用户安全,移动互联之殇
2014-04-29宗捷
宗捷
移动互联大爆发,用户安全成重灾区
2013年是中国移动互联网的爆发之年,不仅BAT(百度、阿里巴巴和腾讯)一类的互联网巨头确立了自己的移动互联网的战略,许多初创企业也将移动互联网作为发力的方向。然而,人们在享受移动互联网带来的便利、快捷的同时,也面临着因网络和终端系统漏洞而导致的病毒木马入侵等威胁。用户数据的泄露,网银、支付宝资金被盗,广告骚扰等诸多问题催生了新的安全诉求。
据DCCI(互联网数据中心)最新的《2013移动隐私安全评测报告》显示,中国手机用户已达 11 亿,其中智能手机用户超过了 4 亿。数亿人的工作和生活与移动互联网息息相关:沟通、社交、娱乐、生活、商务和隐私无一不交给移动智能终端。在该报告中,DCCI对国内各类 Android 市场下载量前1 400位的APP进行了一个评测,结果显示 66.9% 的智能手机移动应用在抓取用户隐私数据,其中高达 34.5%的移动应用有“隐私越轨”行为。
“隐私越轨”行为是什么?DCCI将其定义为:性质过分的越界抓取,在与本身功能毫不相干的情况下,获取智能手机用户的短信记录、通话记录和通讯录等敏感个人信息。这些抓取行为并非相关移动APP为用户提供的应用服务功能所必需,大多数普通用户并不知情,知情者也往往无可奈何。
除了上述数据之外,各种隐私安全事件也相继曝光。2013年初,最大的僵尸网络—MDK被曝光,7 000多款热门游戏被植入后门,数百万Android用户沦为肉鸡(编者注:指可被黑客远程操控的设备)。而在整个2013年,有专业机构统计,智能手机的病毒增长率达到10倍,手机携带恶意软件平均每部手机有11个之多。而今年的3·15晚会更是暴出了智能手机预装软件的黑幕,一个个触目惊心的事实让原本为了方便和自由发展起来的移动互联网越来越让人觉得“如芒在背”。
移动互联,到底在怎样威胁着我们的安全?
随着移动互联网逐渐深入人们的生活,安全问题也不断曝露出来。那么,在移动互联时代,手机到底从哪些方面威胁着我们的隐私安全呢?
智能手机信息防范能力弱
与传统手机相比,智能手机功能强大,信息覆盖范围广,其操作系统依托于移动互联网,信息泄露隐患大。智能手机内部包含大量私人信息或涉密信息,如定位系统、账户密码、图像图片、通讯录、短信息和通话内容等。而智能手机的诸多功能需要时时连入互联网才能实现,对于很多手机来说,在传输数据时缺乏有效保护和加密,从而导致黑客非法盗取用户信息也更为容易。
此外,移动互联网终端的生产厂商众多,各厂商升级打补丁水平参差不齐,也会为移动互联网安全带来挑战。传统的PC上,基本都使用Windows系统,微软会定期推送安全补丁。但在移动设备端,修改系统和打补丁的责任由各生产厂商承担,造成系统升级能力参差不齐,很多中小厂商根本不提供升级服务,甚至有部分山寨机厂商在手机出厂时就会内置木马软件。
网络环境复杂,防护难度大
相对于传统互联网,移动互联网的环境更复杂。首先,移动APP的生产和使用环境更开放,分发渠道更多样化等原因,带来移动APP更容易被植入木马,更容易被二次打包,数据是否加码存放,秘钥是否可以被窃取或者篡改,这些都存在极大的风险。除此之外,数据的传输更容易遭受各种中间人攻击,交易数据更容易获取和篡改等。
不安全的APP生产流程
不管是APP还是Wap或是Web,都只是产品的前端表现形式,所调用的数据源必然只有一个。新产品的上线流程一般是“开发机”→“内网测试机”→“发布员发布到外网”,每个环节都有QA(Quality Assurance ,即品质保证)测试。但在把控不严或追求速度的情况下,程序员可能会去外网修改产品,这么做非常危险,这样会APP的安全不能得到有效保证,可能会被植入有害代码。
不安全的身份认证
身份安全和安全的交易验证是互联网业务开展的前提和核心,而移动互联网应用的身份验证技术大多从PC时代直接移植到移动互联网,各种应用的身份认证和交易验证的技术手段落后,已经难以确保移动金融的安全。
移动大数据,要体验还是要隐私?
曾经有这样一句话是这样说的:丢了手机比丢了钱包更可怕。是的,我们的智能手机都存储着包括短信和通讯录等大量的私人数据。这些隐私信息,由于对用户不可见,往往是在不知不觉中就泄密了,即使造成了损失也很难定位,往往容易被人忽略。
但是,这些和身份有强关联特性的数据却有利于为用户提供更好的实时和个性化服务。因为服务提供商在收集了这些数据之后,通过大数据分析,就可以有效了解到用户的使用习惯和使用场景,从而更好的改进产品,提升用户体验。
这本身就是一个巨大的悖论,为了提升用户体验,给用户提供更好更优质的服务,服务提供商千方百计的想收集这些数据,这些行为也会导致我们的生活变得越来越透明。
忽视用户安全,移动互联将成空中楼阁
从前文我们可以发现,随着智能手机越来越多的进入人们的生活,在移动互联时代,用户使用手机会有很大的危机,这一点在开源性的Android平台尤甚。为什么这么说呢?
