谷歌的安卓和蘋果的iOS為代表的移動互聯系統全面爆發的時代,安卓系統以開放性快速吸引了開發者并在競爭中占得了先機,而這種開放性同時給予開發者較大的權限,任何人可以對軟件進行修改和反編譯。黑客們開始利欲心地將黑手伸向移動智能終端。
今年第一季度,國家網絡信息安全技術研究所軟件安全評估中心針對來自21家安卓應用商店中的173586個移動應用樣本進行了惡意行為監測分析,共發現惡意應用2221個,占監測樣本的13千分之,比起2012年第四季度的9.5千分之增長36.8%,總下載量達到2000萬次。4月3日,國家網絡信息安全技術研究所軟件安全評估中心再次對上述2221個惡意應用在線情況進行復查,發現其中1904個惡意應用仍在某些應用商店提供下載。此外,該研究所在2013年1月之前累積發現1912個惡意應用中仍有1609個惡意應用在某些應用商店提供下載,截至2013年4月3日,我國安卓移動應用商店中至少存在3513個惡意應用對外提供下載。
更加不容忽視的問題在于,由于從事網絡安全的職業人士與黑色產業從事者技能和水平相仿,而收入卻天差地別,這驅使了一些有技術能力的網絡安全職業人士走上黑產之路,或者是業余時間兼職黑色產業。
曾有某國內知名網絡安全廠商人士透露,這些兼職收入的浮動幅度一般會比較大,有時可以獲得高達每月20萬元。
黑客的猖獗以及市場發展的畸形是無形的推手,而黑色產業鏈的“快速發展”已經將互聯網推向失控的邊緣。
誰可以根治移動互聯時代的安全亂象?
篡改漩渦
根據國際數據公司(IDC)公布的新數據,在2013年第一季度,Android和iOS系統的裝機量占到所有智能手機出貨量的92.3%。
巨大的市場吸引著惡意程序篡改者如飛蛾撲火般蜂擁而至,而安卓系統更是成為了黑客們的首選大餐。盡管挖掘一個安卓的漏洞和挖掘一個iOS漏洞需要相同的技術、時間和精力,但前者有更高的市場占有率,以安卓系統為攻擊目標,更能獲利。
而安卓引以為傲的開放性更讓其成為了黑客滋生的沃土。不同于擁有認證機制的iOS系統,在開放的安卓環境下,代碼往往是公開的,更容易破解和篡改,任何人只要下載一個針對安卓的破解軟件,便可對一個正版軟件的APK進行反編譯。更為嚴重的是,當程序篡改者將廣告、惡意軟件等植入修改過的應用軟件后,目前的安卓市場中尚未有有效機制進行監管查處。
在這種環境下,App軟件市場開始變得混亂不堪。眾多App軟件開發商都是只有幾個人的小團隊,當自己開發的軟件被篡改,這些正當的軟件開發商往往無力還擊,而軟件篡改團伙已經形成一定規模,甚至有一些小團體專門做盜版,看到主流應用商店里什么游戲最火,就將它做成免費版,在植入廣告后,放到另外的應用商店。眼下在移動應用市場,通過破解移動應用、插入惡意扣費代碼或惡意廣告獲取非法利益已形成黑色產業鏈。
用安卓系統手機搜索“憤怒的小鳥”游戲,僅在一家App下載渠道中便可找到二十幾種不同版本的游戲,其中多個游戲版本顯示“官方”二字,用戶根本無法辨別哪一個才是真正的正版游戲。
在游戲中設置一些非常難的關卡引導玩家們用人民幣通關是許多游戲開發商的普遍贏利模式。而如果這款游戲被破解,那么用戶便可以不需要充錢就能在游戲中暢通無阻,從而大大損害游戲廠商的利益。
軟件開發商對盜版軟件頭痛無比,甚至一些創業型手機軟件開發公司已被盜版軟件逼到走投無路。以手機游戲為例,目前大部分手游采取免費+道具付費模式,而當該游戲被篡改后,其游戲收益最終便會流向篡改者的腰包。
被破壞的還有移動游戲產業。從整個游戲環境來看,游戲世界里有一套自己的經濟平衡體系,成都賽一科技有限公司創始人鄧洋認為,當一款游戲被破解后,玩家會得到無限金幣,可以隨意購買任何道具,整個游戲世界的貨幣供應量就開始大幅增加,經濟體系的平衡狀態也就被打破,而這些破解既嚴重破壞了游戲世界經濟體系的平衡性,最終會導致玩家們紛紛撤離,這將嚴重影響游戲開發商、運營商的收益。
金融安全
其實,軟件廠商的利益流失還只是移動應用軟件問題的冰山一角。根據《惡意代碼的應用碼描述規范》中的定義,惡意代碼共分為八類:惡意扣費、隱私竊取、遠程控制、惡意傳播、資費消耗、系統破壞、誘騙欺詐、流氓行為。而這些惡意行為,任何一種都會對手機用戶的財產安全造成傷害。
