植物大战僵尸、红警、重庆小面、爱聊……看到这些名字,很多用户一定似曾相识,甚至自己的手机中也有安装,但几乎不会想到,部分应用已被木马篡改后暗含恶意代码,部分应用会滥用系统权限来收集、上传手机中的隐私信息。近日,360手机卫士拦截到142款借高考名义作恶的手机恶意软件。同时,360手机安全中心还同时发布了感染量前十的高考类恶意软件。由于移动互联网缺少盈利模式,手机应用开发者迫切需要盈利,于是部分应用开发者同恶意代码开发者、病毒作者合作,导致恶意推广类病毒、恶意扣费类病毒频出,严重危害手机安全。
手机成为恶意软件推广渠道
高考期间,360手机卫士拦截到142款借高考名义作恶的手机恶意软件,数量为历年之最。
据了解,目前高考手机软件大致可分为三类。第一是题库类,此类软件将历年真题整合,选择科目和省份后系统会自动生成试卷,用户就可点击答题,此类软件所占比重最大;第二是资源整合类,如作文素材、各科知识点汇总、英语语法总结等;第三是志愿填报类,此类软件可查询高校历年录取分数线及招生情况,并能筛选出适合考生分数的学校。这些恶意软件利用其高考相关关键词,伪装成“高中文科理科汇”、“高考必备知识大全”、 “高考英语词汇”、“高考英语”等潜入考生手机,一旦安装,考生们将面临隐私被窃取、广告弹窗、手机后台私自下载软件、恶意扣费等多种恶意行为。
更泛滥的情况是,高校网站已经被黑客作为发射恶意信息的炮台。据360网站安全专家介绍,高校网站在搜索引擎中占比很高,安全性又普遍薄弱,黑客在高校网站植入钓鱼网站、博彩和色情链接,通过搜索引擎更容易被搜索。如果在各大搜索引擎输入“六合彩 site:edu.cn”等文字进行搜索,可以发现数十万个结果,而edu.cn是高校等教育类网站域名。如果把六合彩替换为其他不良关键词,同样可以检索到大量搜索结果。这些都是高校网站被黑客篡改的页面。
手机APP和各类游戏软件俨然已成为滋生病毒、恶意代码的温床,手机安全的形势日益严峻。
手机安全问题日益突出
随着移动互联网的快速发展,造就了手机病毒、恶意程度的泛滥。常用APP、手机游戏成为恶意推广类病毒的重要渠道,在病毒流窜方式越发趋于多元化的背后,显现出来的是一条巨大的黑色利益链。
与非智能手机时代相比,现在手机安全问题日益突出。首先,智能手机系统存在自身漏洞、系统优化问题。三星公司旗舰智能手机Galaxy S4就曾被曝出其信息安全平台Knox存在一个严重的安全漏洞。据了解,Knox安全平台最初并未被预装在Galaxy S4中,不过所有用户都可以下载安装这一系统。而Knox也被预装在三星Galaxy Note 3中,但用户可以自主关闭这一系统。
其次,手机应用滥用权限涉及用户个人隐私问题。安卓智能手机安装软件时,需用户授予其多个权限,很多软件商就是利用这个漏洞,尽可能地大量获取包括隐私权限在内的各类权限,使得手机用户个人隐私面临的巨大威胁。
再次,手机病毒、恶意代码借助知名手机应用快速传播。很多木马及恶意软件会伪装成知名游戏应用,暗藏扣费陷阱偷吸手机话费,不仅会私自发送扣费短信,而且还会拦截定制服务的回馈信息,使用户难以发现手机已遭恶意攻击。
此外,目前有很多安卓应用的开发者和SP公司,纷纷盯上了技术难度低、堪称暴利的暗扣费APP,只要将吸费代码交给APP开发者,就可以将自己开发的应用或者山寨知名游戏内置恶意吸费代码放在应用市场推广,一旦用户下载安装了这类应用,就会被恶意扣费。
业内人士表示,安卓手机的用户信息泄漏在业内早已是司空见惯的事情,移动广告商,恶意扣费,移动网银支付、用户信息等均是用户隐私信息贩卖利益链上的环节。
整治恶意软件应多管齐下
前几年,工信部曾出手打击恶意扣费现象,并出台《移动电话机定制管理规定》,其中规定,定制方在定制话机上提供自营增值业务时,不得限制消费者使用其他增值业务服务商提供的增值服务,并且,定制话机不得内置固化的SP代码、SP服务链接以及SP客户端软件等内容,但收效甚微。近日,工信部拟建应用软件管理制度,要求各地通信管理局对应用商店进行安全检查,对含有恶意扣费、信息窃取等行为的应用软件,不得上架发布,并将其纳入应用软件黑名单。
可以说,目前国内市场SP企业鱼龙混杂,有专家呼吁成立SP行业协会,加强行业自律,促使增值电信行业能健康有序发展。近来,国内的应用商店也开始有所举措,安卓应用商店“应用汇”出台了严厉的惩处方案,对相关吸费软件采取全部下架和永久取消上传惩罚。当然用户也需要为自己的手机做好防范措施。专家建议用户为自己的手机安装杀毒软件和流量检测工具等软件。
不难看出,一系列举措说明,政府部门、手机安全厂商正在持续加强对用户移动安全的保护,而依托各自的优势,将对根治恶意程序起到关键作用。
面对恶意广告日趋泛滥以及APP“越权”读取用户隐私等现状,单纯通过用户自身提升安全防护意识已不能有效解决,只有通过产业各方的协同治理,才能立体、坚决打击手机恶意程序对用户的威胁,从根本上找到手机安全问题的解决之道,有效治理国内手机安全市场,为手机用户提供更加健康、有序、可持续发展的移动互联网环境。
(责任编辑:)