一款壁紙軟件居然會讀取通訊錄,一款游戲軟件還能悄悄撥打用戶電話——手機(jī)下載安裝應(yīng)用軟件如今已是尋常事��,但要當(dāng)心了:有可能“引狼入室”���。5月13日����,騰訊移動安全實驗室發(fā)布今年一季度手機(jī)安全報告��,顯示手機(jī)用戶的通訊錄�����、短信���、賬號密碼、位置信息等核心隱私正成為惡意軟件竊取目標(biāo)�����。日趨流行的手機(jī)支付��,安全性亦因此遭遇嚴(yán)峻挑戰(zhàn)����。
惡意軟件與病毒瞄準(zhǔn)安卓平臺
2013年3月��,一款名為“游戲殺手”的病毒����,短時間內(nèi)就感染了641款游戲軟件�����,影響超過20萬手機(jī)用戶�����。這款軟件正是在安卓操作系統(tǒng)上運行的�����。報告顯示���,手機(jī)惡意軟件與手機(jī)病毒進(jìn)一步增長��,安卓系統(tǒng)已成為手機(jī)病毒肆虐的主要平臺����。
騰訊此次發(fā)布的報告顯示,一季度���,基于騰訊手機(jī)管家產(chǎn)品服務(wù)的騰訊移動安全實驗室截獲病毒包樣本總數(shù)為97367個���,環(huán)比增長52%,其中在安卓系統(tǒng)截獲病毒樣本包數(shù)占比95%�。而據(jù)第三方調(diào)研報告的估算,目前安卓系統(tǒng)約占市場的70%左右����,蘋果iOS操作系統(tǒng)占20%—30%����。
業(yè)內(nèi)專家介紹,蘋果手機(jī)使用的iOS操作系統(tǒng)是封閉式系統(tǒng)���,相對穩(wěn)定�����,不開放源代碼��。安卓系統(tǒng)則是徹徹底底的開放����,任何一個獲取了安卓系統(tǒng)源代碼的機(jī)構(gòu)或者個人都可以對系統(tǒng)進(jìn)行修改和優(yōu)化���,手機(jī)用戶可以通過多方渠道安裝自己喜歡的應(yīng)用,而不是必須安裝通過官方驗證或者從官方應(yīng)用市場下載的軟件���。這一優(yōu)越性同時也帶來了安全隱患��。
據(jù)了解�,安卓手機(jī)病毒來源以電子市場與手機(jī)論壇為主�����。國內(nèi)部分電子市場缺乏針對山寨或惡意軟件的精準(zhǔn)識別能力�����,許多制毒者或制毒機(jī)構(gòu)抓住審核缺陷與安全漏洞���,上傳惡意軟件或?qū)⒗墴衢T軟件二次打包植入惡意代碼�,可輕易繞過數(shù)字簽名的審核機(jī)制����,快速感染海量用戶群�。
71%手機(jī)軟件讀取用戶隱私
目前����,手機(jī)應(yīng)用軟件(APP)讀取用戶隱私的現(xiàn)象嚴(yán)重性進(jìn)一步凸顯。
據(jù)介紹�����,騰訊移動安全實驗室抽取了近470萬個軟件包�,統(tǒng)計發(fā)現(xiàn)有讀取用戶隱私權(quán)限相關(guān)操作的軟件比例達(dá)到71%,也就是有超過333萬個軟件包同時申請了隱私權(quán)限�����,且含有讀取用戶隱私權(quán)限相關(guān)操作的代碼���。
在這333萬個軟件包中,讀取設(shè)備識別信息與本機(jī)手機(jī)號的占61.75%與28.33%�;讀取地理位置信息的占28.27%;讀取通訊錄的占10.29%���,讀取短信的占4.22%�;打開手機(jī)攝像頭與錄音器的分別占4.15%與3.75%�����;讀取通話記錄的占2.86%;讀取瀏覽器書簽的占7.93%�。
