記者 余建斌
2013年05月14日08:32 來源:人民網-人民日報
|
一款壁紙軟件居然會讀取通訊錄,一款游戲軟件還能悄悄撥打用戶電話——手機下載安裝應用軟件如今已是尋常事,但要當心了:有可能“引狼入室”。5月13日,騰訊移動安全實驗室發布今年一季度手機安全報告,顯示手機用戶的通訊錄、短信、賬號密碼、位置信息等核心隱私正成為惡意軟件竊取目標。日趨流行的手機支付,安全性亦因此遭遇嚴峻挑戰。
惡意軟件與病毒瞄準安卓平臺
2013年3月,一款名為“游戲殺手”的病毒,短時間內就感染了641款游戲軟件,影響超過20萬手機用戶。這款軟件正是在安卓操作系統上運行的。報告顯示,手機惡意軟件與手機病毒進一步增長,安卓系統已成為手機病毒肆虐的主要平臺。
騰訊此次發布的報告顯示,一季度,基于騰訊手機管家產品服務的騰訊移動安全實驗室截獲病毒包樣本總數為97367個,環比增長52%,其中在安卓系統截獲病毒樣本包數占比95%。而據第三方調研報告的估算,目前安卓系統約占市場的70%左右,蘋果iOS操作系統占20%—30%。
業內專家介紹,蘋果手機使用的iOS操作系統是封閉式系統,相對穩定,不開放源代碼。安卓系統則是徹徹底底的開放,任何一個獲取了安卓系統源代碼的機構或者個人都可以對系統進行修改和優化,手機用戶可以通過多方渠道安裝自己喜歡的應用,而不是必須安裝通過官方驗證或者從官方應用市場下載的軟件。這一優越性同時也帶來了安全隱患。
據了解,安卓手機病毒來源以電子市場與手機論壇為主。國內部分電子市場缺乏針對山寨或惡意軟件的精準識別能力,許多制毒者或制毒機構抓住審核缺陷與安全漏洞,上傳惡意軟件或將捆綁熱門軟件二次打包植入惡意代碼,可輕易繞過數字簽名的審核機制,快速感染海量用戶群。
71%手機軟件讀取用戶隱私
目前,手機應用軟件(APP)讀取用戶隱私的現象嚴重性進一步凸顯。
據介紹,騰訊移動安全實驗室抽取了近470萬個軟件包,統計發現有讀取用戶隱私權限相關操作的軟件比例達到71%,也就是有超過333萬個軟件包同時申請了隱私權限,且含有讀取用戶隱私權限相關操作的代碼。
在這333萬個軟件包中,讀取設備識別信息與本機手機號的占61.75%與28.33%;讀取地理位置信息的占28.27%;讀取通訊錄的占10.29%,讀取短信的占4.22%;打開手機攝像頭與錄音器的分別占4.15%與3.75%;讀取通話記錄的占2.86%;讀取瀏覽器書簽的占7.93%。
專家分析,并非所有針對用戶隱私權限的讀取都不合理,主要取決于其目的是否在功能必須的范疇之內。安全軟件、系統管理軟件、通訊軟件、社交軟件等針對用戶的通訊錄等隱私讀取是在合理權限內;但是,如果一款游戲軟件或壁紙軟件需要讀取用戶通訊錄和短信,肯定屬于越權。
而在APP越權讀取隱私現象中,某些不法應用開發者為了牟取利潤,往往山寨某些知名應用,將其官方APP拆解后,在里面嵌入廣告插件甚至惡意代碼,這部分開發者被稱之為“打包黨”。含惡意廣告插件類APP會給用戶造成資費消耗、隱私泄露等多重危害。
比如,一款含廣告插件的游戲APP“神廟逃亡”,可讀取手機號、地理位置、拍照、瀏覽器書簽等多項權限;而被打包了“病毒代碼”的偽“神廟逃亡”還進一步獲取了聯系人、通話記錄、發送短信、撥打電話這4項用戶核心隱私權限。
讀取用戶隱私往往和牟利掛鉤。據業內人士分析,收集地理位置、設備識別、本地手機號等信息后,可精準投放廣告,并進行有效的用戶消費行為分析,符合部分廣告商的利益訴求,軟件開發者也可因此分成。
手機支付,當心病毒竊財
目前,越來越多的智能手機用戶習慣于用手機支付轉賬,手機支付安全問題隨之而來。專家認為,手機病毒被內置到支付類、網購等應用程序之中變得普遍,這類病毒一旦啟動,會伺機竊取用戶賬號信息。
據統計,今年一季度,移動互聯網上首次出現了手機支付銀行客戶端被感染的情況。一款手機支付病毒“洛克蠕蟲”首次感染了中國建設銀行的手機客戶端,通過二次打包的方式把惡意代碼嵌入銀行APP,未經用戶允許私自下載軟件并安裝,還會安裝惡意子包,進一步竊取銀行賬號及密碼,繼而盜走用戶賬號中的資金。
手機安全專家付亮分析,與電腦支付系統相比,手機支付平臺本身并沒有更大風險,關鍵在于手機應用環境和用戶的手機使用習慣。比如,很多用戶習慣于在手機上設置默認密碼,每次自動登錄,這就給惡意軟件和病毒留下了可乘之機。
專家建議,對普通用戶來說,要保護個人信息和隱私安全,最好從正規渠道購買手機。許多水貨手機往往在出貨前就已經刷機或者內置了各種流氓軟件。同時,不要點擊不明網址鏈接,從正規安全的渠道下載應用,在論壇里下載軟件之前最好先瀏覽用戶評價,使用可靠的手機安全軟件,定期體檢和殺毒。
付亮尤其提醒,安裝軟件時一定要知道自己安裝的是什么,不能糊里糊涂,安裝完畢后檢查軟件權限,關閉或者刪除不必要的功能,及時監控惡意軟件的過度權限要求和后臺私自聯網等惡意行為。
相關專題 |
· 熱點·視點·觀點 |
微信“掃一掃”添加“學習微平臺”