这是因为Android平台没有一个像APP Store一样的监管环节。要知道使用智能手机,用户必然会在手机里安装各种各样的APP。在iOS平台,由于系统的封闭性,绝大部分用户都会选择官方的App Store作为下载App的第一渠道。毕竟,苹果公司对App Store上收录的App质量有着严格的把控,这一点世人皆知,基本不会出现安全问题。但是,在Android平台上,国内的用户们却基本不会选择官方的Google Play作为第一渠道,这也是Android平台的开源性带来的弊端。
在国内,用户的APP下载渠道通常都是《豌豆荚》和《91助手》等第三方下载平台。很明显,这些第三方下载平台对其收录的App质量的把控必然不会像苹果公司一样严格,甚至相差悬殊,这就会导致其中收录的不少APP都存在着安全隐患。而且,从用户的角度来说,用户的安全防范能力永远滞后于黑客的技术能力,再不严加把控,就会导致用户时时刻刻都会受到数安全威胁。一旦出现问题,用户的照片、通信录、网络银行和手机银行这些隐私数据以及用户的上网流量都有可能被窃取,这样的危害比过去的PC时代更加严重。这样的移动互联网,相信不会有多少用户愿意使用。可以这样说,如果没有安全的保障,未来移动互联网将相当于一个“空中楼阁”。
谁是搅乱移动互联安全的幕后黑手?
从前面的几个因素我们就可以看出,宽带无线通信技术的演进和智能手机的普及,为移动互联网的发展注入了强大的动力。但是,技术的进步亦造成手机安全问题层出不穷。
中国人民大学匡文波教授认为,通信技术的进步、智能手机与软件的开发与普及等都在一定程度上方便了手机病毒的制造和传播。据腾讯安全实验室发布报告显示,开放性的Andriod平台上的病毒已经占到病毒总数的84%。
为什么会出现这种状况呢?手机病毒主要制造者的趋利性就是最为重要推手。据相关安全产品负责人介绍,手机病毒已经形成一条完整的产业链,从手机病毒的制造,到最后的盈利收入,手机病毒制造者能够从吸金链条上获得暴利。反过来,也使手机病毒的形式日趋多样化,恶意软件、垃圾信息、隐私泄露和恶意扣费等行为都让用户应对不暇。
病毒及恶意软件开发者与非法SP(移动增值业务服务商)之间已形成了紧密的“合作关系”,黑客通过技术手段将非法SP提供的扣费号段植入到APP中诱骗用户下载。在用户感染吸费软件后则会利用非法SP公司的短信计费和服务定制通道来产生费用,然后拦截运营商向用户发送的扣费短信,使用户无法发现扣费行为,从而实现长期获利。而在产生资费之后,黑客和非法SP公司还会按照不等的分成比例来获取暴利。此外,在隐私安全问题上,目前一条围绕隐私利益点的转卖获利产业链也已经初步形成。恶意软件通过安全漏洞收集手机用户信息,利用倒卖信息牟取暴利。这一点,今年3·15晚会上爆出的手机预装软件黑幕就是最好的例证。
除此之外,法律上相关规定和监管措施的缺失也是移动互联网安全问题突出的一个重要因素。正式因为监管的确实,让手机病毒制造者有机可乘,在手机安全市场上肆意妄为。
移动互联时代,谁来为用户安全埋单?
通常,面对手机安全事件,产业链各方包括运营商、手机厂商和第三方安全软件厂商,都显得有些被动。俗话说得好,“道高一尺魔高一丈”,在移动互联网时代,又该由什么人来为用户安全买单呢?
手机不断在智能化,攻击的技术含量也不断提升,这就需要有智能化应对之策。就目前的情况来看,一旦发生手机安全事件,相关责任方通常无法在第一时间拿出切实可用的解决方案,多数做法是以预防为主,尽量规避安全事件的发生。业内人士表示,产业链各方协作才是未来的解决之道。预防、拦截和查杀手机病毒,需要运营商、手机厂商和第三方安全软件厂商联手,各自承担相应的责任。
与运营商、手机厂商相比,安全软件厂商方面态度比较积极。无论是病毒攻击,还是系统平台漏洞,手机杀毒软件厂商都第一时间推出专杀工具,如网秦推出的“网秦助手”软件,对手机病毒有预报功能,还针对变种木马病毒推出专杀工具。腾讯、360和百度也纷纷推出了自家的手机版安全软件,用以应对来自互联网的攻击。
除此之外,政府相关部门也要尽快完善相关法律法规,切实加强监管,为移动互联安全把好舵。其实,政府的相关部门早就注意到了移动安全不容乐观的事实。工业和信息化部总工程师张峰就于2013年底,在北京举行的第七届移动互联网国际研讨会上表示,工信部会全力保障移动网络与信息安全。政府相关机构会从战略和全局的高度重视移动网络与信息的安全,构建安全可信的网络环境。政府部门也会切实发挥领导作用,着力推进和加强网络安全,数据安全,和个人隐私的保护等方面的法律法规和制度的建设。加大对各类垃圾短信、网络病毒、恶意程序、网络谣言的治理和打击力度,净化网络环境,保护网民上网安全。
当然,为了保护自己的安全,用户还是应该从自身的防范意识入手,要更有选择性地下载App。评价高和流行度不应该成为选择的标准。刷码族们切记不要见码就刷,应选择权威性平台上的二维码,最好在手机上安装二维码检测工具,在断开网络的情况下扫描二维码,这样就可以大大降低中毒风险。