时间:2014-07-03 14:34:32 来源: 复制分享
借助免费开源的特点,Android系统成为了手机终端厂商和运营商的心头好,并且在全球范围内正在成为智能手机和平板电脑的首选系统。根据Gartner等国际研究机构的报告,Android在2010年第3季度全球智能手机市场的份额已达25.5%,仅在中国市场,市场已经售出的Android手机也超过千万台大关。然而就在此时,噩耗突然传来。
近日,国内手机安全机构发布报告称,由于开放性特点,不良SP在Android应用程序或应用商店中捆绑恶意代码和扣费广告软件的情况正在恶化,据不完全统计,Android软件中被植入恶意扣费病毒的比例已经高达20%,相关手机用户的资费安全正在遭受空前挑战。
都是开放惹的祸
网秦手机安全中心透露,Android吸费软件目前变种非常猖獗,以近日比较知名“给你米(geinimi)”后门程序为例,从11月底至今,据不完全统计目前该病毒感染的手机用户预计达90万以上。为什么漏洞、病毒、恶意程序会如此“青睐”Android平台?对此,网秦首席安全专家邹仕洪表示,这首先是 Android平台开放性带来的弊端。与其他智能手机操作系统不同,谷歌推出Android平台之初就赋予其完全开放的特性,这一方面降低了手机厂商的使用门槛,也便于更多的应用开发者加入Android阵营之中。然而,开放性与安全性之间本来就是矛盾的,Android平台并没有Symbian平台一样的第三方签名认证机制,因此在Android应用中置入后门程序也变得更加容易。
此外,Android系统面世的时间较短、版本也十分混乱,这也使得其软件底层的漏洞较多,为黑客植入病毒和恶意程序提供了空间。再者,目前Android手机的用户群体主要为玩家,DIY系统ROM并进行频繁刷机十分盛行,但这些网络上提供的ROM大多为用户个人修改,放到公共网络平台后很容易被不良SP进行篡改和植入,再加上网络上大量热门的Android第三方应用商店也多为个人打造,存在较多的安全隐患,并且缺乏有效的监管、审核机制。这也吸引了一些小软件开发商的进入,他们会省时省力的选择在受欢迎的应用中加入恶意代码。
背后存黑色利益链
业内人士表示,手机“吸费”之所以打而不绝,甚至还不断向新的平台扩张,很大原因在于背后的黑色利益链。仍然以“给你米”后门程序为例,它就是主要通过植入在“植物大战僵尸”、“棒球巨星 2010”、“超级猴子跳”等多款流行的Android手机游戏软件中,生成新的软件安装包后在手机论坛、手机软件下载站进行线上分发。该病毒在感染用户手机后,会在用户不知情的情况下,自动下载各类恶意推广软件,并向他人自动发送广告短信,损耗手机资费,用户却很难发现。
通过这些恶意软件,制造者可以轻易控制“中招”的Android手机,甚至是进行扩散传播,形成“僵尸网络”。这样一来,恶意软件制造者要么可以发扣费短信、直接获利;要么可以帮第三方推广、广告短信,简洁获利;还能够窃取手机用户的隐私,例如短信、通话记录、手机上存储的各种账号等,转卖获利……这种“盈利模式”的多样化,正在促使围绕手机恶意软件的黑色利益链条不断完善———有人专门制作恶意软件、有人负责分析窃取回来的隐私信息、有人负责分销用户隐私或者承接广告推广……
随着这种产业链条的明晰,这条黑色利益链的规模也不断壮大,Frost &Sullivan《中国手机安全市场白皮书》中显示,目前手机病毒正在国内开始上规模。有业内人士估算,通过在山寨机或者智能手机内置恶意软件或传播手机病毒进行“吸费”行为的黑色产业链,每年收入达10亿元。
清剿需多方合力
去年底爆发的手机“僵尸病毒”、最近爆出的Android手机吸费门,无不在挑战着手机用户脆弱的神经。而国家有关部门也终于坐不住了,本月12日,工信部、国家工商总局联合印发了《关于进一步整治手机“吸费”问题的通知》,明确表示要加大打击手机非法“吸费”力度。根据两部门联合发布的通知规定,增值电信业务经营者要严格遵守相关法律、法规规定,规范经营行为,不得制作、使用、提供各类“吸费”软件,不得以任何方式侵害用户合法权益。此举为认为是对以前的模糊操作进行了规范,可以遏制某些企业“打擦边球”的做法。
对此通知的出台,深圳战国策分析师杨群表示这代表着国家对于手机信息安全的市场越来越重视,这是一种好的苗头。不过目前智能手机正在逐步取代普通功能手机成为手机市场的主流,如果完全用过去打击山寨手机内置不法SP业务的方式来对抗会吸费的Android手机则恐怕会有些有心无力。“还杜绝智能手机的吸费问题,除了需要有关部门加大打击力度外,还需要运营商在SP的增值业务管理上多做文章,从收入分成上让依靠垃圾广告获利的方式无利可图,才会有比较大的转机。”杨群称,智能手机和山寨手机不同,很大程度恶意软件的来源是用户的胡乱下载导致,因此要避免吸费,用户也要提高自身的警惕意识和鉴别能力,尽量到正规的应用商店下载手机应用,以免上当。此外,邹仕洪也建议,各大手机软件商店、下载站在提供下载的服务同时,应自检、自查资源的安全性;同时网站应与国内专业的安全服务商形成合作机制,多方合力预防智能手机吸费的问题。