS等方式實現對目標手機的跟蹤定位����。
高度重視安卓系統隱患
史廣順認為��,由于移動互聯網功能的增強�,智能手機上的個人信息往往比電腦上還要多��,可是人們對手機信息安全的重視程度卻遠遠不如電腦�。
竊取信息如此便利����,意味著手機上的政治����、經濟�����、科技�、軍事機密都可以毫無障礙地竊取����,不僅僅是在侵犯公民的隱私權���,更有可能威脅國家的信息安全�����。
中央財經大學民生經濟研究中心主任李永壯認為�,在安卓系統占據了過半智能機市場的情況下���,不可以對其安全隱患視而不見�。應該將移動互聯安全問題上升到國家信息安全的高度���,切實保護好民眾的信息和財產安全�����。
據悉����,工信部已于2012年6月初發布《關于加強移動智能終端進網管理的通知》(征求意見稿)���,該通知主要針對終端設備的制造商進行約束���,但未對應用程序的開發者�、安卓系統應用商城平臺的運營商進行相應監管��。
賈紅福表示��,在移動互聯安全方面����,技術審查存在真空����,技術標準也沒有出臺�����,更缺乏相應的法規來保障用戶的信息安全�����。用戶手機中的個人信息����,對于手機廠商����、應用商店和應用開發者都有巨大的商業價值���,而目前對信息安全的把控��,完全靠各個環節的自律����。指望所有環節都高度自律在現實中是不可能實現的��,必須制定相應的法規和制度��。
史廣順建議�����,針對手機廠商���,應在系統架構��、內置應用����、信息收集等方面制定統一的技術標準�;針對應用商城混亂發展的局面���,應加強規范��,制定應用審查技術標準����,防止惡意應用進駐應用商城傳播����,并對違規應用商城進行打擊�����;對于惡意應用開發者和個人信息竊取者���,應制定相應懲處法規���,加大打擊力度���。同時�,對于對國家安全較為重要的信息�,更應加大保護力度��。