2013年上半年國內(nèi)手機安全報告

2013年上半年國內(nèi)手機安全報告

2013年5月，主要的安全設(shè)施和制造商在今年的第一學(xué)期發(fā)布了手機安全報告。這些報告所揭示的風(fēng)險預(yù)示著,當(dāng)前智能手機環(huán)境所面臨的風(fēng)險越來越趨近于傳統(tǒng)計算機環(huán)境。而近年來各大銀行陸續(xù)推出手機銀行客戶端來滿足人們使用移動終端來辦理金融業(yè)務(wù)的需求,由于這些手機銀行客戶端依托于智能手機操作系統(tǒng),隨著智能手機安全環(huán)境的惡化,因此手機銀行所面臨的挑戰(zhàn)必將越來越嚴(yán)峻。一、智能手機環(huán)境的安全性1.智能手機用戶增上相關(guān)情況根據(jù)中國互聯(lián)網(wǎng)數(shù)據(jù)中心(DCCI)2013年發(fā)布的《中國移動安全現(xiàn)狀調(diào)查報告》數(shù)據(jù)顯示,2013年中國智能機用戶數(shù)已經(jīng)突破4億,增幅接近40%。但是,《中國移動安全現(xiàn)狀調(diào)查報告》的數(shù)據(jù)顯示,這4億多的智能手機用戶中,45.4%的用戶沒有安裝手機安全軟件,缺乏必要的信息安全防護措施,嚴(yán)重缺乏安全保護意識。2.android智能手機惡意程序國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT/CC)發(fā)布的《2012年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》顯示,2012年CNCERT監(jiān)測和網(wǎng)絡(luò)安全企業(yè)通報的移動互聯(lián)網(wǎng)惡意程序樣本達(dá)到162981個,較2011年增長25倍,其中約有82.5%的樣本針對Android平臺,超過Symbian平臺躍居首位(見圖1)。2013年,Android智能手機的安全威脅趨勢并未改變。騰訊、360、金山等公司發(fā)布的《2013年第一季度手機安全報告》稱“Android系統(tǒng)平臺已經(jīng)成為手機病毒肆虐的主戰(zhàn)場”。該報告顯示,2013年一季度,Android系統(tǒng)病毒樣本占新增樣本總數(shù)的95.6%,其余均為Symbian系統(tǒng)病毒樣本。360公司新截獲手機惡意軟件18.8萬個,其中手機木馬104020個,惡意廣告插件84467個,平均每天都有超過2000個惡意軟件出現(xiàn),總感染人數(shù)高達(dá)2.1億,且呈逐月上漲趨勢。金山公司的報告顯示,安卓智能手機的病毒日感染率在1.45%~1.65%,已經(jīng)超過電腦病毒的感染率(據(jù)微軟發(fā)布的安全報告顯示,Windows電腦系統(tǒng)中毒的概率在1%以下)。市場研究機構(gòu)預(yù)測,2013年底國內(nèi)智能手機用戶數(shù)將超過5億,與此同時,Android系統(tǒng)惡意軟件數(shù)量將從2012年的35萬個猛增到100萬個(見圖2)。3.智能手機漏洞簡況通過對2013年以來國際知名CVE漏洞庫(CommonVulnerabilities&Exposures,CVE)、中國國家信息安全漏洞庫(ChinaNationalVulnerabilityDatabaseofInformationSecurity,CNNVD),以及主流媒體披露過的智能手機漏洞進(jìn)行了全面梳理,共發(fā)現(xiàn)103個漏洞。根據(jù)漏洞的特點,將這103個漏洞分為Android第三方應(yīng)用漏洞、Android系統(tǒng)漏洞、IOS第三方應(yīng)用漏洞、IOS系統(tǒng)漏洞、WindowsPhone系統(tǒng)漏洞五類,其中Android第三方應(yīng)用漏洞共有70個,占比68%,其次為IOS系統(tǒng)漏洞,占比24%;而Android系統(tǒng)漏洞僅占6%(見圖3)。