“互联网+”时代智能手机网络安全问题探析
2018-03-22王雪芬
“互联网+”理念的形成和发展,极大地推动了移动终端业务的进步。当前,以智能手机为代表的移动终端依靠其便携性和优越的用户体验功能,受到越来越多消费者的青睐。事实上,智能手机在给用户带来更多功能和便捷的同时,在手机信息安全方面还面临着一系列的威胁,研究发现,各种形式的诱骗欺诈、恶意扣费、隐私获取以及远程控制类的攻击时有发生。智能手机的网络安全问题已经成为公众和政府相关部门高度关注的重大问题。因此,研究新形势下智能手机网络安全问题日益迫切。
【关键词】“互联网+” 智能手机 网络安全 恶意软件
1 引言
近年来,“互联网+”的理念已经渗透到人类生活的方方面面,极大地推动了经济社会的发展。其中,以智能手机为代表的移动终端得到了长足的发展,受到越来越多消费者的追捧。智能手机无论是在硬件的处理能力还是在软件系统的功能方面都获得了极大地发展,为移动终端用户带来了优越的用户体验。但与此同时,由于智能手机操作系统的特性和各类手机应用软件的泛滥等因素,使其更容易感染病毒、受到攻击和泄露用户隐私,智能手机在给用户带来更多功能和便捷的同时,在手机信息安全方面还面临着一定的威胁。
2 智能手机网络安全现状分析
当前,围绕智能手机应运而生的应用软件层出不穷,国内各类手机软件开发商异军突起。根据2016年全球APP发展报告显示,中国已经成为世界最大的互联网市场,同时,中国的移动互联网产品已在世界市场上获得了高度的认可。根据INFORMA、US CEMSUS的数据,中国是世界上移动互联网人口最多,移动互联网史上增速最快的国家。
2.1 智能手机面临的安全威胁
众所周知,为了方便用户自行安装应用软件,智能手机大多是使用开放式的操作系统,这就给一些不法分子提供了可乘之机。2017年5月17日,中国互联网协会、国家互联网应急中心在京联合发布《中国移动互联网发展状况及其安全报告(2017)》,这是国内针对中国移动互联网发展状况及其安全的顶级、专业、权威的研究报告。报告指出,2016年流氓行为类的恶意程序数量为1,255,301个(占61.13%),恶意扣费类373,212个(占18.17%)、资费消耗类278,481个(占13.56%)。移动互联网恶意程序主要针对Android平台,共有2,053,450个,占99.9%以上,位居第一。腾讯2016手机安全报告大数据显示,从2013到2016三年的同期数据对比,手机病毒感染用户数翻了6倍,垃圾短信数从2014到2016的两年同期增长近50%。2016年上半年,感染手機病毒的用户超2亿人次,并且呈现出逐月增长的趋势。值得注意的是,占比高达82.8%的资费消耗类病毒,用户感知并不明显。危害手机安全的另一重要因素垃圾短信,在2016年上半年每月发送数千万条,上亿用户不胜其扰。其中性质恶劣的诈骗短信占比11.8%,仅六月单月发送条数达到七千万以上,严重危害了用户使用手机的安全性。攻击者一般会利用手机操作系统的漏洞,编写恶意应用软件来窃取用户的信息。
智能手机遭受的攻击主要可归纳为四类:
2.1.1 诱骗欺诈类攻击
此类攻击是成功率最高的诱骗手段,类型五花八门,用户防不胜防。
2.1.2 恶意扣费类攻击
此类病毒的数量大,隐蔽性很强,会在用户不自知的情况下为其定制收费套餐,或者通过手机软件捆绑下载、短信链接的方式实现用户被恶意吸费。当前针对Android系统的恶意攻击中有超过一半以上会造成用户账户被恶意扣费。
2.1.3 隐私获取类攻击
Android系统是一个开源的系统,容易被植入木马。一旦植入,用户手机上的个人信息,如通话、短信、照片、联系人、电话号码、账号信息等都会被恶意软件窃取和泄露。另外,鉴于智能手机自身会装备多种传感设备,攻击者可以借助传感器来实时窃取用户的隐私信息。
2.1.4 远程控制类攻击
这类攻击具有较高技术含量,在实际的攻击中运用有限。
2.2 可能后果
