制图/高岳
2016年移动端恶意程序不论是在技术手法,还是传播技法上,都呈现花样翻新的势头。手机的安全状况很不乐观。
维护手机安全、网络安全要坚持社会共治原则。政府部门、手机行业从业者、网络运营者、普通用户应共同协作,建立广泛、深入、多层次、全覆盖、无缝隙的网络安全体系和综合治理体系,稳步提升网络安全水平
法制网记者 杜晓
法制网实习生 韩婕
工业和信息化部信息中心不久前通过微博公布消息称,2016年四季度工信部对46家手机应用商店的应用软件进行技术检测,发现违规软件34款,涉及违规收集使用用户个人信息、恶意“吸费”、强行捆绑推广其他无关应用软件等问题,这些不良软件已被全部责令下架并公开曝光。
不良软件是手机安全问题的一个缩影。近年来,随着科技越来越先进、智能手机普及率越来越高,手机安全问题也日益突出,亟待全面、综合地进行治理。
恶意程序总体进入平稳高发期
近日,360手机卫士发布《2016年中国手机安全状况报告》,其中涉及手机安全一系列问题。
恶意程序是手机安全一大威胁。
报告显示,2016年全年,360互联网安全中心累计截获Android(安卓)平台新增恶意程序样本1403.3万个,平均每天新增3.8万。全年相比2015年(1874.0万)下降25.1%,扭转了2015年以来迅猛增长的势头,但自2012年以来,移动端从几十万跨越到千万级别恶意样本,显示了移动恶意程序总体进入平稳高发期。
从报告公布的Android平台新增恶意程序类型分布来看,占比最高的是资费消耗类恶意程序(74.2%),其他如隐私窃取(6.1%),流氓行为(2.3%),远程控制(0.9%)。
从地域分布来看,感染手机恶意程序最多的地区为广东省,感染数量占全国感染数量的11.4%;其次为河南(6.31%)、江苏(5.86%)、山东(5.32%)、四川(5.3%)。
钓鱼网站也往往令人防不胜防。
报告显示,在移动端被拦截的钓鱼网站中,有9.6%的网站是被“黑客”入侵之后植入钓鱼网站。这些网站一般是正常、合法的网址,但是在网站安全方面存有漏洞,从而遭到“黑客”攻击,被植入恶意代码。
此外,2016年全年各月的钓鱼网站拦截量呈现两头高、中间低的特点。1月份钓鱼网站拦截量最高,达到2.5亿,8月最低(1.2亿次)。
报告认为,攻击手机用户的钓鱼网站主要分为三大类:一是冒充电商网站或品牌官网提供虚假购物信息;二是冒充身份骗取用户个人信息;三是诱导用户下载木马病毒程序。其中,第三类还会经常与第二类同时出现。
报告分析了一些钓鱼网站具体操作手法,以“诱导用户下载木马病毒程序”为例,报告分析认为,这类钓鱼网站一般藏在短信中,特别是伪基站短信。例如,假借学校给家长发短信,其中包含钓鱼网址却指向一个木马下载地址,可以从弹出的下载提示中看到×××.APK的文件名。用户一旦打开,手机数据将成为“黑客”的囊中之物。
报告还对手机端网络诈骗劫财方式进行了总结:在猎网平台2016年接到的手机端用户举报数量中,有4265人是通过银行转账、第三方支付、手机充值等方式主动给不法分子转账,占比66.4%;其次,有1132人在虚假钓鱼网站上支付,占比17.6%;在钓鱼网站填写账号密码等信息后,被盗刷的用户有605人,占比9.4%;安装木马软件从而被盗刷的用户有284人,占比4.4%;扫二维码支付的有107人,占比1.7%;主动告知验证码从而被盗刷的有28人,占比0.4%。
报告提到了一些2016年手机诈骗典型案例,其中包括:新年临近,木马作者利用网友抢红包的热情,将木马伪装成抢红包应用,如“红包领取”“人人红包”“自动抢红包外挂”等应用,在手机用户为了红包忙的不亦乐乎的时候,潜入用户手机,读取用户通讯录,窃取用户隐私。
升级打补丁只能针对已知问题
目前,市面上采用安卓系统的手机越来越多,报告对安卓系统安全性进行了分析。
报告以Android和Chrome(谷歌浏览器)安全公告中检出率最高的36个漏洞作研究对象,随机抽取了70万台手机的检测结果,对当前Android系统漏洞进行分析。
检测结果显示,截至2016年12月,现存用户中99.99%的Android手机存在安全漏洞,仅有0.01%的Android手机没有安全漏洞。其中,99.5%的手机存在被攻击者远程攻击的风险。
