[中央電視台新聞頻道《每周質量報告》]
我國每天截獲針對智能手機惡意程序樣本超5萬個
國家計算機病毒應急處理中心發布的最新一次全國信息網絡安全狀況暨計算機和移動終端病毒疫情調查結果顯示,在移動終端的病毒感染比例呈上升趨勢,一年當中智能手機新增惡意程序樣本1800多萬,平均每天截獲新增惡意程序樣本也高達51000多個。
李倩(工信部電子五所質檢中心技術總監):近兩年,安全事件的确呈一個下降的趨勢,達到了20%多,但是在移動終端這一塊,卻呈上升趨勢,已經高達50%,甚至相比前兩年已經上升了18%左右。
2017年初,中國互聯網絡信息中心最新的數據表明,目前我國手機網民已将近7億,在這樣一個數字面前,智能手機的信息安全不容忽視。而現實當中的數據顯示,移動端頻頻爆發的惡意代碼等威脅,卻在日益嚴重地威脅着每一個手機用戶的隐私和财産安全。那麼,在手機越來越智能化的今天,是什麼樣的因素會影響着手機的信息安全呢?日前,國家質檢總局組織了一次智能手機産品信息安全的專項風險監測,測試機型包括了市場上大部分高中低端的手機産品,共40批次。
預置軟件讀取用戶信息不提示
記者了解到,目前依據《移動智能終端安全能力技術要求》這個行業标準,進入市場的手機産品都要進行進網檢測,檢驗手機産品能否保護通話記錄、短信數據等用戶數據,系統更新時是否安全,預置應用軟件是否未經用戶同意,就收集、修改數據、讀取隐私信息等。
李樂言(工信部電子五所質檢中心安全工程師):現有的标準對手機的操作系統,它的預置應用、内容安全,還有一些外圍接口的安全都會進行一些要求。
在廣州,工信部電子五所質檢中心的工程師首先對這些進網必檢項目進行了測試。記者了解到,按照進網标準要求,手機系統在遇到木馬病毒或惡意程序讀取用戶數據時,應有一定的提示,提醒用戶防範信息洩露。那麼這些最新的智能手機,系統的安全性能會怎麼樣呢?工程師随後在多款智能手機上都安裝了一個測試木馬,檢驗這些手機對語音、通話、短信等數據的保護。
李樂言:現在我們有兩款手機都安裝了一個僞裝成正常應用的木馬,我們點開它的時候,你會看見木馬正在讀取我們的一些手機狀态。
測試發現,大多數手機在木馬啟動的時候,都會彈出提示框,但個别手機卻毫無動靜,任由測試木馬暗中讀取隐私數據。工程師透露,除了手機系統本身的安全防護要求,目前的進網标準還對預置軟件提出了安全提示等要求。記者了解到,存在于手機當中的各類應用軟件都會因功能需要,要求獲取用戶的相關權限。比如地圖軟件需要獲取位置信息,聊天軟件要求獲取通話記錄信息等等,按照要求,獲取涉及用戶隐私的這些信息必須要經過用戶同意。
李樂言:比如彈出一個對話框,這個對話框會告知收集你的位置,或者是聯系人,或者是圖片信息等等這樣的提示内容,如果你不點确認的話,它是不會再收集你的信息的。但有些智能手機打開應用的時候,用戶是看不到提示内容的,如果沒有相關提示的話,後台在收集用戶信息的時候,用戶是完全不能察覺的。
工程師随後對所有手機樣品進行了測試,在專門的測試軟件監控下,總共40批次手機樣品中,發現有9批次手機當中的相關軟件在未提示用戶的情況下,暗中收集手機用戶私密信息。
工程師告訴記者,目前測試到的一些有風險的預置應用,主要是遊戲類、社交類、服務類以及工具類的軟件,其中也不乏知名的預置應用軟件。經過對手機系統安全和預置應用安全的相關測試,工程師發現了存在風險的手機産品。而在随後進行的智能手機後端信息系統的安全測試中,工程師發現,智能手機存在的安全風險要大得多。
雲平台成信息洩露重要途徑
工程師告訴記者,智能手機的後端信息系統,也就是人們所說的雲平台,随着手機智能化的提升,目前手機都能夠連接後端的雲平台,實現通訊錄、短信、照片等數據備份功能,以及在丢失的特定情況下實現定位找回、數據清除等功能。但是如果手機雲平台存在安全漏洞,也就意味着智能手機不僅沒能提供存儲便利,反倒增加了信息洩露的途徑。
李倩:如果雲平台出現問題,這些手機存儲在雲平台的數據,或者和雲平台建立的連接被惡意分子利用,将導緻大面積的信息洩露。
那麼,目前智能手機雲平台會存在什麼樣的安全漏洞呢?記者了解到,守護智能手機雲平台安全門檻的,首先的一個要素就是身份鑒别,也就是雲平台對密碼強度的要求。
李樂言:一個成熟的後端信息系統,針對密碼強度的要求,一般會要求一些大小寫,或者是數字和字母的組合,還有一些可能會加上一些特殊字符,還會對密碼長度進行要求,
工程師告訴記者,符合測試要求的智能手機會在雲平台注冊時,提示不能使用簡單或連續的數字作為密碼。随即進行的測試顯示,工程師使用123456作為密碼注冊時,部分智能手機立即彈出提示框,提示密碼不能使用連續的字符。但是部分智能手機卻沒有提示密碼強度,工程師用記者的手機号碼在一個雲平台注冊時,用簡單的密碼就通過了身份驗證。