当用户手机遭到攻击时,不仅危害到个人的隐私安全,还会导致一系列严重的后果。鉴于智能手机的便携性和较大的存储容量,用户为了方便,会将某些重要的信息,如照片、通讯录、电子邮件,甚至银行密码、涉密文件等存储在手机里。一旦用户在上网时不经意间安装了窃密软件,手机内容将会很容易被下载、定位跟踪和远程监听。
智能手机拥有较强的数据交互能力,一旦手机被植入木马程序,很容易导致在使用过程中,将重要数据传输出去。甚至可以在手机连接电脑充电时,窃密软件就可以实现对电脑数据的窃取。
3 智能手机受到网络安全威胁的原因分析
据统计,至2016年6月我国用户使用的智能手机系统多为谷歌的安卓系统,占中国市场份额的78.8%,而苹果公司的IOS和微软的windowsphone分别占20.1%和1.1%。从这个数据可以看出,安卓系统以绝对优势占据了我国手机操作系统的半壁江山。随着软件系统朝着互联化和生态化方向发展,近年来我国的科研人员在对抗手机网络安全威胁的工作方面不乏工作的亮点,但仍然有很多难题亟待解决。
3.1 思想层面上,网络安全意识薄弱
思想方面主要表现在两个方面,一是我国手机用户上网安全意识薄弱,在安全管理、信息保护方面缺乏有效的认知,对智能手机网络安全重视程度不够;二是应用软件开发商对智能手机网络安全问题和潜在的风险认识不足,自我保护和防范措施不得力。开发商过于注重现实效应,对安全领域的研发和投入远远不能满足该应用软件在投入市场后,智能手机对网络安全防范的要求。
3.2 监管层面上,智能手机的应用软件泛滥,缺乏安全监管
当前,我国网络监管以防范管理为主,缺乏总体性规划和通盘考虑。我国Android系统的手机市场占有率大,用户使用率高。因其系统的开源性,吸引了大批的应用软件开发商。由于各类应用软件在开发过程中缺乏安全监管和审核,没有权限的限制,导致目前市场上手机应用软件的泛滥,智能手机安全风险大,用户往往在用手机浏览网页的过程中就可能被植入木马等非法软件。因此,在目前不规范的监管体系中,如何防止数据外泄,如何更好地规范软件行为,以及如何帮助用户更加安全地使用手机设备和软件是当前行业不可回避的一个重大挑战。
3.3 安全层面上,操作系统源代码免费,技术门槛低
安全层面上主要表现在两个方面:
(1)Android系统与IOS、Windows平台不同,前者采取的是免费开放的市场策略。在网络上,很容易找到免费的Android源代码。由于其技术门槛低,具备一定Android编程基础的从业者可以轻松地加以利用,编制出恶意软件。
(2)手机应用软件方面,我们都知道应用软件在运行时需要调用服务器的接口以获取相应的权限和相应数据,而智能手机由于缺乏防火墙以及防入侵等安全措施的重重保障,恶意软件将很容易获取个人隐私数据。另外,由于应用软件功能的复杂性,在软件版本频繁升级时,如何保障软件的安全质量控制,以及如何保障安全补丁的快速可达等一系列问题,都是摆在科研人员面前的难题。
3.4 技术层面上,系统安全漏洞多,产品自主可控能力低
长期以来,我国基础信息网络和重要的信息系统所涉及核心技术的芯片、元器件、操作系统等产品自主可控能力低,绝大多数从国外进口,因此不可避免存在安全漏洞。另外,由于智能手机应用软件从设计、开发到提供给用户使用的过程较以往更为灵活多样,也会导致系统各种软件间相互依赖,使得软件的运行环境变得更为复杂,一个环节的疏忽就可能导致整个体系受到攻击。因此,如何从技术层面保障这种复杂的软件系统安全是一项重大挑战。
4 对策建议
随着互联网+时代移动终端技术的不断创新和发展,迫使软件技术不断向前推进,同时也对移动信息安全技术提出了更高的要求。互联网+时代的软件生态趋势是软件的交互和协同共生,在这种趋势下,相关行业都面临着一系列的新型安全问题。因此,我们需要依靠全社会各方力量,针对智能手机网络安全的现实问题开展深入的研究与探索。鉴于当前我国移动终端软件安全所存在的问题,本人认为应从如下几方面入手。
4.1 完善网络安全法律体系,制定个人信息保护法
