智能手机成新兴威胁 安全危局亟待突破

  病毒植入、窃听电话、盗取信息、骚扰广告……如今,与人们朝夕相处的手机已被瞄准,成为牟利者的“天堂”,同时也成为了信息安全保卫战的新“战场”。移动设备私密性极高,一旦发生安全问题可能侵害百姓的生命财产安全,严重的可能会威胁到社会乃至国家的安全。然而,目前相关监管措施严重滞后,移动安全领域存在法律盲区,导致问题难以得到根本解决。

  手机虽小,安全事大。要解决这一存在多年的顽疾,需要社会各界的不懈努力。

  “偷窥”关键人物动向威胁国家安全

  近期,中国互联网新闻研究中心发布了一份报告——《美国全球监听行动纪录》。报告显示,经过几个月的查证,中国发现美国国家安全局前雇员爱德华·斯诺登披露的美国“棱镜”秘密项目有针对中国的窃密行为,内容基本属实。

  这是棱镜门事件发生一年多后,中国首次对涉及自身的监听窃密问题进行官方表态。报告称,美国的监听行动涉及到中国政府和领导人、中资企业、科研机构、网民、手机用户等。信息安全话题由此再次触动人们的神经。

  对个体而言的隐私信息,带来的可能是经济损失。但如果隐私信息达到一定数量级的规模,往往会上升成社会公共安全层面或者国家安全层面的公共事件。业内人士表示,移动互联网时代,用户信息等大数据事关国民经济运行和社会稳定,必须引起重视。

  “随着芯片、网络、软件和移动通信技术的发展,手机已经不单是通话的工具,手机和计算机之间的差别越来越模糊;我国已有数亿人拥有手机,短信等信息交流被大多数人接受,手机传播已成为继报纸、广播、电视、网络之后的‘第五媒体’;手机的商业应用同时导致手机泄密事件增多,严重影响到了人们的正常生活;随着手机服务器的出现,国家安全受到新的威胁。”国务院发展研究中心国际技术经济研究所研究员陈宝国认为,手机的信息管理和传播功能强大,影响面广,同时具备隐蔽性强、灵活机动等特点,对我国的信息安全、经济安全和政治安全影响极大。

  陈宝国举例介绍,手机定位和窃听可以远程监控关键人物的动向和位置,了解机密谈话信息,直接威胁国家领导人等关键人物人身安全。另外,通过手机定位,可以掌握一批相关领域人员整体动向,进而可以判断出国家重大技术或政策进展情况,掌握最新经济和政治动向。

  正是基于此,今年4月15日,中央国家安全委员会第一次会议召开,中共中央总书记、国家主席、中央军委主席、中央网络安全和信息化领导小组组长习近平首次提出要坚持“总体国家安全观”,并要求构建包括信息安全在内的11个领域安全于一体的国家安全体系。

  “红、橙、蓝、绿”——国家信息化专家咨询委员会委员、国家信息中心专家委员会主任宁家骏将信息安全由低到高划分为这四个等级。他评价中国近些年信息安全形势,“确实比较严峻复杂,但整体仍属可控状态,可以说总体安全形势是蓝色,局部是橙色”。

  宁家骏介绍,自2003年以来,在国家信息化领导小组的统一部署和指导下,中国一直加强网络信息安全保障体系建设,已经初步建立一套比较成功的防护体系,基本防御了黑客攻击和信息监听窃取,还制定了包括预警感知、防御、清除、反制等措施,有力打击了网络犯罪,成效显著。

  “如今国家成立中央网络安全和信息化领导小组,已将信息安全保障体系放在了前所未有的高度来建设。发挥举国体制优势能更好地发展信息安全产业。”宁家骏说。

  中国科学院信息工程研究所研究员、信息安全国家重点实验室常务副主任林东岱在接受记者采访时说,要实现信息安全,关键词在“自主可控”四个字。“设备都是人家生产的,而且咱们掌控不了,这是保障国家信息安全的核心问题,是我们要努力克服的问题”。

  林东岱也向记者坦言,在全球化趋势下,不可能所有设备都由自己生产,但至少应做到“可控”,即对一个产品的安全状态有清晰的认识和有效的安全检测、安全评估,保障它不会出问题。

  而在技术和设备的进步之上,林东岱认为,更应该提高的是国民的意识和国家的法律法规保障。他建议,在保障信息安全方面要有统筹的考虑,既包括国民意识提高,也包括法律法规完善和技术进步,还包括互相之间的匹配、协调。

  “从政府相关部门到各行业主管机构,已经从全局的角度,开始对网络安全保障问题,进行各方面、各层次、各要素统筹规划,逐步完善网络信息安全制度,力图在顶层建设一个良好的信息安全屏障。”中国科学院计算所研究员、中国工程院院士倪光南表示。

  [page]

  手机泄密防不胜防?

