首页 > 供需 > 移动互联网 > 正文

移动终端想说安全不容易

2014年08月15日    来源:中国科学报     
1211

 

   随着移动互联网时代的到来,不仅用户对移动终端青睐有加,黑客也将目标瞄准了移动设备。操作系统的安全性究竟有多大差别,移动终端还面临哪些安全风险,成了用户关注的焦点。

  在“七夕”这样的日子里,一款名为“××神器”的安卓系统手机病毒“感染”了上百万用户,一度引起恐慌。

  该恶意程序通过调取用户短信和联系人权限,向手机通信录上每个人发送短信,诱导其下载一个××shenqi.apk的恶意软件,安装后,继续传播该恶意程序。通过进一步分析发现,“××神器”会恶意调用手机短信、邮件、通讯录、监听用户安装APP等权限,并会自动随系统启动。

  深圳警方随即展开调查,并在当晚就抓获了犯罪嫌疑人。嫌疑人大一学生的身份,让许多人感到意外。随后,根据业内人士分析,该病毒的技术手段并不复杂,之所以危害程度比较严重,是因为其利用熟人网络传播,扩散非常迅速。

  事实上,随着移动互联网时代的到来,不仅用户对移动终端青睐有加,黑客也将目标瞄准了移动设备。作为市场占有率保持绝对领先的安卓系统,也不可避免成为病毒木马、恶意软件的重灾区。手机操作系统的安全性究竟有多大差别,移动终端还面临哪些安全风险,自然成了用户关注的焦点。

  操作系统安全性不同

  安卓系统和苹果iOS系统是目前主流的两大手机操作系统,但面对病毒木马、恶意软件的攻击,安卓系统的使用者恐怕更深有体会。即便如此,从操作系统层面比较,安卓系统真的不如iOS系统安全吗?受访专家并不完全认可这种说法。

  中国科学院软件研究所研究员贺也平告诉《中国科学报》记者,安卓系统与iOS系统的差别之一,前者是开源的,而后者不开源。

  安卓系统的源代码是免费对外开放的,除了有更多的软件开发商针对操作系统的要求开发更多的内容软件,丰富该平台上第三方软件的应用,全世界的开发人员都可以在该平台上不断发现漏洞,使其得到适时的修补。而iOS系统不公开源代码,贺也平将其比作一个黑盒,“有了漏洞,也鲜有人发现”。

  就在今年7月,苹果公司承认了iOS系统存在安全“后门”。在“全球黑客大会”上,该“后门”被曝可以绕过手机备份加密系统,直接把手机和一台预设的所谓“可信任电脑”建立联系,下载手机中的全部数据。对此,外界担心这一功能可能被美国国家安全局等情报机构所利用,成为政府监控项目的工具,严重侵犯个人隐私。

  在一个开放的操作系统平台上,开发者很难明目张胆地故意放入类似的漏洞,因为它们容易被发现。但在封闭的操作系统中,如果开发者故意设置漏洞,很难被发现。

  中国科学院软件研究所信息安全国家重点实验室副研究员连一峰在接受《中国科学报》记者采访时也表示,就操作系统本身而言,漏洞的差异并没有人们想象的大。只是由于安卓系统发现漏洞相对更容易,且使用人群最广,受黑客攻击的可能性就更大,因此,给用户造成了一个错觉,安卓系统更不安全。

  安卓系统面临的情况就如同PC机上微软的 Windows 操作系统一样,树大招风,病毒、木马越来越多,补丁也越打越多。

  不过,也有观点指出,采取不开源的操作系统可能更明智。随着Windows 8的发布,微软也在逐渐走向非开源,且安全性有所提升。

  但贺也平认为,苹果之所以安全性更好一些,主要是在管理层面做得更好,它本身对于第三方应用软件的审核就比较严格。反观安卓系统,由于系统开放性,在审核方面就宽松了很多。

  移动终端安全问题新变化

  手机操作系统架构比传统计算机复杂,这是为了便于第三方开发更多应用程序,而系统越复杂漏洞也就越多。不过,操作系统的漏洞只是移动互联网时代移动终端面临的安全风险之一。贺也平表示,与传统计算机相比,移动终端在面临安全风险方面还存在几个重要的变化。

