宗捷

移動互聯(lián)大爆發(fā)，用戶安全成重災(zāi)區(qū)

2013年是中國移動互聯(lián)網(wǎng)的爆發(fā)之年，不僅BAT（百度、阿里巴巴和騰訊）一類的互聯(lián)網(wǎng)巨頭確立了自己的移動互聯(lián)網(wǎng)的戰(zhàn)略，許多初創(chuàng)企業(yè)也將移動互聯(lián)網(wǎng)作為發(fā)力的方向。然而，人們在享受移動互聯(lián)網(wǎng)帶來的便利、快捷的同時，也面臨著因網(wǎng)絡(luò)和終端系統(tǒng)漏洞而導(dǎo)致的病毒木馬入侵等威脅。用戶數(shù)據(jù)的泄露，網(wǎng)銀、支付寶資金被盜，廣告騷擾等諸多問題催生了新的安全訴求。

據(jù)DCCI（互聯(lián)網(wǎng)數(shù)據(jù)中心）最新的《2013移動隱私安全評測報告》顯示，中國手機(jī)用戶已達(dá) 11 億，其中智能手機(jī)用戶超過了 4 億。數(shù)億人的工作和生活與移動互聯(lián)網(wǎng)息息相關(guān)：溝通、社交、娛樂、生活、商務(wù)和隱私無一不交給移動智能終端。在該報告中，DCCI對國內(nèi)各類 Android 市場下載量前1 400位的APP進(jìn)行了一個評測，結(jié)果顯示 66.9% 的智能手機(jī)移動應(yīng)用在抓取用戶隱私數(shù)據(jù)，其中高達(dá) 34.5%的移動應(yīng)用有“隱私越軌”行為。

“隱私越軌”行為是什么？DCCI將其定義為：性質(zhì)過分的越界抓取，在與本身功能毫不相干的情況下，獲取智能手機(jī)用戶的短信記錄、通話記錄和通訊錄等敏感個人信息。這些抓取行為并非相關(guān)移動APP為用戶提供的應(yīng)用服務(wù)功能所必需，大多數(shù)普通用戶并不知情，知情者也往往無可奈何。

除了上述數(shù)據(jù)之外，各種隱私安全事件也相繼曝光。2013年初，最大的僵尸網(wǎng)絡(luò)—MDK被曝光，7 000多款熱門游戲被植入后門，數(shù)百萬Android用戶淪為肉雞（編者注：指可被黑客遠(yuǎn)程操控的設(shè)備）。而在整個2013年，有專業(yè)機(jī)構(gòu)統(tǒng)計，智能手機(jī)的病毒增長率達(dá)到10倍，手機(jī)攜帶惡意軟件平均每部手機(jī)有11個之多。而今年的3·15晚會更是暴出了智能手機(jī)預(yù)裝軟件的黑幕，一個個觸目驚心的事實讓原本為了方便和自由發(fā)展起來的移動互聯(lián)網(wǎng)越來越讓人覺得“如芒在背”。

移動互聯(lián)，到底在怎樣威脅著我們的安全？

隨著移動互聯(lián)網(wǎng)逐漸深入人們的生活，安全問題也不斷曝露出來。那么，在移動互聯(lián)時代，手機(jī)到底從哪些方面威脅著我們的隱私安全呢？

智能手機(jī)信息防范能力弱

與傳統(tǒng)手機(jī)相比，智能手機(jī)功能強(qiáng)大，信息覆蓋范圍廣，其操作系統(tǒng)依托于移動互聯(lián)網(wǎng)，信息泄露隱患大。智能手機(jī)內(nèi)部包含大量私人信息或涉密信息，如定位系統(tǒng)、賬戶密碼、圖像圖片、通訊錄、短信息和通話內(nèi)容等。而智能手機(jī)的諸多功能需要時時連入互聯(lián)網(wǎng)才能實現(xiàn)，對于很多手機(jī)來說，在傳輸數(shù)據(jù)時缺乏有效保護(hù)和加密，從而導(dǎo)致黑客非法盜取用戶信息也更為容易。