  智能手机的普及,将APP(手机应用程序)推进欢宴时代,一个个圆角矩形的小图标,在手机和相关设备的桌面上挤作一团。

  可是,当你乐此不疲地享受APP带来的愉悦体验时,殊不知,你的手机正在“裸奔”——不仅被那些“手脚不干净”的APP装上了一双窥私的眼睛,还被暗地里凿穿了连接后门的秘密通道。

  于是,你去了哪,给谁打了电话,发了什么短信,访问了什么网站,网购了什么商品等信息,当然,还有你的手机号、通讯录名单、通话记录、地理位置、邮箱账号等隐私,都被公开在一个你不知晓的隐秘地方。

  “法律界定的滞后和相关手机系统的监管不到位,让APP行业至今无从监管。在掘金移动互联网的喧嚣和躁动中,窃取用户隐私的行为显得肆无忌惮。APP开发行业根本就没有道德底线,对于手机用户隐私信息的保护,完全凭开发者的良心。”在北京开有一家APP开发公司的耿洋(化名)淡淡地对记者说道。

  隐私忧虑不是“杞人忧天”

  近20年的程序开发经验使耿洋成为了这个圈内的资深人士,而他自身也经常遭遇隐私泄露的尴尬。一天,一位朋友突然向他发出生日快乐的祝福,耿洋很诧异,因为他没有告诉过这个人自己的生日。原来是一家公司设计了一款手机社交APP,甲与乙认识,乙与丙认识,那么甲通过乙就能获得丙的一些个人资料。对于这个产品,耿洋非常恼火,因为这是未经许可泄露他人隐私。

  “你经常去哪家餐厅?最喜欢什么电影院?回家的路线是什么?这些私密的信息很有可能通过LBS(Location Based Services,基于位置的服务)被记录在智能手机中。”在北京邮电大学学习计算机专业的路晨向记者抱怨说,“打开智能手机,在应用程序中查看附近有什么好吃、好玩的,已经成为当下‘新新人类’们青睐的生活方式。但是,在运行这些应用的时候,它们几乎都会搜集你的位置信息,这些信息是否能得到安全保存、使用非常重要,因为这种泄露将可能导致不可预料的事件发生。我现在已经不敢在手机上查信息了,各种推销的推送太多了。更让人担忧的是,个人用户地理位置等个人隐私一旦被窃取、利用,将可能导致广告信息骚扰,甚至发生跟踪、抢劫等人身伤害事件。”

  “况且这已经不是‘杞人忧天’,前不久就有报道说,一个女孩子因为在微信中分享个人位置,结果被不法分子跟踪、抢劫。”在路晨看来,比起个人电脑,手机上个人信息泄露的情况更为严重。“手机是跟着人跑的,你与谁通话、发短信,短信的内容,你所在的地理位置,你的人际网络等等,可以说全都在手机上”。

  趋势科技(中国区)业务发展总监童宁表示:“现在越来越多的设备、应用要求获得用户的位置信息,并给用户提供基于位置的定制化服务,这是智能化时代的产物,但也给隐私保护带来了严峻挑战。虽然很多设备和应用都会在用户使用协议中,询问用户是否同意提供地理位置信息,但很多用户并不会注意到这些条款,即使注意了,也难以阻止这些设备或应用的行为。”

  “值得注意的是,目前炒得沸沸扬扬的手机预装软件问题也严重威胁着手机用户的隐私安全。部分预装软件私自使用手机用户数据就是在侵犯用户的隐私权。”曾对手机预装软件进行过专门研究的北京律师赵虎分析,“很多手机预装软件隐蔽运行于手机软件系统后台,可以调用用户的位置信息、使用习惯,甚至搜集并上传用户的联系人资料,在很大程度上对用户隐私造成影响。”

  针对手机的隐私泄露问题尤其是涉及的窃听情况,南昌大学计算机研究所的研究人员还做过专门调研。“有的窃听不需要在手机里安装窃听器,也不需要像网络说的那样对手机SIM卡做处理。而只要安装一个软件,这个窃听软件可能是你无意中安装的,也可能是有人在接触你的手机后安装的。”南昌大学计算机研究所副研究员黎鹰介绍道,“这种窃听软件其实是木马,它可能‘寄生’在你下载的某个APP软件中,也有可能是你浏览网页时一不小心下载的,或者他人给你发彩信你无意点开导致木马植入到你的手机。现在有的杀毒软件查不到这种木马,很多木马隐藏了起来,一般人很难查到,除非是专业人士。”