  首先,是使用模式复杂多变。手机大部分时间里都在不断移动的过程中,再加上无线通信技术的应用,时时刻刻可以联网。如果将手机GPS定位系统24小时打开,一旦有应用软件获得了用户的定位权限,那么他们的住处、工作地点,甚至经常光顾的地方,都有可能被泄露出去。

  其次,是管理对象更复杂。传统计算机管理的主要是文件或者是一些硬件设备,相对比较单纯。而移动终端新增了许多管理对象,比如传感器,有重力传感器、GPS、指纹识别等等。此前,几乎所有应用程序都可以访问重力传感器,用户在按键的时候手机会晃动,应用程序通过重力传感器甚至可以判断用户按的究竟是哪个键。

  此外,是生态模式的变化。移动终端大量依赖第三方应用软件,由于其大多具有社交网络的特性,对于恶意程序、木马病毒的传播效率也远远高于传统计算机。

  正是由于移动终端在这些方面表现出的特点,除了操作系统本身的漏洞,第三方应用软件的漏洞可能受到黑客攻击,抑或第三方应用软件本身就含有恶意程序。

  然而明显的恶意软件还是可以被检测的,但那些看上去正常实际上却隐含风险的应用才是隐私泄露的重要途径。

  贺也平举例,第三方软件在进行安装的过程中,往往会要求向其开放一些访问权限,比如通讯录、位置信息、微信、微博等,但用户并不清楚,这些软件是否真的需要这样的权限。

  “我们对10万个应用程序做过扫描,通过大量横向对比,权限整理,我们发现,有些第三方软件申请了不必要的权限。比如,下载在本地使用的软件,理论上与网络并没有关系,但也申请了网络权限,此类第三方软件就可能存在安全隐患。”贺也平说,但目前,这方面的识别技术还没有做成一款真正可供用户使用的安全工具。

  安全软件与个人防范

  此次“××神器”病毒爆发之后,安全厂商的迅速反应也格外引人关注,有的负责查杀,有的配合警方查找恶意传播者,有的向用户发布预警等。

  在贺也平看来,总体上,对于一些恶意程序的预警,安全软件还是很难发挥显著作用。“病毒、木马的传播在网络上会反映出一些特征,比如存放恶意程序的服务器,突然访问量剧增,而且访问人呈现一些相关关系,才被发现。”

  “但必须承认的是,小小的手机其处理能力远弱于PC机,而应用模式、管理模式、生态环境的复杂化,客观上使得防护能力减弱。”贺也平提到,安全软件如果要做到实时监控,所占资源过多,能耗剧增,因此,并没有传统计算机环境下发挥的作用大。

  目前,随着移动电商和移动支付的兴起,安全厂商主要在流量监控、防扣费,以及保证支付安全方面开发新的功能。

  一家安全软件公司的专家在其主办的移动支付安全沙龙上就指出,移动支付安全问题归根结底就是黑客利用系统漏洞、恶意软件、恶意二维码、诈骗短信等骗取用户的支付账号、密码以及验证短信。因此,安全厂商主要是针对黑客的最终目的,提供有针对性的应对方案。

  贺也平坦言,从专业角度,目前的移动支付产品在安全机制上确实还存在问题,通过一定的技术手段可能实现攻击。黑客只是还没有找到可以从用户身上获取经济利益的最终办法,但未来很可能会出现。“而目前的安全软件,尚没有找到突破性的技术手段,可以完全预防、阻止移动支付的安全问题。”

  连一峰认为,移动终端最终的安全问题还是会落在用户身上,因此,用户自身其实需要采取更有效的防范措施。

  绝对不能下载来路不明的应用软件,而应到官方网站进行下载;如果一款普通的应用软件,要求授予的权限过多,就要引起足够的重视,不是必要软件,就尽量不要下载;有些手机功能在使用完后立即关闭,比如GPS、蓝牙等;即便是熟人发送的链接也不要轻易打开,确认来源之后再打开;重要信息需要备份,但不要轻易相信一些网络平台的备份功能。

[责任编辑:fl]
转载申明:中国智能化产业与产品网独家专稿,转载请注明出处,违者必究!
关键词: 智能终端  移动互联网

官方微信

联系我们

010-57188978
投稿:zgznhcy@ciiip.com
地址:北京市朝阳区劲松南路1号
网址:www.ciiip.com
关于我们
加为微信好友