当前位置:首页 > 智能手机 > Android手机 > 新闻
三大漏洞 左右移动安全
  • 2012-10-9 16:26:18
  • 类型:原创
  • 来源:电脑报
  • 报纸编辑:陈邓新
  • 作者:陈邓新
【电脑报在线】如今Android平台的安全威胁增长速度已经超过PC平台了,安全厂商也逐步加大对Android安全软件的支持力度,可如今的Android安全软件真的能适应移动安全环境吗?未必,一些正在兴起的漏洞威胁被忽视了!

        支付保护、图标清理和记录销毁,未来是手机安全软件标配功能

        “2012 年第二季度,全球Android恶意软件增加了150万个,是安全威胁增长最快的领域!”这是腾讯电脑管家最新安全报告中的数据。是的,如今Android平台的安全威胁增长速度已经超过PC平台了,安全厂商也逐步加大对Android安全软件的支持力度,可如今的Android安全软件真的能适应移动安全环境吗?未必,一些正在兴起的漏洞威胁被忽视了!


漏洞1:不能完全保护支付密码的安全


        漏洞等级:高危
        漏洞状态:目前手机安全软件只能对付部分漏洞威胁

        漏洞威胁:当前Android恶意软件最多的弹通知栏广告类,其次是恶意扣费类,盗支付密码类恶意软件数量总体来看非常少。不过2012年,盗支付密码类恶意软件增加了80%且造成的危害更是创下新记录,例如短信僵尸病毒(潜藏在壁纸软件和美女游戏软件中)在国外就感染超过50万部Android手机,造成数十万美元的经济损失(更多详情请看F6版的安全分解析)。


        “2011年中国移动支付用户数达1.87亿人,交易额达742亿元,同比2010年增长67.8%。预计2012年交易额将超过1200亿元。”这是易观国际最新的预测。如此庞大的市场,自然需要手机安全软件保护。


        可目前Android平台中的手机安全软件,例如金山手机卫士、360手机卫士,腾讯手机管家、卡巴斯基手机手机安全软件等,都可以拦截部分盗支付密码的恶意软件,例如假冒招商银行APP、被不法分子重新封装并添加了广告的淘宝APP等,却无法做到百分之百拦截。


        就像这次短信僵尸病毒,在国外作恶时,并没有在第一时间被发觉,从而造成了不小的安全损失。而如果有一个支付保护功能,一个专门防止恶意软件染指支付密码的功能,上述悲剧或许就不会发生。 



盗窃手机支付密码的代码已经被黑客开发出来了

        支付保护功能就好比一把安全锁,阻止任何软件染指用户的支付密码,而不需要判断该软件是不是安全的。仔细想想,不难发现在PC平台中有相同的安全功能:账号保护箱,该功能可以阻止桌面盗号病毒拦截用户的各种账号和密码。PC平台的账号保护技术已经出现四五年了,技术非常成熟,移植到开源的Android平台是可行的。


        对记者的这个观点,电脑报第一届黑客大赛冠军、移动安全研究专家小恐龙持认同的态度:“在Android平台,超过30%的恶意软件存在盗取隐私的能力,稍加改造就可以变成盗窃支付密码的恶意软件,保护手机网银、手机支付宝账号刻不容缓。从技术上来说,可借鉴PC平台的账号保护技术,技术核心就是为支付密码设立一个独立运行的环境,技术实现难度不高!”

 

漏洞2:不能全面禁用图标式广告


        漏洞等级:严重
        漏洞状态:目前手机安全软件只能对付部分漏洞威胁

        漏洞威胁:提到手机恶意广告,大家第一个想到的就是通知栏广告吧。其实,除了通知栏广告,在手机桌面生成广告图标的恶意广告也越来也多,例如图标密雷、安卓广告王、性感女孩拼图等。黑客组织Silic Group Hacker Army最近作出预测:图标式广告在2013年会取代通知栏广告,成为Android平台头号手机恶意广告。


        目前,有一类恶意软件正在快速增长,那就是图标式广告,特别是在金山、360对手机通知栏广告宣战后,通知栏广告的生存空间必将受到极大的压缩,因此一些广告联盟厂商和开发者会投入图标式广告的怀抱。      



图标式广告


        而手机安全软件虽然可以对付部分图标式广告,但能力并不够强大,漏杀的几率非常高。因此,如果手机安全软件有图标清理功能,就可以从根本上杜绝此类广告的传播。图标式广告有两大特征:在桌面生成一个广告图标(软件图标或者网站图标);在浏览器中插入一个书签链接(指向一个网站),用户一打开浏览器自动登录书签指定的网站。


        那么在安装软件时,如果会在桌面生成图标,又有窜改浏览器的行为,图标清理功能就可以断定该软件含有图标式广告,接着采取禁用广告代码技术封杀广告即可,这样软件还可以继续使用。


漏洞3:不能阻止遗失手机泄露上网信息


        漏洞等级:中等
        漏洞状态:目前手机安全软件无法对付漏洞威胁

        漏洞威胁:遗失的手机会泄露上网记录、网络密码等个人隐私。2012年5月7日,天津市民李长天遗失了手机,他此前曾经激活了手机安全软件的远程删除功能,于是在另外一部手机总发送一条删除短信,将遗失手机中的敏感数据消除了。后来,他发现有人登录了他的139邮箱……


        是的,主流手机安全软件都具备远程删除功能,不过该功能是这样设计的:用户在一部手机中点击“删除数据按钮”,然后输入丢失手机号码和预先设定的密码后,点击“发送指令”,丢失的手机就会收到一条短信,然后丢失手机的安全软件就会删除通讯录、短信、记事本中的数据。


        可是,网页访问记录等敏感数据却不会被删除。于是,捡到手机的人则可以知道原主人的上网习惯,甚至可以通过破解或者推敲等手段知道原主人的网上密码,从而造成更多的隐私泄露。这种安全威胁目前还处于起步状态,但依然值得手机安全软件关注并解决。


        腾讯安全工程师苗得雨告诉记者:“从技术上说,删除网页访问记录、网页登录密码,过程跟删除通讯录、短信是一样的,甚至还可以删除用于支付的手机银行APP。这个思路值得借鉴,未雨绸缪总是好的。”

 
本文出自2012-10-08出版的《电脑报》第40期 F.APP软件
(网站编辑:王润武)


我来说两句(0人参与讨论)
发表给力评论!看新闻,说两句。
匿名 ctrl+enter快捷提交