智能手機越來越“聰明”,各種應用讓手機成為“百事通”,但卻也越來越不安全。借助安卓(Android)系統及其應用市場的開源性和開放性,許多手機應用運營商通過技術手段“麻痹”用戶,獲取不良收益。
根據CNCERT(國家互聯網應急中心)最新數據顯示,在去年,我國移動互聯網惡意代碼數量達到16萬,比前年增加了25倍,比歷史總和還要多出數倍。按不同分類,占比最大的手機病毒威脅為惡意扣費,達39.8%,其次是流氓行為,占到了27.7%。而惡意程序最主要集中在安卓平臺上,占全部惡意程序的比例是82.5%。“去年全國估計有5500萬手機用戶曾經感染過惡意程序。”CNCERT運行部副主任王明華表示。
手機應用商店首當其沖成為最易感染惡意軟件的渠道。如今應用商店的發展看似同質化嚴重,實則資質和安全性參差不齊。用戶應選擇大型規范的應用商店,注意防護。
攔截支付短信通知信息
目前國內很多手機游戲采用的是便捷的運營商話費計費方式,運營商支付SDK本身提供了規范的支付流程,清晰的支付信息確認界面,并在支付成功后通過短信通知用戶,保護用戶利益。而一些游戲開發商利用安卓系統的開放性和用戶對手機系統權限的不了解,在游戲內惡意違規攔截運營商的支付通知短信,在用戶不知情的情況下,惡意扣費或造成用戶多次重復付費。
由于目前移動支付的產業環境并不健全,一些安卓應用內付費的游戲運營商采用SP代扣費的方式無可厚非,但借助安卓系統的開放性,更改底層數據來攔截扣費短信,剝奪用戶知情權,對產業環境破壞較大。
針對這一情況,應用商店有必要采取積極的防范措施,以確保用戶的利益不受侵犯。騰訊科技就此問題采訪了中國聯通(微博)沃商店相關負責人,其表示在多款手游爆出攔截扣費的情況下,沃商店下載的同款應用并未出現類似情況,沃商店在這方面所采取的安全措施主要是通過建立健全的短信權限機制來避免。內嵌計費點的安卓應用不允許有接收、讀取、寫短信的權限,而只能通過SDK進行計費短信的發布。對此類應用對系統申請的權限進行把關,去掉這些不必要的權限,能有效的避免應用被篡改短信內容導致亂扣費,惡意吸費等現象,而這種做法在其它第三方應用市場很少見。
“打包黨”橫行
在目前的各個安卓應用商店中,“打包黨”的現象也較為普及。“打包黨”指在熱門軟件中植入惡意廣告和病毒木馬,利用消費者追捧熱門應用的心理,加上普通人難以區分正版盜版,以及應用市場安全監管能力的不足,令惡意廣告和病毒木馬順利進入用戶手機中。
其中較為突出的一種叫做Android.Troj.mdk的后門程序(簡稱為MDK),歷時1年多時間,構建了一個覆蓋百萬用戶、可遠程任意操控用戶手機的“僵尸網絡”。用戶在使用軟件的過程中總是彈出一些陌生軟件,一旦點擊即被安裝,要想刪除卻不可能。MDK手機僵尸網絡已在7000多款熱門游戲中植入了后門程序。
較為規范的應用商店可以通過一些規則限定結合病毒掃描來避免此類問題的發生。例如,運營商的應用商店主要通過與開發者簽訂協議,直接獲取正版應用,同時,在社區后臺有病毒掃描這一步驟,在測試應用功能的時候手機上也會安裝相應的安全軟件進行查殺,一旦發現有病毒的情況下都會將應用退回。
另外,規定含有內嵌計費點的應用不能有內嵌廣告,自動更新,其他網站鏈接等,限制了惡意代碼二次植入的通道,避免通過一個安全的軟件,打開用戶手機的入口,引入不安全的軟件。
竊取用戶隱私 拒作“肉雞”
在不對用戶做出通知的前提下,通過云端技術控制手機用戶隱私的行為,在安卓應用市場中也頻頻發生。為什么授權會泄露隱私?這是因為,智能手機一般采用基于權限的安全管理機制。例如,安卓系統采用約130個權限管控系統資源,其中就有打開手機麥克風或攝像頭、收集短消息、郵件、賬號、通訊錄、通話記錄及位置等信息。
最近,DCCI互聯網數據中心針對安卓市場下載量前1400位的APP進行了一次安全測評,結果顯示:66.9%的智能手機應用在抓取用戶隱私數據;通話記錄、短信記錄、通訊錄是用戶隱私信息泄露的3個高危地帶。
一款手機應用程序應該使用手機哪些權限,目前并沒有行業規定,用戶更是不懂;第三方手機軟件應用商店為了聚攏人氣,發現熱門應用的新版本后就自動抓取到自家商店內,對其是否是官方版本審查不嚴。運營商應用商店在這一方面審核相對嚴格,對于申請權限超出正常需要的軟件開發者的要求都會不予通過,例如許多游戲在向沃商店申請查看通訊錄權限時被拒絕,同時正在對權限審核進行逐步規范化,希望能在近期建立標準化的權限機制。
隨著應用量的劇增,手機游戲應用吸費亂象叢生。移動互聯網用戶在使用智能和便利的同時,需要加強警惕注意防范。
一是去使用大型正規的安卓軟件市場,例如運營商應用商店,避免從論壇和一些小型的第三方應用商店下載熱門應用。二是用戶在安裝安卓手機游戲時,應注意觀察軟件所申請的權限,如果這個游戲軟件申請的權限過多,比如要訪問聯系人、短信、通話記錄、定位,需提高警惕。三是用戶應留意手機話費和流量消耗是否異常偏高,當出現異常情況時,建議用戶使用手機安全軟件進行查殺。
推薦閱讀
韓國通訊委員會22日宣布,國內主要電視臺和金融機構先前遭遇的網絡攻擊來源位于本國境內。 韓國多家電視臺、金融機構網絡系統20日遭遇網絡惡意代碼攻擊,致使媒體運作和金融服務中斷數小時。 韓國通訊委員會22日在一>>>詳細閱讀
本文標題:手機應用商店曝隱患 安全消費短板待補齊
地址:http://www.brh9h.cn/a/11/20130325/263938.html
網友點評
精彩導讀
科技快報
品牌展示