在CSTC的移動應用軟件檢測實驗室,工作人員為《中國經濟和信息化》記者演示了這樣一組案例,一款看似平常的免費閱讀軟件,當用戶翻頁3次,也就是點擊屏幕3次,立刻便會從手機中發送6條短信到特定手機號碼,該短信每條收費2元。
值得注意的是,以經濟利益為目的的惡意篡改趨勢開始越來越明顯,移動金融應用軟件正在成為被攻擊的重點。而移動金融應用軟件則直接關乎手機用戶的財產安全。
根據CSTC針對金融行業(行情 股吧 買賣點)移動應用渠道的監測數據,銀行(行情 專區)、證券、基金、保險(行情 專區)均有不同數目的篡改版本。
“雖然較游戲等手機軟件來說,金融類的篡改版本較少,” CSTC移動應用檢測實驗室主任嚴宏君表示,“但金融領域對信息安全更為敏感,這些問題非常值得關注。”
這些移動金融應用軟件存在的安全隱患,主要來自于在設計開發過程中對安全性考慮不足,此外,Android 平臺的開放性則是這些安全隱患的源頭。
有一個驚人的案例:根據CSTC的中國移動互聯網可信應用平臺數據,國內一家知名銀行的篡改版本達數個,其中一款盜版軟件的下載量為90余萬多次,而其名稱后面赫然跟著“官方”二字。
兩個環節的斷層
個人信息被出賣,流量、資費被吸走,隨時隨地在被監聽,手中的智能設備儼然成為一顆定時炸彈,用戶們開始緊張起來。
為了增強安全感,用戶們開始下載手機安全軟件、開啟防護模式、開始像對待PC一樣對移動終端進行定時安全檢測。將手機全副武裝之后,這些用戶們終于放下了心,以為惡意軟件終于可以不再近身,然而事實卻是,下載手機安全軟件軟件進行查殺和防護只是治標不治本。
目前大部分的殺毒主要是對已知病毒進行查殺,而病毒的特點則是只要發作一次,它的使命往往也就完成了。賽迪智庫信息安全所所長劉權表示,如果惡意程序已經將你手機中的資料竊取了,你再殺掉它,已經遭受的損失也無法挽救,目前已有的手機安全軟件能力不足以應對眼下的安全危機。
值得注意的是,真正意義上的病毒目前已經很少出現在移動終端中,在安卓平臺的大染缸中混得風生水起的,往往是篡改版本的惡意軟件,也就是添加了惡意程序的盜版軟件,而手機安全軟件卻對此毫無辦法,無法識別出哪些軟件是篡改版本,哪些又是正版。
不僅如此,縱觀手機軟件的生命周期,其從開發者到使用者的手中主要經過三個環節,即設計研發、傳播、使用。目前的殺毒軟件主要針對第三個環節,也就是使用環節。手機安全軟件安裝在智能終端,當惡意軟件到達該終端時,手機安全軟件可以將其清理出去,但同樣的惡意軟件依舊在市面上行走江湖,也就是說,手機安全軟件無法解決軟件研發和傳播中出現的問題。
在軟件開發層面,軟件開發的特性是一個不斷出現漏洞,不斷修復漏洞的過程,而如果在軟件推出之前,其開發過程中的漏洞沒有被測試部門檢測出來,那么頭戴漏洞的該軟件一定會在剛出世時就遭到圍攻和篡改,甚至還沒有學會走路就已經被盜版市場擠壓得體無完膚,最終倒地。
當然,如果渠道分銷商能夠對軟件進行嚴格的把關和監控,惡意軟件便能得到一定程度的遏制。但目前的情況是,大多數渠道分銷商并沒有一個相對完善的審核機制和技術手段。
國內的渠道商大約有400多家,競爭十分激烈,任何一個渠道商都努力使自己平臺上的軟件越全越好,換句話說,渠道商們希望在其他渠道上可以下載的軟件,在自己這里也有。而如果渠道商將門檻設置過高,審核過于嚴格,所有的軟件便會流到門檻低的渠道中,在競爭中處于不利地位。為避免這一情況,渠道商們雖然也會審核這些開發者上傳的軟件,但力度往往不大。甚至存活在其平臺上的多版本熱門軟件,連渠道商都不知道究竟哪一個版本是正版。
更為嚴重的是,渠道分銷作為一個商業行為,雖然其渠道商也會對軟件進行認證,但有些時候也存在利益上的相關性。比如同一種軟件的多個版本,當其中某一種篡改版本與渠道商建立利益關系,那么也許在這個渠道上推薦的版本并不是正版,而是這款篡改版。更有部分不規范的渠道商甚至依靠惡意應用為生,客觀上為惡意軟件傳播提供了溫床。
智能手機給人類的衣食住行帶來便捷,同時對個人的隱私更易遭泄密,華軍行建議手機用戶,不要下載一下破解手機程序軟件,瀏覽一下很陌生的網站,給手機安裝一個殺毒軟件,平時多備份手機數據等。
沈陽數據恢復 
