复旦大学计算机科学技术学院日前发布的报告表明,由于各个应用商城运营方缺乏有力的程序安全审查机制与检测手段,以获取用户隐私信息为目的的程序大量涌现,有可能导致大量用户隐私泄露。该研究团队抽查安卓系统七个应用商城300余款应用,58%存在泄露用户隐私的行为,其中25%的程序还将泄露的信息进行了加密发送,使得在进行安全性审查时,确认其内容和传送目的地变得非常困难。一些泄露用户隐私的应用甚至连“腾讯手机管家”、“360手机卫士”等杀毒软件都无法查出。
专家表示,安卓系统版本过多、应用开发门槛低、应用市场混乱、刷机市场暗藏风险、恶意软件形成联盟,在这些因素的影响下,移动安全已面临巨大威胁。
安全领域频频沦陷
作为开源、免费策略的成果,安卓系统在近几年以惊人的速度占领市场,成为智能手机市场老大。然而在安卓系统普及的同时,一系列的困扰也随之而来:通知栏广告轰炸、恶意软件、后台扣费甚至信息泄露层出不穷。安卓系统在安全领域频频沦陷,使安卓辉煌的成绩单蒙上了一层阴影。
在天津某事业单位工作的阿鹏在一年前购买了一部安卓手机,购买之后他从来没有刷过机,也几乎没有下载过什么软件。前些天他突发奇想下了一堆软件尝鲜,结果当场“中招”——第二天他的包月流量就宣布告罄。而在他身边,安卓用户出现各种各样问题的并不鲜见。
艾媒咨询发布的数据显示,2012第二季度,谷歌公司的安卓系统在我国操作系统中占比达到63.1%,诺基亚塞班系统占比19.9%,苹果公司的iOS操作系统占比11.7%。有预测认为,2012年将有1.4亿台移动互联网终端投放中国市场,其中搭载安卓系统的超过总数2/3。
网秦手机安全专家邹仕洪告诉记者,由于安卓系统采取了开源+免费的策略,使得手机厂商使用安卓系统门槛很低,导致安卓系统在中低端手机市场出货量极大,市场占有率快速提高。同时在市场竞争中,塞班衰落,WP8尚未发力,IOS不开放,手机厂商没有太多选择,安卓系统得以独步天下。
南开大学信息安全系主任贾红福认为,安卓系统的开放性是一把双刃剑,一方面可以为用户提供更灵活的界面和操作,提升用户体验,快速占领市场,另一方面也带来了恶意软件失控、信息安全难以保证的问题。
在安卓恶意软件方面,网秦公司提供的数据显示,仅仅在今年6月,就查杀到安卓平台手机恶意软件5582款,数量为当月查杀塞班恶意软件数的十倍,其中有15款恶意软件感染超过10万部手机。360公司的数据显示,已经有超过五万款安卓应用捆绑了通知栏广告插件。
业内人士认为,恶意软件推广领域已经形成联盟。由于很多恶意软件本身就有强制推广的能力,联盟会接受其他恶意软件开发者的委托,对新的恶意软件进行流氓推广。恶意软件与垃圾短信相互结合,并与非法SP相勾结,可以在后台完成订购SP服务吸费的全过程,产业链条非常巨大。
信息泄露风险最大
专家表示,安卓系统最大的风险不在于扣费或者恶意广告,而是在于信息安全难以保证,这种信息安全隐患是厂商、应用商城、手机应用多个层面的。
据贾红福介绍,安卓系统是谷歌公司开发的一种开源操作系统,安卓系统内核层面的安全是由谷歌来维护的。谷歌拥有世界上技术最强大的工程师团队,应该说在内核层面上安全是有保障的;从手机厂商层面来讲,众多手机厂商均可基于安卓内核“二次加工”,更改界面,植入应用,操作系统的外延掌握在各家厂商手里。由于缺乏统一的规范和安全标准,在完全依靠厂商自律的情况下,在技术层面上讲是有一定风险的。
贾红福解释说,由于植入应用一般都在底层,用户很难删除。如果厂商有意窃取用户信息,可以说完全没有技术障碍。这是一个黑箱,我们不知道厂商有没有窃取我们的信息,也不知道收集了多少信息,只能说不排除这个可能。
南开大学信息技术科学学院副教授史广顺认为,目前安卓平台最大的问题出在应用层面。调查数据显示,约有五成的手机用户通过PC端助手安装手机应用。安装手机应用时,都要用户开“调试模式”。如果不开“调试模式”,用户无法让手机与PC连接,如果开了“调试模式”,手机里的日志信息、用户账号、访问历史和书签、日历和行程、通话记录、各类传感器数据、本地文件等所有信息都向应用商城敞开,存在很大的风险。
现在市面上有上百家安卓软件应用商店,著名的就有三十四家,难保这些应用商城都能做好自律。不仅如此,应用商城对应用安全的掌控目前也处于混乱状态。由于追求规模,注重下载量,导致一些应用商城对应用的审查并不严格,许多恶意软件都是通过应用商城扩散的。
网秦工作人员王瑛告诉记者,在恶意软件的作用下,窃取位置信息甚至通话内容并非难事。网秦所截获的“X卧底”是典型的手机窃听软件,这类窃听软件利用了手机的三方通话功能,在诱骗用户安装后,每次启动时可由黑客在通话时插入一则波段,实际置于同一通话环境之中,其中可以随意听取通话信息。网秦在上半年截获的隐私窃取类恶意软件中,有超过43%的恶意软件可通过GPS等方式实现对目标手机的跟踪定位。
高度重视安卓系统隐患
史广顺认为,由于移动互联网功能的增强,智能手机上的个人信息往往比电脑上还要多,可是人们对手机信息安全的重视程度却远远不如电脑。
窃取信息如此便利,意味着手机上的政治、经济、科技、军事机密都可以毫无障碍地窃取,不仅仅是在侵犯公民的隐私权,更有可能威胁国家的信息安全。
中央财经大学民生经济研究中心主任李永壮认为,在安卓系统占据了过半智能机市场的情况下,不可以对其安全隐患视而不见。应该将移动互联安全问题上升到国家信息安全的高度,切实保护好民众的信息和财产安全。
据悉,工信部已于2012年6月初发布《关于加强移动智能终端进网管理的通知》(征求意见稿),该通知主要针对终端设备的制造商进行约束,但未对应用程序的开发者、安卓系统应用商城平台的运营商进行相应监管。
贾红福表示,在移动互联安全方面,技术审查存在真空,技术标准也没有出台,更缺乏相应的法规来保障用户的信息安全。用户手机中的个人信息,对于手机厂商、应用商店和应用开发者都有巨大的商业价值,而目前对信息安全的把控,完全靠各个环节的自律。指望所有环节都高度自律在现实中是不可能实现的,必须制定相应的法规和制度。
史广顺建议,针对手机厂商,应在系统架构、内置应用、信息收集等方面制定统一的技术标准;针对应用商城混乱发展的局面,应加强规范,制定应用审查技术标准,防止恶意应用进驻应用商城传播,并对违规应用商城进行打击;对于恶意应用开发者和个人信息窃取者,应制定相应惩处法规,加大打击力度。同时,对于对国家安全较为重要的信息,更应加大保护力度。