我国现有关于网络空间安全立法,主要是保护国家基础网络和重要信息系统的安全运行,无法满足对广大民众的个人信息保护。我们应进一步加强网络法律研究,科学规划我国网络安全的法制建设,并重视法律的落实和执法力度,加强对信息监控的管理,形成有效的网络安全预警机制。在此基础上,制定并逐步完善个人信息保护法,从源头上规范个人信息的处理活动,严厉打击用非法手段窃取用户信息的违法犯罪活动。单纯依靠行业的自律是无法保障网络用户的信息安全,因此,必须采取由政府参与制定并监督执行的安全管理制度,明确监管责任,制定完善的个人信息保护法,严厉打击非法盗取他人信息的违法行为。
4.2 加强网络安全人才队伍建设,研发自主核心技術
当前我国缺少自主研发的智能手机操作系统,想要根治手机网络安全问题,我国必须要加强自主核心技术的攻关研究,提升国产化水平,要有自主的手机操作系统,而且是要研发技术过硬的智能手机操作系统,不断加强系统的安全性研究。通过科学规划国家网络安全队伍建设,统筹规划院校、重要部门和企业、研究机构的网络安全专业建设,形成自主创新的网络安全人才培养体系,科学引导网络安全人才的建设,不断提升我国对网络攻击的监视发现能力,为网络安全建设和研发自主核心技术提供支撑和依靠。
4.3 加强网络安全文化建设,开展防范宣传教育
积极开展全国性的普及使用智能手机的安全防范知识,通过媒体、社区、企事业单位、院校等多途径提高全民网络安全防护意识,引导用户选择可信的手机应用软件市场,降低安全隐患。同时,开展防范宣传教育,增强重要部门人员手机安全保密常识教育,增强安全防范意识。我们要在全社会形成重视网络安全、主动进行防护的安全文化,从根本上构筑起防范个人信息安全的防火墙。
4.4 深化国际交流,构建我国智能手机应用软件安全认证平台
积极参与国际社会有关网络安全的交流,建立与国际社会的网络安全沟通机制。借鉴IOS操作系统的应用商店统一入口和审核管理方式,以此来规范国内手机应用软件市场。由政府牵头,组建国家级应用软件安全认证管理平台,对进入该平台的应用软件进行严格审核把关,从源头上解决恶意软件病毒植入、钓鱼等恶意应用泛滥的情况。通过深化国际间交流,与国外成熟的大型应用商店,共建移动终端应用软件安全战略联盟,以此增强资源的互联互通。
5 结语
综上所述,当前我国智能手机的网络安全问题任重而道远。在新形势下,我们还面临着一系列前所未有的新型难题。在全球范围来看,我们可以借鉴的成功经验很少。因此,还需要依靠行业和国内相应的科研院所针对当前我国智能手机网络安全现状所处的现实问题进行深入的研究与探索。
(通讯作者:王雪芬)
参考文献
[1]2016全球App发展报告(完整版)[EB/OL].猎豹全球智库,https://mp.weixin.qq.com/s?__biz=MjM5MDAwNTk2MA==∣=2650756375&idx;=2&sn;=7ac90613556e952448b5112c81f42985#rd,2016-05-09.
[2]中国移动互联网发展状况及其安全报告(2017)[EB/OL].中国年互联网协会,http://www.cac.gov.cn/2017-05/18/c_1120991371htm,2017-05-18.
[3]腾讯2016手机安全报告:大数据揭秘8大手机安全风险[EB/OL].腾讯科技,http://field.10jqka.com.cn/20160729/c592032032.shtml,2016-07-29.
[4]Android全球无敌:中国市场份额近80%[EB/OL].新浪科技,http://news.mydrivers.com/1/487/487032.htm,2016-06-16.
[5]刘剑等.软件与网络安全研究综述[J/OL].软件学报,2017:1-25.
作者简介
王雪芬(1985-),女,浙江省台州市人。硕士学位。南京大学金陵学院信息科学与工程学院信息管理与信息系统专业讲师。研究方向为网络资源管理、人机交互。
郭黎黎(1982-),女,江苏省南京市人。硕士学位。南京大学金陵学院信息科学与工程学院计算机技术实验室中级工程师。研究方向为网络信息安全。
作者单位
1.南京大学金陵学院信息科学与工程学院 江苏省南京市 210089
2.南京大学工程管理学院 江苏省南京市 210093