我國手機(jī)網(wǎng)民增長迅速,規(guī)模已達(dá)5億。龐大的用戶規(guī)模和移動網(wǎng)際網(wǎng)路絡(luò)的提升,在極大豐富手機(jī)應(yīng)用的同時,也引發(fā)了惡意程式帶來的個人資訊洩露等安全隱憂。國家網(wǎng)際網(wǎng)路應(yīng)急中心(CNCERT)3月28日發(fā)佈的《2013年我國網(wǎng)際網(wǎng)路網(wǎng)路安全態(tài)勢綜述》顯示,去年,CNCERT自主監(jiān)測和交換捕獲的移動網(wǎng)際網(wǎng)路惡意程式樣本高達(dá)70.3萬個,較2012年增長3.3倍。面對安全隱患,我們該如何防範(fàn)?
洩露隱私,自動扣費(fèi)
開放平臺成惡意程式重災(zāi)區(qū)
《綜述》顯示,2013年針對應(yīng)用開放平臺的惡意程式數(shù)量呈爆髮式增長,其中,針對安卓平臺的惡意程式佔(zhàn)99.5%。按照惡意程式行為屬性統(tǒng)計(jì),惡意扣費(fèi)類、系統(tǒng)破壞類和隱私竊取類分列前三名。
通信專家、飛象網(wǎng)總裁項(xiàng)立剛表示,一些社交、地圖類軟體為了提供更好的服務(wù),有時需要獲取用戶的衛(wèi)星定位、手機(jī)通訊錄等個人資訊。通常,大型網(wǎng)際網(wǎng)路公司在開發(fā)類似功能的軟體時,首先需向應(yīng)用管理平臺申報(bào),同時,當(dāng)用戶安裝或使用相關(guān)功能時,也會提醒用戶、徵得同意。但駭客為了獲取利益,就可能製作、發(fā)佈一些帶有惡意扣費(fèi)等功能的程式。
項(xiàng)立剛説,有些軟體會在不經(jīng)提示的情況下,獲取用戶的通訊錄等資訊,並同步到雲(yún)端,查看用戶隱私。“如果存在關(guān)鍵資訊,則可能被利用,甚至給用戶造成財(cái)物損失。”
如果你發(fā)現(xiàn)自己的話費(fèi)被多扣了,説明某些手機(jī)軟體可能含有惡意扣費(fèi)程式。項(xiàng)立剛説,很多第三方服務(wù)提供商通過與運(yùn)營商的分成來盈利。在利益驅(qū)使下,有些軟體可能被植入扣費(fèi)程式,越過用戶直接向運(yùn)營商訂閱增值服務(wù)。以遊戲軟體為例,通常運(yùn)營商有15%至20%的分成,第三方服務(wù)提供商則有80%至85%的提成。用戶一般只有購買了道具才産生費(fèi)用,但惡意程式可直接向運(yùn)營商編制購買服務(wù)的短信,同時攔截運(yùn)營商回饋資訊,使用戶在不知不覺中被扣去了費(fèi)用。
“不僅是不正規(guī)的遊戲廠商,甚至有些知名廠商開發(fā)的遊戲,為了盈利,都可能設(shè)置惡意扣費(fèi)程式。”項(xiàng)立剛説。
項(xiàng)立剛表示,安卓平臺之所以成為重災(zāi)區(qū),是因?yàn)槠脚_完全開放。類似蘋果這樣的封閉系統(tǒng),如果“越獄”刷機(jī)後,下載了來源不明的軟體,也同樣面臨著風(fēng)險。“有些軟體在蘋果商店中下載需要收費(fèi),而越獄後可以免費(fèi)下載,就可能被植入了惡意程式。”
多重修改,暗含木馬
預(yù)裝軟體成惡意程式傳播新渠道
軟體開發(fā)商想要儘快盈利,希望出廠時軟體已預(yù)裝在手機(jī)內(nèi),渠道商就成了溝通軟體開發(fā)者與手機(jī)廠商的仲介。智慧手機(jī)行業(yè)也形成了手機(jī)廠商、軟體開發(fā)商、渠道商三者結(jié)合的産業(yè)鏈。
通信專家説,過去,大部分手機(jī)廠商為了維護(hù)信譽(yù)會對預(yù)裝應(yīng)用進(jìn)行審核,因此並不存在安全隱患。項(xiàng)立剛説,有些預(yù)裝軟體無法卸載,雖然影響客戶使用,但並沒有達(dá)到病毒危害級別。部分軟體帶有自動設(shè)置的推送功能,以此“偷”用戶的流量,但用戶只需關(guān)閉推送功能就可以減少損失。
然而新的問題是,手機(jī)從出廠到消費(fèi)者手中經(jīng)過多個流通環(huán)節(jié),每個環(huán)節(jié)都有可能被重新刷機(jī)、預(yù)裝軟體,有些應(yīng)用則可能含有扣費(fèi)、竊取隱私的木馬,成為惡意程式傳播新渠道。
除此之外,瑞星安全專家唐威還表示,部分低端或“山寨”手機(jī),為了節(jié)省成本或缺乏技術(shù)實(shí)力,往往忽視對預(yù)裝軟體安全性方面的檢測,導(dǎo)致含有惡意程式的手機(jī)流通到消費(fèi)者手中。
買行貨,不“越獄”
提高安全意識,提高立法層級
項(xiàng)立剛説,近些年,各種惡意侵犯用戶的違法行為不僅數(shù)量增多,而且手段更加隱蔽。他建議,用戶要從正規(guī)渠道下載軟體,不要掃描來源不明的二維碼。同時,裝軟體前,認(rèn)真閱讀安裝許可權(quán),查看有無過於敏感的許可權(quán),同時安裝手機(jī)安全軟體,以防止其他軟體的許可權(quán)控制、惡意APP掃描、扣費(fèi)掃描等行為。
唐威提醒,儘量不要購買水貨手機(jī),而是選擇行貨,手機(jī)從廠家到櫃檯,經(jīng)手者都可能對手機(jī)進(jìn)行修改,應(yīng)在一些有保障、服務(wù)完善的市場購買。此外,手機(jī)最好不要“越獄”。他認(rèn)為,只要用戶提高安全意識,大多數(shù)低級的惡意植入是可以避免的。
通信專家建議,應(yīng)該從製作、發(fā)佈、傳播環(huán)節(jié)加大對惡意程式的打擊力度,通信行業(yè)、網(wǎng)際網(wǎng)路行業(yè)、軟硬體廠商需要加強(qiáng)行業(yè)聯(lián)動和資訊技術(shù)共用,提升對移動網(wǎng)際網(wǎng)路惡意程式的監(jiān)測能力,提高處置效率。
中國網(wǎng)際網(wǎng)路協(xié)會研究中心秘書長、中消協(xié)律師團(tuán)成員胡鋼表示,除了提高用戶的安全意識、強(qiáng)化行業(yè)自律、加強(qiáng)處置外,還應(yīng)該思考制定網(wǎng)路資訊安全的法律。他説,當(dāng)前,工信部門雖然制定並頒布了多個網(wǎng)路資訊安全的規(guī)定和辦法,但立法層級比較低,對一些網(wǎng)路安全違法行為界定不清晰,處罰力度不夠,缺乏足夠的威懾力。立法則可為網(wǎng)民築造一道安全可依賴的保障。喻思孌 封 華
[責(zé)任編輯: 林天泉]
近日,浙江義烏一名男子在網(wǎng)上不斷炫富,還用百元大鈔點(diǎn)煙...
關(guān)注臺灣食品油事件