此外，移動互聯(lián)網(wǎng)終端的生產(chǎn)廠商眾多，各廠商升級打補(bǔ)丁水平參差不齊，也會為移動互聯(lián)網(wǎng)安全帶來挑戰(zhàn)。傳統(tǒng)的PC上，基本都使用Windows系統(tǒng)，微軟會定期推送安全補(bǔ)丁。但在移動設(shè)備端，修改系統(tǒng)和打補(bǔ)丁的責(zé)任由各生產(chǎn)廠商承擔(dān)，造成系統(tǒng)升級能力參差不齊，很多中小廠商根本不提供升級服務(wù)，甚至有部分山寨機(jī)廠商在手機(jī)出廠時就會內(nèi)置木馬軟件。

網(wǎng)絡(luò)環(huán)境復(fù)雜，防護(hù)難度大

相對于傳統(tǒng)互聯(lián)網(wǎng)，移動互聯(lián)網(wǎng)的環(huán)境更復(fù)雜。首先，移動APP的生產(chǎn)和使用環(huán)境更開放，分發(fā)渠道更多樣化等原因，帶來移動APP更容易被植入木馬，更容易被二次打包，數(shù)據(jù)是否加碼存放，秘鑰是否可以被竊取或者篡改，這些都存在極大的風(fēng)險。除此之外，數(shù)據(jù)的傳輸更容易遭受各種中間人攻擊，交易數(shù)據(jù)更容易獲取和篡改等。

不安全的APP生產(chǎn)流程

不管是APP還是Wap或是Web，都只是產(chǎn)品的前端表現(xiàn)形式，所調(diào)用的數(shù)據(jù)源必然只有一個。新產(chǎn)品的上線流程一般是“開發(fā)機(jī)”→“內(nèi)網(wǎng)測試機(jī)”→“發(fā)布員發(fā)布到外網(wǎng)”，每個環(huán)節(jié)都有QA（Quality Assurance ，即品質(zhì)保證）測試。但在把控不嚴(yán)或追求速度的情況下，程序員可能會去外網(wǎng)修改產(chǎn)品，這么做非常危險，這樣會APP的安全不能得到有效保證，可能會被植入有害代碼。

不安全的身份認(rèn)證

身份安全和安全的交易驗證是互聯(lián)網(wǎng)業(yè)務(wù)開展的前提和核心，而移動互聯(lián)網(wǎng)應(yīng)用的身份驗證技術(shù)大多從PC時代直接移植到移動互聯(lián)網(wǎng)，各種應(yīng)用的身份認(rèn)證和交易驗證的技術(shù)手段落后，已經(jīng)難以確保移動金融的安全。

移動大數(shù)據(jù)，要體驗還是要隱私？

曾經(jīng)有這樣一句話是這樣說的：丟了手機(jī)比丟了錢包更可怕。是的，我們的智能手機(jī)都存儲著包括短信和通訊錄等大量的私人數(shù)據(jù)。這些隱私信息，由于對用戶不可見，往往是在不知不覺中就泄密了，即使造成了損失也很難定位，往往容易被人忽略。

但是，這些和身份有強(qiáng)關(guān)聯(lián)特性的數(shù)據(jù)卻有利于為用戶提供更好的實時和個性化服務(wù)。因為服務(wù)提供商在收集了這些數(shù)據(jù)之后，通過大數(shù)據(jù)分析，就可以有效了解到用戶的使用習(xí)慣和使用場景，從而更好的改進(jìn)產(chǎn)品，提升用戶體驗。

這本身就是一個巨大的悖論，為了提升用戶體驗，給用戶提供更好更優(yōu)質(zhì)的服務(wù)，服務(wù)提供商千方百計的想收集這些數(shù)據(jù)，這些行為也會導(dǎo)致我們的生活變得越來越透明。

忽視用戶安全，移動互聯(lián)將成空中樓閣

從前文我們可以發(fā)現(xiàn)，隨著智能手機(jī)越來越多的進(jìn)入人們的生活，在移動互聯(lián)時代，用戶使用手機(jī)會有很大的危機(jī)，這一點在開源性的Android平臺尤甚。為什么這么說呢？

