AD
□赢周刊记者 魏川
随着智能手机应用的不断发展,针对手机的攻击方式也在不断变化。360最新发布的《2013中国手机安全状况报告》介绍,手机系统的安全漏洞是对手机安全的最大威胁。
七成手机漏洞源于定制开发
为了深入了解厂商定制与安卓系统碎片化给手机安全带来的影响,360互联网安全中心针对较为流行的9大品牌、18款典型型号的安卓手机进行了漏洞测试分析后发现,安卓2.x版本中的9款手机平均存在20个已知的安全漏洞,最少的是8个漏洞,最多的则达到40个漏洞;安卓4.x版本中的9款手机平均存在19个已知的安全漏洞,最少的是3个漏洞,最多的同样达到了40个漏洞。
研究发现,使用Google原生安卓系统Nexus系列的手机漏洞是最少的,其次是索尼手机。国产手机漏洞数量通常介于10到20个之间,少数国际知名品牌的某些手机型号中,检测出存在30-40个安全漏洞。根据360互联网安全中心对上述机型手机预置应用的调查结果来看,因厂商定制产生的手机安全漏洞,约占被测试手机已知漏洞总数的70%。目前,厂商定制是产生手机漏洞较多的主要原因。
在针对上述机型的安全检测中,360互联网安全中心还对6种危害较大且比较常见的漏洞类型进行了统计。后台消息、签名漏洞、短信欺诈和后台电话这四类漏洞几乎存在于所有手机中,其中后台消息和短信欺诈漏洞的检出数量分别高达70个和57个。后台消息和后台电话漏洞可能会被利用来进行恶意扣费,短信欺诈漏洞更会对用户的财产安全带来严重的威胁。数据显示,几乎每部手机都不同程度地存在以上漏洞,这种现象令人十分担忧。
手机漏洞的修复周期长也是一个重要的安全隐患。这主要是由以下几方面的原因造成的:第一,手机行业尚未形成如Windows系统那样定期统一推送补丁的机制;第二,不同厂商对系统安全的重视程度也不同,因此厂商修复系统漏洞的周期也长短不一,某些山寨手机厂商甚至从手机出厂之后就从不修补任何手机漏洞;第三,同样是由于厂商定制开发的原因,使得某些厂商开发的安卓系统没有办法随着Goofle原生安卓操作系统一起升级。另外,出于对手机系统升级可能带来的其他方面问题的担忧,很多用户也不愿意主动升级自己的手机操作系统。
伪基站发诈骗短信真假难辨
2013年,一种名为伪基站的强发垃圾短信和诈骗短信的攻击方式泛滥。不法分子将与电信运营商的无线基站同频的伪基站放入车中,在人群密集的街道和小区自动搜索附近的手机卡信息,发送广告或诈骗短信,甚至冒充95588等银行号码诱骗中招者访问虚假网银,盗刷银行账户资金。另外,冒充电信运营商号码,如13800138000的伪基站短信也不在少数。
在2013年下半年,又出现了大量伪基站伪装运营商、银行等官方号码发送欺诈短信,诱导受害者下载可以拦截和转发用户短信的手机木马的案件。该类木马可以实现盗刷支付账户的目的。
据某不法商家宣称,其一个月就能卖出伪基站上百台,而一台伪基站每小时最多可发3万条短信。保守估计,2013年国内由伪基站发出的短信达到上百亿条规模。针对日益泛滥的伪基站攻击,360手机卫士已推出拦截功能,并可标记这些伪基站短信。
交易短信成木马攻击目标
很多网上支付工具都会与手机进行绑定,用于发送验证码和交易信息通知。2013年以来,以拦截和窃取交易短信为目标的手机木马迅速泛滥,最典型的是名为“隐身大盗”的安卓木马家族。此类木马运行后会监视受害者短信,将银行、支付平台等发来的短信拦截掉,然后将这些短信联网上传或转发到黑客手机中。黑客利用此木马配合受害者身份信息,可重置受害者支付账户。
目前有网站以1000元的价格公开售卖短信拦截类木马。
据媒体报道,国内已出现多起“隐身大盗”侵害案例,有受害者损失高达十余万元。
