原標題：安全測試顯示近半智慧手機存漏洞 雲(yún)平颱風險高

　　智慧手機與我們的生活越來越緊密，目前我國手機網(wǎng)民已將近7億，但智慧手機的資訊安全問題不容忽視。今天國家質檢總局發(fā)佈的智慧手機産品資訊安全專項風險警示顯示，智慧手機在手機系統(tǒng)、應用軟體和雲(yún)平臺等方面，存在安全風險。

　　手機系統(tǒng)風險 木馬暗中讀取數(shù)據(jù)

　　日前，國家質檢總局組織了一次智慧手機産品資訊安全的專項風險監(jiān)測，測試機型包括了市場上大部分高中低端的手機産品，共40批次。記者了解到，按照進網(wǎng)標準要求，手機系統(tǒng)在遇到木馬病毒或惡意程式讀取用戶數(shù)據(jù)時，應有一定的提示，提醒用戶防範資訊洩露。那麼這些最新的智慧手機，系統(tǒng)的安全性能會怎麼樣呢？工程師隨後在多款智慧手機上都安裝了一個測試木馬，檢驗這些手機對語音、通話、短信等數(shù)據(jù)的保護。

　　測試發(fā)現(xiàn)，大多數(shù)手機在木馬啟動的時候，都會彈出提示框，但個別手機卻毫無動靜，任由測試木馬暗中讀取隱私數(shù)據(jù)。

　　應用軟體未經(jīng)提示暗中收集用戶資訊

　　工程師透露，除了手機系統(tǒng)本身的安全防護要求，目前的進網(wǎng)標準還對預置軟體提出了安全提示等要求。記者了解到，存在於手機當中的各類應用軟體都會因功能需要，要求獲取用戶的相關許可權。比如地圖軟體需要獲取位置資訊，聊天軟體要求獲取通話記錄資訊等等，按照要求，獲取涉及用戶隱私的這些資訊必須要經(jīng)過用戶同意。

　　工信部電子五所質檢中心工程師 李樂言：提示有文字圖片或者一些按鈕，比如彈出一個對話方塊，這個對話方塊會告知收集你的位置，或者是聯(lián)繫人，或者是圖片資訊，如果你不點確認的話，它是不會再收集你的資訊的。不符合的話是打開應用的時候，用戶看不到提示內容。

　　工程師隨後對所有手機樣品進行了測試，在專門的測試軟體監(jiān)控下，總共40批次手機樣品中，發(fā)現(xiàn)有9批次手機當中的相關軟體在未提示用戶的情況下，暗中收集手機用戶私密資訊。

　　近半智慧手機存漏洞 雲(yún)平颱風險高

　　經(jīng)過對手機系統(tǒng)安全和預置應用安全的相關測試，工程師都發(fā)現(xiàn)了存在風險的手機産品。而在隨後進行的智慧手機後端雲(yún)平臺系統(tǒng)的安全測試中，工程師發(fā)現(xiàn)，雲(yún)平臺對用戶身份鑒別和許可權控制方面的安全風險，是最主要的安全隱患所在。

　　工程師告訴記者，智慧手機的後端資訊系統(tǒng)，也就是人們所説的雲(yún)平臺。隨著手機智慧化的提升，目前手機都能夠連接後端的雲(yún)平臺，實現(xiàn)通訊錄、短信、照片等數(shù)據(jù)備份功能，以及在丟失的特定情況下定位找回、數(shù)據(jù)清除等功能。但是如果手機雲(yún)平臺存在安全漏洞，也就意味著智慧手機不僅沒能提供存儲便利，反倒增加了資訊洩露的途徑。

　　李樂言：雲(yún)平臺連接了大量的智慧手機，如果雲(yún)平臺出現(xiàn)問題，這些手機存儲在雲(yún)平臺的數(shù)據(jù)，或者和雲(yún)平臺建立的連接如果被惡意分子利用，將導致大面積的資訊洩露。

　　雲(yún)平臺對密碼強度要求低 安全風險高

　　那麼，目前智慧手機雲(yún)平臺會存在什麼樣的安全漏洞呢？記者了解到，守護智慧手機雲(yún)平臺安全門檻的，首當其衝的一個要素就是身份鑒別，也就是雲(yún)平臺對密碼強度的要求。

　　工程師告訴記者，符合測試要求的智慧手機會在雲(yún)平臺註冊時，提示不能使用簡單或連續(xù)的數(shù)字作為密碼。隨即進行的測試顯示，工程師使用123456作為密碼註冊時，部分智慧手機立即彈出提示框，提示密碼不能使用連續(xù)的字符。但是部分智慧手機卻沒有提示密碼強度，工程師用記者的手機號碼在一個雲(yún)平臺註冊時，用簡單的密碼就通過了身份驗證。

　　記者發(fā)現(xiàn)，用簡單的連續(xù)數(shù)字，或者用666888等重復性數(shù)字測試時，多款智慧手機的雲(yún)平臺都能夠註冊成功。工程師透露，用這樣的簡單密碼面臨最大的風險，就是容易被駭客破解，造成個人隱私的洩露。工程師隨後用暴力破解軟體對10余位志願者的手機號進行了密碼分析，發(fā)現(xiàn)有3個志願者都使用了簡單的123456的雲(yún)平臺密碼，導致其存儲在雲(yún)平臺的個人資訊，輕易地就被工程師獲取到。

　　雲(yún)平臺對許可權控制弱 資訊易洩露

　　工程師告訴記者，關乎智慧手機雲(yún)平臺安全的，除了身份鑒別的因素，還有一個重要因素，就是許可權控制。

　　工程師告訴記者，一個雲(yún)平臺如果能夠做到控制許可權，會對所有手機用戶的許可權請求進行驗證，並會發(fā)送驗證碼到手機上，驗證是否為本人操作，以保護用戶的各種私密資訊。而在測試中記者發(fā)現(xiàn)，在工程師嘗試通過數(shù)據(jù)包獲取一個志願者的位置資訊時，部分智慧手機的雲(yún)平臺竟然沒有向志願者手機發(fā)送驗證，輕易地就允許了陌生用戶的請求。工程師在全國範圍內徵集了十余名使用相同手機雲(yún)平臺的志願者，在獲取地理位置的測試中，一一輸入了這些志願者的手機號碼，記者看到，僅僅一秒鐘之後，測試工具就將這些志願者的所在區(qū)域以明文形式顯示出來。

　　經(jīng)過大量測試，總共40批次智慧手機當中，共發(fā)現(xiàn)18批次的産品存在不符合項，佔比高達45%。涉及的項目包括智慧手機的後端資訊系統(tǒng)、預置應用軟體安全等。最後，經(jīng)過20名風險評估專家的分析和打分，此次智慧手機的資訊安全風險等級被評估為中等風險。

　　安全漏洞六成以上問題出在雲(yún)平臺

　　記者發(fā)現(xiàn)，沒有標準和規(guī)範要求的雲(yún)平臺資訊安全，暴露出的安全漏洞明顯要多於其他項目，在不符合監(jiān)測要求的18批次智慧手機中，12批次問題集中在雲(yún)平臺。專家建議，針對智慧手機的安全標準建設要加快日程，以保護資訊安全。