  窃取类软件呈三大态势

  近日,百度安全实验室正式发布了《2014年第二季度移动安全报告》。报告显示,在本季度增长的恶意软件中,隐私窃取类恶意软件迎来大规模爆发。据百度安全实验室的统计数据显示,和上一季度相比,隐私窃取类恶意软件的比例上涨非常迅速,达到了17.9%,上涨幅度达到了57%。

  耿洋分析认为,手机软件收集个人信息的主要途径有三种:第一种是在安装时有授权确认,在使用中涉及用户信息时,再次出现授权确认让用户明确知晓;第二种是在用户下载安装软件时,给出一个提示让用户确认;第三种是没有经过用户任何确认,直接收集信息。

  “此前,不法分子利用恶意软件主要窃取用户的短信和联系人信息。但随着移动支付的迅速普及,用户可以用手机完成购物,充值,甚至交水电费等一系列支付活动,支付类、网银类、网购类应用自然而然地成为了恶意软件开发者的‘香饽饽’。”经百度安全实验室的专家分析,这些隐私窃取类软件呈现三种态势。

  “首先,手机隐私窃取类软件大量以山寨应用方式呈现。”百度安全实验室的技术人员介绍说,据他们的监测数据显示,网银、支付、购物应用和社交应用的山寨情况持续泛滥,目前各种网银应用的山寨版本已经超过了500款。由于这类应用往往都需要用户输入账号密码,一旦用户使用山寨应用,就很有可能被盗取账号密码等隐私信息,目前山寨应用已成为对用户隐私的最大威胁之一。

  “与此同时,技术手段则更加深入。”上述技术人员说,百度安全实验室近期发现的一款“聊天剽窃手”病毒,将恶意代码注入QQ、微信程序进程,恶意代码能够实时监控手机QQ、微信的聊天内容及联系人信息,威胁性极高。

  “此外,目前还有一种趋势便是多种恶意手段的结合运用。”百度安全实验室的技术人员说,总体看来,本季度窃私类软件发展迅速,技术也更加深入,用户的个人信息面临了巨大的风险。

  为什么这么多的应用会卷入盗取用户信息的恶行?又是谁在暗中操作?

  “这背后存在一条隐蔽的利益链条。目前收集用户隐私信息的主要黑手为移动广告公司。众多的中小应用开发商没有动机去盗取用户信息。为了赚取应用内置的广告费用,开发商会与移动广告平台签署协议,在应用中内置广告代码,真正作恶的正是这些代码,有广告商利用应用安装时获得的权限,大量读取用户信息,并上传至自己的服务器。”耿洋透露说,这些广告公司将用户的联系人、短信、通话记录进行综合分析,作出判断,从而进行精准的广告投递,并以此牟利。目前日益泛滥的垃圾短信也与此相关。

  对此,公安部第一研究所科学技术信息中心副研究员杨卫军说,数据来源于网民或企业用户的现实工作与生活,存储在网际空间,数据信息是否为公民或企业的私有资产,权属不太明确。目前,在数据保护、交易、责任等方面的法律法规落后于实践需要。

  “数据所有权、使用权界定尚不明确,亟待规范。”中国传媒大学政治与法律学院法律系副主任郑宁认为,信息安全风险存在于数据的全生命周期之中,从技术研发、产品制造、用户使用、服务管理等各环节均要明确安全责任,对所涉及到的政府、企业、数据产生者及个人等,也必须明确各自的安全责任。在手机技术日益发展的情况下,保护个人网络隐私就是一个系统的工程,需要法制手段、技术能力、保护意识、有效沟通、管理监控、风险规避及防范等多方面的联合长期行动。

  “虽然国家在目前已经实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》中,明确了处理个人信息要遵循用户知情自愿的原则,但专门的个人信息保护法仍然缺失。如何让我们的隐私在手机基数高速发展的今天‘有路可逃’,这个问题亟待有关部门进一步解决。”郑宁说,目前大多数手机应用软件都有能力去肆意搜集个人信息,限制这些软件搜集信息就要靠立法。国家应出台相关政策,要求各大应用平台履行市场监督职责,加大对个人隐私保护的审查力度。

  此外,中国信息经济学会理事长杨培芳呼吁,应制定具体的法律法规,现有的行业监管规定应该进一步细化,比如对恶性软件给出标准定义。

  [page]

  手机“卷钱”易如反掌?