4.垃圾短信分布據(jù)騰訊《2013年第一季度手機安全報告》顯示,2013年一季度,垃圾短信的泛濫程度進(jìn)一步加劇。騰訊移動安全實驗室監(jiān)測顯示,截至2013年一季度,共監(jiān)測發(fā)現(xiàn)垃圾短信5.53億條。其中,廣告類垃圾短信占81.09%,詐騙類垃圾短信占11.46%,違法類垃圾短信占4.24%,其他占3.21%。詐騙短信的誘惑性和欺騙性越來越強,對客戶的資金安全造成重大危險。在詐騙短信中,以房東轉(zhuǎn)賬類與中獎釣魚類為主分別占比48.57%和36.41%(見圖4)。5.清除惡意代碼軟件2012年,近半數(shù)的惡意軟件是通過應(yīng)用商店和論壇傳播的(見圖5),特別是不夠規(guī)范且應(yīng)用數(shù)量龐大的Android市場,大量山寨軟件、被植入惡意代碼的軟件充斥其中。2012年8月至2013年4月,CNCERT共通知第三方應(yīng)用商店清除14796條惡意APP下載鏈接,下架超過1萬個惡意APP。在這些應(yīng)用市場上,PC互聯(lián)網(wǎng)時代的惡意軟件產(chǎn)業(yè)鏈正在向移動互聯(lián)網(wǎng)漫延,大量合法軟件被篡改并植入惡意代碼,然后投入各類應(yīng)用市場。這種將合法軟件植入惡意代碼的方式通常被稱為“二次打包”,而從事此類行為的人被稱為“打包黨”(見圖6)。二、pc環(huán)境安全威脅日益增上述報告顯示,目前智能手機所面臨的風(fēng)險越來越嚴(yán)重,可以說越來越趨近于傳統(tǒng)PC環(huán)境的安全風(fēng)險,這給手機銀行造成了越來越大的安全威脅,安全威脅或安全風(fēng)險如下。1.讀取隱私信息目前智能手機惡意程序泛濫,絕大多數(shù)惡意程序均具備竊取隱私信息的功能。這方面Android手機銀行所面臨的風(fēng)險最為嚴(yán)重,但其他手機銀行客戶端也存在此類風(fēng)險。2.控制凈化并安裝假冒程序由于Android應(yīng)用市場的混亂,黑客有可能制作假冒手機銀行的客戶端程序,以騙取敏感信息。此外,各類非官方渠道的AndroidROM中也可能嵌入假冒程序,通過誘騙用戶“刷機”(即使用其他ROM重新安裝手機操作系統(tǒng))的方式將假冒程序直接安裝到手機上。對于iPhone手機,雖然蘋果公司對于發(fā)布在蘋果商店的應(yīng)用有相對嚴(yán)格的審核機制,但仍然無法完全避免此類情況。特別是,在iPhone手機“越獄”的情況下,用戶可以安裝蘋果商店之外的應(yīng)用程序,這進(jìn)一步加大了這種威脅發(fā)生的可能性。3.短信銀行可能會面臨垃圾短信惡意程序通過偷發(fā)短信的方式可以消耗客戶資費,也可以借用受害客戶的手機進(jìn)行免費廣告宣傳(使用受害客戶手機給其他手機發(fā)送廣告短信)或金融欺詐。隨著短信銀行業(yè)務(wù)的興起,這種被惡意程序控制的手機也極有可能針對短信銀行發(fā)送大量垃圾短信,進(jìn)而造成拒絕服務(wù)攻擊。隨著智能手機進(jìn)一步普及,這些被黑客控制的智能手機,也會和被控制的電腦一樣,成為黑客進(jìn)行拒絕服務(wù)攻擊和其他違法行為的“肉雞”(對被黑客控制的計算機設(shè)備的俗稱)。除了上述幾種對手機銀行最直接的威脅,用戶的安全意識薄弱和頻發(fā)的智能手機漏洞,也可能對手機銀行的安全造成影響。三、網(wǎng)絡(luò)安全的技術(shù)保障綜上所述,針對手機銀行所面臨的風(fēng)險,銀行、政府有關(guān)部門等各方面力量需要合作,共同維護用戶的利益。對于銀行來說,一方面需要在手機銀行業(yè)務(wù)層面制定更為靈活的業(yè)務(wù)策略,有效控制風(fēng)險,降低客戶潛在的資金損失;另一方面,需要不斷完善技術(shù)防護手段。此外,在宣傳業(yè)務(wù)產(chǎn)品的同時,需要注重對客戶的安全意識