專家分析,并非所有針對用戶隱私權(quán)限的讀取都不合理��,主要取決于其目的是否在功能必須的范疇之內(nèi)�。安全軟件、系統(tǒng)管理軟件��、通訊軟件�����、社交軟件等針對用戶的通訊錄等隱私讀取是在合理權(quán)限內(nèi)����;但是,如果一款游戲軟件或壁紙軟件需要讀取用戶通訊錄和短信��,肯定屬于越權(quán)�。
而在APP越權(quán)讀取隱私現(xiàn)象中,某些不法應(yīng)用開發(fā)者為了牟取利潤��,往往山寨某些知名應(yīng)用���,將其官方APP拆解后�����,在里面嵌入廣告插件甚至惡意代碼��,這部分開發(fā)者被稱之為“打包黨”��。含惡意廣告插件類APP會給用戶造成資費消耗��、隱私泄露等多重危害��。
比如���,一款含廣告插件的游戲APP“神廟逃亡”�����,可讀取手機(jī)號�、地理位置�����、拍照�、瀏覽器書簽等多項權(quán)限;而被打包了“病毒代碼”的偽“神廟逃亡”還進(jìn)一步獲取了聯(lián)系人��、通話記錄�����、發(fā)送短信����、撥打電話這4項用戶核心隱私權(quán)限。
讀取用戶隱私往往和牟利掛鉤�����。據(jù)業(yè)內(nèi)人士分析�����,收集地理位置��、設(shè)備識別�、本地手機(jī)號等信息后,可精準(zhǔn)投放廣告�,并進(jìn)行有效的用戶消費行為分析,符合部分廣告商的利益訴求�,軟件開發(fā)者也可因此分成���。
手機(jī)支付,當(dāng)心病毒竊財
目前����,越來越多的智能手機(jī)用戶習(xí)慣于用手機(jī)支付轉(zhuǎn)賬,手機(jī)支付安全問題隨之而來���。專家認(rèn)為�����,手機(jī)病毒被內(nèi)置到支付類�、網(wǎng)購等應(yīng)用程序之中變得普遍���,這類病毒一旦啟動�,會伺機(jī)竊取用戶賬號信息����。
據(jù)統(tǒng)計,今年一季度����,移動互聯(lián)網(wǎng)上首次出現(xiàn)了手機(jī)支付銀行客戶端被感染的情況。一款手機(jī)支付病毒“洛克蠕蟲”首次感染了中國建設(shè)銀行的手機(jī)客戶端�����,通過二次打包的方式把惡意代碼嵌入銀行APP��,未經(jīng)用戶允許私自下載軟件并安裝���,還會安裝惡意子包�����,進(jìn)一步竊取銀行賬號及密碼�,繼而盜走用戶賬號中的資金�。
手機(jī)安全專家付亮分析,與電腦支付系統(tǒng)相比�,手機(jī)支付平臺本身并沒有更大風(fēng)險,關(guān)鍵在于手機(jī)應(yīng)用環(huán)境和用戶的手機(jī)使用習(xí)慣�����。比如�,很多用戶習(xí)慣于在手機(jī)上設(shè)置默認(rèn)密碼,每次自動登錄,這就給惡意軟件和病毒留下了可乘之機(jī)�����。
專家建議��,對普通用戶來說����,要保護(hù)個人信息和隱私安全,最好從正規(guī)渠道購買手機(jī)����。許多水貨手機(jī)往往在出貨前就已經(jīng)刷機(jī)或者內(nèi)置了各種流氓軟件。同時��,不要點擊不明網(wǎng)址鏈接��,從正規(guī)安全的渠道下載應(yīng)用��,在論壇里下載軟件之前最好先瀏覽用戶評價���,使用可靠的手機(jī)安全軟件�����,定期體檢和殺毒����。
付亮尤其提醒�����,安裝軟件時一定要知道自己安裝的是什么����,不能糊里糊涂,安裝完畢后檢查軟件權(quán)限���,關(guān)閉或者刪除不必要的功能�����,及時監(jiān)控惡意軟件的過度權(quán)限要求和后臺私自聯(lián)網(wǎng)等惡意行為�����。