  手机吸费一直是手机用户关注的话题。与此同时,手机银行和相关支付平台的漏洞,也日益成为影响手机财产安全问题的另一大“祸源”。

  根据360互联网安全中心发布的手机安全报告《2013年中国手机安全状况报告》显示,2013年360互联网安全中心共监测到安卓手机用户感染手机木马9747万人次,较2012年增长了88.3%,平均每天26.7万人次感染。而这些木马中,会“吸费”的达到67%。

  吸费木马隐蔽作案难察觉

  “360手机安全中心在进行正常软件检测时发现,一款名为‘手电筒’的软件有点可疑。”360手机安全中心的技术人员向记者透露说,“这款‘手电筒’APP与官方正版APP并非同一个安装包,这个软件被不良开发者二次打包,申请了过多的敏感权限。在用户享受便捷体验的同时,木马吸费程序已悄然开启。”

  “手电筒”吸费并非个例,APP被篡改后植入吸费木马的类似情况并不少见。据《2013年中国手机安全状况报告》统计,有21%的恶意程序为恶意扣费类。

  据了解,恶意扣费类程序的木马作者主要目的就是为了牟取暴利,通过远程控制手机木马在后台私自发送扣费短信,获取利益。

  “有一类应用程序,向手机通讯录的联系人群发短信的同时,也会造成手机用户的话费损失。”360手机安全中心的技术人员介绍说,目前吸费木马软件的作者会采用两种隐蔽的方法防止用户发现自己被吸费,第一是屏蔽扣费的回复短信;第二是监测手机的安全环境,如果用户手机中安装有安全类软件,吸费木马软件就会暂时潜伏在手机中,不会触发恶意行为。

  银行类手机APP整体安全堪忧

  近年来,手机支付大潮兴起。2014年2月17日,央行发布《2013年支付体系运行总体情况》显示,2013年手机支付业务保持高位增长,手机支付业务16.74亿笔,金额达到9.64万亿元,同比分别增长212.86%和317.56%。移动终端软件以“用户利益”为突破点,使手机支付业务遍及我们的个人生活脉络。

  与此同时,手机银行也带来了很大的安全隐患。据近期发布的《2014年第二期中国移动支付安全报告》显示,在对16款银行客户端的登录机制安全性进行测评的过程中,账号密码+短信验证登录的方式依旧存在安全隐患。

  “前几天,我收到升级手机银行客户端的短信提醒,就登录到短信上显示的网址下载并安装新的客户端,随后我在登录界面输入了账号信息,点击界面中的‘提交’按钮后,却被提示‘系统正在升级验证中,请稍后’。”在经过几次尝试登录失败之后,北京市民陈女士收到了银行卡已被支取50000元的短信通知。

  “陈女士收到的短信中的网址链接所下载的软件遭到木马篡改,黑客通过木马已经完全获取了陈女士的网银账号、网银密码和短信验证码。黑客使用这三组数字,就能在另外一部手机上登录用户账户并进行消费。银行发送到陈女士原来的手机号码的各种短信,已经被木马拦截并转发到了黑客控制的号码上。黑客可以轻松使用盗来的陈女士账户进行各种网上支付,从而盗刷陈女士的银行资金。”在北京市从事APP开发的郑冰向记者这样解释说。

  《手机银行客户端安全性测评报告》称,很多支付安全性问题难以靠手机银行客户端软件单独解决,银行类手机APP整体安全状况堪忧。

  监管真空地带亟待统一治理

  “在利益的驱动下,手机病毒目前已经形成了一个由生产、制作到销售的产业链。”北京师范大学法学院教授、亚太网络法律研究中心主任刘德良说。

  一位手机预装行业的业内人士透露说,手机厂家以及各级代理商、销售商与软件商之间的利益传递,除了有预装软件激活收费的模式之外,还存在一种利益分成的模式。软件商在获利之后,一般要进行三七比例的分成,其中7成利润要付给起到广告作用的软件预装方。业内人士强调,使用这种计费模式的一般是电商类的公司,而他们也因此获利颇丰。

  早在2013年4月,工信部就发布了《关于加强移动智能终端管理的通知》,要求手机生产商不得预装五大类恶意软件。然而,记者注意到,针对这方面,目前还缺乏监管措施。

  “特别是手机从出厂到消费者的这一时间段处在监管真空地带,为恶意软件预装手机提供了可乘之机。”中国移动互联网产业联盟秘书长李易此前在接受记者采访时说。

  同时,令人遗憾的是,虽然目前不论是手机银行还是其他APP各类应用程序正成为人们与互联网连接的通道,然而,这个通道却没有一个“守门人”。

  “APP从开发到上线,几乎找不到监管部门。程序开发商和商店运营商一般不会向任何部门送检,而且他们也找不这样的部门,所以,APP的安全性就取决于业界良心了。”郑冰向记者坦言。

  中国传媒大学政治与法律学院法律系副主任郑宁向记者介绍说,针对上述种种问题,相关政府部门已经出台了一些标准。他认为,治理手机病毒需要用户、安全厂商、运营商、手机厂商、应用商店等整个产业链的共同努力。首先从产业链的上游对病毒进行扼杀;其次,用户要养成良好的使用习惯,选择具有安全认证的下载渠道,同时安装专业安全防护软件。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:信息安全问题中方立场:必须确保网络空间的和平性质