“现在手机的安全性实际上是个比较大的问题。一些手机不是有这方面的问题,就是有那方面的问题,包括操作系统,现在还没有能够证明没有安全问题的操作系统。所以,现在手机的安全状况确实很不乐观。大家可能原来都没有看过手机安全方面的相关数据,我觉得实际现状可能比相关数据还严重。”中国科学院信息工程研究所信息安全国家重点实验室主任林东岱说。
“从技术上来说,手机系统升级、打补丁都是应对已知的一些问题,对已知的问题会产生作用。问题是,升级完成或者打完补丁后是不是还存在漏洞,是不是又出现别的问题,这就不好说了。不管是升级还是打补丁,都是解决现有的问题,但是对手机整体安全性能有多大提升,很少对其进行科学的评估。”林东岱说,现在很多漏洞并不是安卓系统的漏洞,而是应用程序的漏洞。一般安卓系统上都会装不少应用程序,其中可能有不少存在漏洞。对于安卓系统来说,可能有点麻烦,因为安卓系统是开放的,很多东西也不是安卓自己发布的。
“对于苹果的系统来说,所有应有程序都是自己发布的,还容易监管一些,但安卓是一个开放系统,监管就更难了。这是一个互联网生态环境的问题,或者说是整个互联网大环境的问题,不是手机本身带来的。不过,因为使用手机的人更多,跟我们生活更贴近,所以这方面的问题更容易受到关注。实际上,计算机系统也面临很多类似问题。对于已经知道的漏洞和问题是可以避免的,想要完全杜绝却并不容易。”林东岱说。
安卓系统的开放性还体现在,手机厂商可以对其进行二次开发。
《2016年中国手机安全状况报告》认为,受到Android系统的诸多特性影响,系统版本的碎片化问题日益突出。就每一款手机而言,厂商在其维护周期内,通常会隔一段时间向用户推送一次升级版本,而用户在大多数情况下可以自主选择升级或不升级。综合这些特性,在Android系统的安全漏洞方面,也产生了严重的碎片化问题。
强化社会共治保障网络安全
《2016年中国手机安全状况报告》在总结手机安全特点与趋势时提到,“2016年移动端恶意程序不论是在技术手法,还是传播技法上,都呈现花样翻新的势头。在木马类型上,钓鱼软件、勒索软件等使移动端木马再添新品,且演变迅速;在技术上,各类木马玩多种花样,增强攻防;在传播上,‘黑客’不忘旧渠道,同时开拓新渠道”。“从移动安全趋势上看,移动平台将成为勒索软件的重灾区;手机系统攻防技术更加激烈;针对BYOD移动办公的威胁加大;劫持路由器的新型木马或带来众多隐患”。
“不要把自己的信息过多放在手机上。报告反映出的一些问题,我们都是能切身感受到的,这些问题也不是一时半会就能够消除掉的。但即使存在问题,我们还是要用手机,应该尽量把风险降到最低,尽量把自己的信息少放在手机上,尤其是一些关键的东西。总而言之,不要太过依赖和相信手机。”林东岱说。
亚太网络法律研究中心主任、北京师范大学法学院教授刘德良认为,保障手机安全,涉及几个方面的主体,包括手机用户、网络经营者、网络管理者等。就手机用户而言,要强化安全意识,对于一些不明网页、地址,不要随便打开。对于网络经营者、网络商家而言,也有减少安全隐患的义务。这就好比在现实中人们去商场购物,商场不仅卖很多东西,而且还要提供安全的消费环境。
“不管是网络商家还是现实商家,都应当有安全保障义务,为消费者或者用户提供一个安全的环境。如果违背了基本的安全保障义务,给消费者或者用户造成损失,就应当承担相应的责任。未来可以进一步完善侵权责任法,在这方面作出规定。现在还没有明确的规定,一定程度上导致这些问题比较普遍,从立法角度来讲,也是一个缺陷。”刘德良说。
中国互联网协会研究中心秘书长胡钢认为,今年6月1日网络安全法将正式实施,目前手机安全方面存在的一些问题,再次说明了网络安全的重要性,凸显了网络安全法治化的紧迫性。
“这次发布的报告内容,更多针对普通手机用户。实际上,如果网络安全方面出现问题,就会影响到普通用户。包括个人信息被窃取非法使用、个人财产遭受损失,乃至其他更为严重的后果。所以,每一个普通用户都要重视网络安全,做好各种防范措施。无论是技术防范还是心理防范,包括制度建设,都要不断强化。”胡钢说。
胡钢认为,维护手机安全、网络安全要坚持社会共治原则。“让政府部门、手机行业从业者、网络运营者、普通用户共同协作,建立广泛、深入、多层次、全覆盖、无缝隙的网络安全体系和综合治理体系,稳步提升网络安全水平”。