這是因為Android平臺沒有一個像APP Store一樣的監(jiān)管環(huán)節(jié)。要知道使用智能手機(jī)，用戶必然會在手機(jī)里安裝各種各樣的APP。在iOS平臺，由于系統(tǒng)的封閉性，絕大部分用戶都會選擇官方的App Store作為下載App的第一渠道。畢竟，蘋果公司對App Store上收錄的App質(zhì)量有著嚴(yán)格的把控，這一點世人皆知，基本不會出現(xiàn)安全問題。但是，在Android平臺上，國內(nèi)的用戶們卻基本不會選擇官方的Google Play作為第一渠道，這也是Android平臺的開源性帶來的弊端。

在國內(nèi)，用戶的APP下載渠道通常都是《豌豆莢》和《91助手》等第三方下載平臺。很明顯，這些第三方下載平臺對其收錄的App質(zhì)量的把控必然不會像蘋果公司一樣嚴(yán)格，甚至相差懸殊，這就會導(dǎo)致其中收錄的不少APP都存在著安全隱患。而且，從用戶的角度來說，用戶的安全防范能力永遠(yuǎn)滯后于黑客的技術(shù)能力，再不嚴(yán)加把控，就會導(dǎo)致用戶時時刻刻都會受到數(shù)安全威脅。一旦出現(xiàn)問題，用戶的照片、通信錄、網(wǎng)絡(luò)銀行和手機(jī)銀行這些隱私數(shù)據(jù)以及用戶的上網(wǎng)流量都有可能被竊取，這樣的危害比過去的PC時代更加嚴(yán)重。這樣的移動互聯(lián)網(wǎng)，相信不會有多少用戶愿意使用?？梢赃@樣說，如果沒有安全的保障，未來移動互聯(lián)網(wǎng)將相當(dāng)于一個“空中樓閣”。

誰是攪亂移動互聯(lián)安全的幕后黑手？

從前面的幾個因素我們就可以看出，寬帶無線通信技術(shù)的演進(jìn)和智能手機(jī)的普及，為移動互聯(lián)網(wǎng)的發(fā)展注入了強(qiáng)大的動力。但是，技術(shù)的進(jìn)步亦造成手機(jī)安全問題層出不窮。

中國人民大學(xué)匡文波教授認(rèn)為，通信技術(shù)的進(jìn)步、智能手機(jī)與軟件的開發(fā)與普及等都在一定程度上方便了手機(jī)病毒的制造和傳播。據(jù)騰訊安全實驗室發(fā)布報告顯示，開放性的Andriod平臺上的病毒已經(jīng)占到病毒總數(shù)的84%。

為什么會出現(xiàn)這種狀況呢？手機(jī)病毒主要制造者的趨利性就是最為重要推手。據(jù)相關(guān)安全產(chǎn)品負(fù)責(zé)人介紹，手機(jī)病毒已經(jīng)形成一條完整的產(chǎn)業(yè)鏈，從手機(jī)病毒的制造，到最后的盈利收入，手機(jī)病毒制造者能夠從吸金鏈條上獲得暴利。反過來，也使手機(jī)病毒的形式日趨多樣化，惡意軟件、垃圾信息、隱私泄露和惡意扣費(fèi)等行為都讓用戶應(yīng)對不暇。

病毒及惡意軟件開發(fā)者與非法SP（移動增值業(yè)務(wù)服務(wù)商）之間已形成了緊密的“合作關(guān)系”，黑客通過技術(shù)手段將非法SP提供的扣費(fèi)號段植入到APP中誘騙用戶下載。在用戶感染吸費(fèi)軟件后則會利用非法SP公司的短信計費(fèi)和服務(wù)定制通道來產(chǎn)生費(fèi)用，然后攔截運(yùn)營商向用戶發(fā)送的扣費(fèi)短信，使用戶無法發(fā)現(xiàn)扣費(fèi)行為，從而實現(xiàn)長期獲利。而在產(chǎn)生資費(fèi)之后，黑客和非法SP公司還會按照不等的分成比例來獲取暴利。此外，在隱私安全問題上，目前一條圍繞隱私利益點的轉(zhuǎn)賣獲利產(chǎn)業(yè)鏈也已經(jīng)初步形成。惡意軟件通過安全漏洞收集手機(jī)用戶信息，利用倒賣信息牟取暴利。這一點，今年3·15晚會上爆出的手機(jī)預(yù)裝軟件黑幕就是最好的例證。

