早在“七夕”當(dāng)天，超級手機病毒“**神器”突然大規(guī)模蔓延，群發(fā)500萬條詐騙短信，按每條短信0 .1元計算，相當(dāng)於造成中招手機用戶50萬的話費損失。而“**神器”的製作者李某只是某大學(xué)軟體係大一學(xué)生，這一蔓延全國、造成巨大經(jīng)濟(jì)損失的手機病毒事件，為近期愈演愈烈的智慧手機安全問題再蒙一層陰影。據(jù)獵豹移動上半年安全數(shù)據(jù)報告顯示，2440萬個安卓應(yīng)用樣本有215萬個病毒，是2012全年的20 .5倍。也就是説，10個應(yīng)用裏有1個是病毒。360安全專家萬仁國告訴記者，“安卓手機開發(fā)門檻低，惡意軟體製作成本低，這種安全威脅不在少數(shù)。”與此同時，資訊安全問題也再次被提上日程，小米手機日前被曝主動向北京伺服器發(fā)送用戶號碼及相關(guān)資訊，小米手機開頭並未承認(rèn)，而此後，亦是輕描淡寫地宣稱“已經(jīng)修復(fù)漏洞”。

　　第三方下載市場是重災(zāi)區(qū)

　　比起只能接收短信、電話通訊的功能機，2010年開始大爆發(fā)的智慧手機擁有更多延伸功能，無論在操作體驗還是應(yīng)用範(fàn)圍都有了質(zhì)的飛躍，受到的安全威脅亦更加嚴(yán)峻。萬仁國告訴記者，“功能機時代的危害主要是單純的詐騙、垃圾短信電話等通信安全，傳播性及破壞性較弱；而智慧機時代則增加了手機系統(tǒng)安全、隱私安全、手機應(yīng)用安全等安全威脅。”

　　與此同時，相比安卓智慧手機，iO S系統(tǒng)安全性則受到各大安全廠商的認(rèn)可。“今年媒體報道的iO S系統(tǒng)竊取並上傳用戶資訊的新聞個人覺得未經(jīng)證實，不能作為判斷依據(jù)。iO S作為封閉市場，應(yīng)用安全性明顯好於安卓系統(tǒng)。”獵豹安全專家李鐵軍如是表示。據(jù)卡巴斯基安全實驗室數(shù)據(jù)顯示，98%的智慧手機病毒發(fā)生在安卓手機市場上。

　　儘管各大安全廠商統(tǒng)計口徑及樣本選取不同，但主要安卓威脅分析基本一致：主要的威脅來源是手機論壇及第三方下載市場，類似于“**神器”這種“點對點”的A PK傳播相對少數(shù)；主要表現(xiàn)為短信木馬、廣告軟體和獲得root許可權(quán)，竊取上傳用戶數(shù)據(jù)，其中，用戶數(shù)據(jù)最易受到攻擊；主要的類別是惡意付費類、資費消耗類以及竊取隱私。

　　不同於iO S的應(yīng)用下載官方渠道，安卓可以通過第三方市場下載，而在沒有g(shù)oogleplay的中國市場，這個問題則更甚。“第三方下載市場審核不嚴(yán)，沒有制度保障，是病毒重災(zāi)區(qū)。60%的病毒來源於此。”李鐵軍認(rèn)為，第三方下載市場應(yīng)該通過聯(lián)合設(shè)立黑名單的形式強化制度保障。“不能一個惡意軟體換個名字，在另一個下載市場又通過審核。”

　　手機網(wǎng)銀病毒增長最快

　　“值得關(guān)注的是，隨著手機購物和手機支付應(yīng)用的快速發(fā)展，以盜竊用戶網(wǎng)銀資訊為目的的手機木馬病毒開始興起。”卡巴斯基移動安全部負(fù)責(zé)人徐新華告訴記者，2013年底，以竊取手機網(wǎng)銀授權(quán)碼為目的的變異病毒ZeuS在歐洲蔓延，盜取金額達(dá)4700萬美元。李鐵軍補充説，“這種盜取驗證碼的病毒是今年增長最快的惡意軟體。”上半年的病毒樣本中，64%的病毒是支付及惡意扣費類，而類似于“**神器”的資費消耗類則降為17%。

　　騰訊安全2014年上半年報告稱，“目前手機支付病毒一般通過兩種智慧化的方式搶劫用戶資金。首先，通過偽裝銀行、支付類A PP誘導(dǎo)用戶輸入銀行賬號密碼資訊，然後再通過病毒攔截、轉(zhuǎn)發(fā)手機支付驗證碼、支付成功回執(zhí)短信完成資金的竊取。”

　　同時，手機網(wǎng)銀客戶端的盜版問題同樣嚴(yán)重。據(jù)《2014年第二期中國移動支付安全報告》顯示，手機網(wǎng)銀客戶端軟體均存在盜版現(xiàn)象，個別客戶端甚至有20個以上不同的盜版版本，這客觀上又增加了手機安全的潛在威脅。李鐵軍認(rèn)為，銀行應(yīng)該與安全廠商合作，通過簽名校驗或加固處理等形式，提高盜版軟體篡改的難度。

　　數(shù)據(jù)上傳的“紅與黑”

　　“數(shù)據(jù)上傳是把雙刃劍，可以方便我們資訊保管，例如微信，雲(yún)端存儲聊天內(nèi)容，方便我們查詢資訊，但一旦被竊取並惡意利用，同樣也會對用戶造成傷害。”徐建國並不否認(rèn)數(shù)據(jù)讀取及上傳對軟體功能的輔助作用，但很多應(yīng)用過度讀取資訊，殺毒軟體則以“必要與否”判斷是否為惡意軟體。“比如手電筒A PP就沒必要讀取用戶地理資訊及通訊錄，甚至上傳數(shù)據(jù)。”

　　但“必要性”的界定如此模糊，更多時候需要法律的監(jiān)管。“政府加強立法監(jiān)管，一方面從源頭治理隱私倒賣産業(yè)鏈，另一方面在應(yīng)用分發(fā)渠道層層設(shè)崗。”徐建國如是表示。

　　“竊取用戶資訊的基本判斷條件是：用戶是否具有知情權(quán)及選擇權(quán)。”廣東人和律師事務(wù)所律師李軍紅告訴記者，目前沒有專門的法律保護(hù)用戶隱私，但用戶可以運用《民法通則》的規(guī)定來，運用舉證責(zé)任倒置的原則來厘定是否非法。“用戶即使沒有因為資訊洩露而造成損失，倘若用戶不知道其個人資訊被利用造成商業(yè)利益，同樣被視為非法。”同時，李軍紅還表示，如果作業(yè)系統(tǒng)不是人為故意造成系統(tǒng)漏洞，則視為技術(shù)問題無需負(fù)相關(guān)責(zé)任。

　　（采寫：南都記者蔡輝　實習(xí)生李益明方圓圓）