記者發現,用簡單的連續數字,或者用666888等重複性數字測試時,多款智能手機的雲平台都能夠注冊成功。工程師透露,用這樣的簡單密碼面臨最大的風險,就是容易被黑客破解,造成個人隐私的洩露。工程師随後用暴力破解軟件對10餘位志願者的手機号進行了密碼分析,發現有3個志願者都使用了簡單的123456的雲平台密碼,導緻其存儲在雲平台的個人信息,輕易地就被工程師獲取到。
記者了解到,智能手機雲平台密碼強度要求不嚴,帶來的危害遠不隻個人信息洩露,雲平台密碼被破解的智能手機,還可能被黑客遠程操控。國内發生的一些案例顯示,黑客破解了雲平台的簡單密碼後對手機進行了遠程鎖屏,導緻手機不能使用,黑客進而勒索手機用戶出錢才能解鎖。
經過對智能手機雲平台的安全測試,記者發現40批樣品中,多達9批次雲平台都存在身份鑒别方面的安全漏洞,暴露出密碼強度驗證不足的問題。工程師通過測試還發現,存在安全漏洞的雲平台沒有限制非法登錄和驗證碼錯誤次數,使測試者可以無限次地嘗試登錄其他手機的雲平台,留下極大的安全隐患。
雲平台權限控制的漏洞關系到公共信息安全
工程師告訴記者,關乎智能手機雲平台安全的,除了身份鑒别的因素,還有一個重要因素,就是權限控制。
李樂言:雲平台正常的權限控制實際上應該達到一個權限分離,也就是說用戶和用戶之間是不能相互查看對方數據的。
工程師告訴記者,一個雲平台如果能夠做到控制權限,會對所有手機用戶的權限請求進行驗證,并會發送驗證碼到手機上,驗證是否為本人操作,以保護用戶的各種私密信息。而在測試中記者發現,在工程師嘗試通過數據包獲取一個志願者的位置信息時,部分智能手機的雲平台竟然沒有向志願者手機發送驗證,輕易地就允許了陌生用戶的請求。而工程師也就輕而易舉地掌握了志願者的地理位置。
記者了解到,同一個雲平台的智能手機有成千上萬,在雲平台存在權限管理不嚴的情況下,同一雲平台所有的手機信息被洩露的可能性極大。工程師在全國範圍内征集了十餘名使用相同手機雲平台的志願者,在獲取地理位置的測試中,一一輸入了這些志願者的手機号碼,記者看到,僅僅一秒鐘之後,測試工具就将這些志願者的所在區域以明文形式顯示出來。
工程師告訴記者,雲平台權限控制的漏洞所導緻的越權操作,影響的絕不僅僅是一兩個手機用戶的個人隐私,還存在着私密信息的集體洩露危險,關系到公共信息安全。
手機雲平台安全方面無标準可循
經過大量測試,總共40批次智能手機當中,共發現18批次的産品存在不符合項,占比高達45%。其中有1000塊錢左右的低端手機,也有3000塊錢以上的高端智能手機,也不乏國外名牌産品。涉及的項目包括智能手機的後端信息系統、預置應用軟件安全等。最後,經過20名風險評估專家的分析和打分,此次智能手機的信息安全風險等級被評估為中等風險。
專家告訴我們,不法人員和機構竊取個人信息主要目的就是為了以各種方式經營或直接實施犯罪,所以當消費者的實時位置、個人賬戶等信息可以被不法分子如此輕易地拿到的時候,恐懼就成了使用智能手機時如影随形的贈品,可謂揮之不去。
采訪中記者了解到,目前關于智能手機信息安全的相關标準,主要是通信行業推薦性标準,以及部分國家推薦性标準。而問題頻出的智能手機雲平台,更是缺乏針對性的安全技術要求,導緻手機生産廠家在雲平台的安全建設上,無标準可依。
記者發現,沒有标準和規範要求的雲平台,暴露出的安全漏洞明顯要多于其他項目,在不符合監測要求的18批次智能手機中,12批次問題集中在雲平台。其中9批次暴露出身份鑒别漏洞,3批次在權限控制方面存在安全風險。
随着智能手機越來越頻繁的應用,其信息安全的重要性不言而喻。風險評估專家認為,在做好預置應用安全、手機系統安全等手機進網必檢項目的同時,針對智能手機這種技術更新迅速的産品的标準建設也要加快日程,以此促進智能手機的信息安全。
專家告訴我們,智能手機,通俗地說就是能上網的手機,所謂智能手機的安全問題本質上就是網絡安全問題,而網絡安全問題之所以總是很突出,重要的根源之一就是相當一部分互聯網相關從業人員總是認為網絡是另一個世界,不受現實世界的道理倫理和法律法規約束,甚至制造出網絡上賣的不合格産品不屬于假冒僞劣産品,而應該叫網貨一類的荒誕不經的說法。其實,網絡的背後就是人,網絡世界裡追逐的也是現實利益,網絡世界裡竊取個人信息也是傷害受害人現實的利益,一句話,互聯網不是法外之地,用更現實、更嚴厲的手段使互聯網及其從業人員回歸法制,是緊迫而又重要的任務。