除此之外，法律上相關(guān)規(guī)定和監(jiān)管措施的缺失也是移動互聯(lián)網(wǎng)安全問題突出的一個重要因素。正式因為監(jiān)管的確實，讓手機(jī)病毒制造者有機(jī)可乘，在手機(jī)安全市場上肆意妄為。

移動互聯(lián)時代，誰來為用戶安全埋單？

通常，面對手機(jī)安全事件，產(chǎn)業(yè)鏈各方包括運(yùn)營商、手機(jī)廠商和第三方安全軟件廠商，都顯得有些被動。俗話說得好，“道高一尺魔高一丈”，在移動互聯(lián)網(wǎng)時代，又該由什么人來為用戶安全買單呢？

手機(jī)不斷在智能化，攻擊的技術(shù)含量也不斷提升，這就需要有智能化應(yīng)對之策。就目前的情況來看，一旦發(fā)生手機(jī)安全事件，相關(guān)責(zé)任方通常無法在第一時間拿出切實可用的解決方案，多數(shù)做法是以預(yù)防為主，盡量規(guī)避安全事件的發(fā)生。業(yè)內(nèi)人士表示，產(chǎn)業(yè)鏈各方協(xié)作才是未來的解決之道。預(yù)防、攔截和查殺手機(jī)病毒，需要運(yùn)營商、手機(jī)廠商和第三方安全軟件廠商聯(lián)手，各自承擔(dān)相應(yīng)的責(zé)任。

與運(yùn)營商、手機(jī)廠商相比，安全軟件廠商方面態(tài)度比較積極。無論是病毒攻擊，還是系統(tǒng)平臺漏洞，手機(jī)殺毒軟件廠商都第一時間推出專殺工具，如網(wǎng)秦推出的“網(wǎng)秦助手”軟件，對手機(jī)病毒有預(yù)報功能，還針對變種木馬病毒推出專殺工具。騰訊、360和百度也紛紛推出了自家的手機(jī)版安全軟件，用以應(yīng)對來自互聯(lián)網(wǎng)的攻擊。

除此之外，政府相關(guān)部門也要盡快完善相關(guān)法律法規(guī)，切實加強(qiáng)監(jiān)管，為移動互聯(lián)安全把好舵。其實，政府的相關(guān)部門早就注意到了移動安全不容樂觀的事實。工業(yè)和信息化部總工程師張峰就于2013年底，在北京舉行的第七屆移動互聯(lián)網(wǎng)國際研討會上表示，工信部會全力保障移動網(wǎng)絡(luò)與信息安全。政府相關(guān)機(jī)構(gòu)會從戰(zhàn)略和全局的高度重視移動網(wǎng)絡(luò)與信息的安全，構(gòu)建安全可信的網(wǎng)絡(luò)環(huán)境。政府部門也會切實發(fā)揮領(lǐng)導(dǎo)作用，著力推進(jìn)和加強(qiáng)網(wǎng)絡(luò)安全，數(shù)據(jù)安全，和個人隱私的保護(hù)等方面的法律法規(guī)和制度的建設(shè)。加大對各類垃圾短信、網(wǎng)絡(luò)病毒、惡意程序、網(wǎng)絡(luò)謠言的治理和打擊力度，凈化網(wǎng)絡(luò)環(huán)境，保護(hù)網(wǎng)民上網(wǎng)安全。

當(dāng)然，為了保護(hù)自己的安全，用戶還是應(yīng)該從自身的防范意識入手，要更有選擇性地下載App。評價高和流行度不應(yīng)該成為選擇的標(biāo)準(zhǔn)。刷碼族們切記不要見碼就刷，應(yīng)選擇權(quán)威性平臺上的二維碼，最好在手機(jī)上安裝二維碼檢測工具，在斷開網(wǎng)絡(luò)的情況下掃描二維碼，這樣就可以大大降低中毒風(fēng)險。