隨著智慧城市和移動互聯網的快速發展,智能手機、智能PAD等移動終端用戶數量呈爆發式增長,智能終端型號五花八門,應用多樣,極大方便了廣大用戶的日常工作、學習、生產和生活。然而,手機等能終端安全問題越來越突出,竊取通信錄、照片、位置信息、通話記錄、短信內容、應用密碼賬戶等個人隱私和敏感數據的行為時有發生,利用電信欺詐、手機銀行竊取他人資金、非法獲取他人電話號碼推送垃圾廣告等違法犯罪活動十分猖獗,嚴重影響了廣大用戶的正常學習、生活和工作,“斯諾登”反映出來的竊聽、竊密事件更對國家安全、經濟安全等也構成了嚴重威脅。
隨著智能手機和4G、5G應用的普及,以及智慧城市應用的實現,移動互聯網安全形勢將更加嚴峻,已受到世界各國和全社會的關注。目前,從用戶對智能手機的使用情況看,大多數用戶只關心手機的使用功能、性能和便捷性、可用性等問題,關注手機安全問題的人群還不夠多,大多數人對此不敏感、不在乎,不同類型的用戶群安全意識差別較大,普遍安全意識薄弱,安全技能低下,安全產品和安全服務防護水平不高,惡性競爭對安全性也帶來許多負面影響。讓廣大用戶了解相關情況,深入關注移動終端安全,提高智能手機的安全使用水平和安全意識,是很有必要的。
常見的智能手機安全威脅主要包括:惡意代碼威脅(木馬),應用程序中的隱蔽功能威脅,隱通道和安全漏洞或后門威脅,特殊功能和特定服務中的威脅,以及針對相關基礎設施的威脅和針對數據內容的其他攻擊威脅。其中,智能手機應用安全問題已備受專家和安全機構的關注。
一、APP應用發展現狀
工業和信息化部發布的數據顯示,截至2013年1月,全國移動電話用戶達到11.22億戶。其中,3G用戶達到2.46億戶,移動互聯網用戶達到7.87億戶。移動App應用的增長迅速。目前,擁有過億用戶的移動應用已達10款左右,包括微信、新浪微博、手機淘寶、UC瀏覽器、搜狗輸入法、91手機助手、360手機安全衛士、高德地圖、美圖秀秀及墨跡天氣等。以蘋果官方應用商店App Store為例,截至2013年1月7日,App Store的應用下載量已經突破400億次,總活躍賬戶數達5億個。2012年6月,App Store應用下載量達到300億次,活躍賬戶超過4億個,應用總量為65萬款。在6個月的時間內,App Store新增1億活躍用戶、12.5萬款應用和100億次下載量。目前,App Store面向155個國家開放,共有77.5萬款應用,其中原生iPad應用超過30萬款。蘋果App Store在2012年共新增了約34萬個應用,2011年為30萬個,應用數量在以加速度攀升,蘋果App Store的日均收入高達1500萬美元。根據艾瑞咨詢(iResearch)的監測數據,截至2012年3月,App Store中國區的應用總數超過66萬個(660376個),其中免費應用占比為41.9%,免費應用的重要收益來源之一是廣告。
選擇使用App應用客戶端的用戶比例正在快速增長。據艾瑞咨詢(iResearch)2012年底的移動互聯網用戶行為大調研數據顯示,有57.8%的用戶會登錄手機瀏覽器,42.2%的用戶會登錄客戶端應用,二者的占比幾乎接近1∶1,首先選擇登錄客戶端應用的用戶比例大幅增長。這無疑是2012年移動App應用良好發展的一個佐證,并且,移動App應用也已經改變了或者正在改變用戶的手機使用習慣。
二、APP應用安全問題突出
如今智能手機應用呈井噴式發展,各種各樣的智能應用讓用戶很難抉擇,特別是移動支付的迅速發展,讓智能應用的安全問題逐漸被用戶關注。移動智能應用開發還是一個較新的領域,在管理層面上,移動智能相關法律法規滯后,行業對移動智能安全相關的風險認識不足,過分重視超前概念和業務而忽視基礎安全設施;在技術層面,移動應用開發組織沒有將信息安全列入軟件全生命周期,復雜業務邏輯處理不當,對集成功能模塊把關不嚴格,甚至個別開發者為某些商業利益故意收集信息等。上述各種原因,導致移動應用中會存在bug、漏洞或者留有后門。再加上像安卓市場這樣的應用平臺門檻較低,沒有權威發布機構,并且審核不夠嚴格,導致許多具有惡意行為的應用出現在用戶的手機上,如果只是危害手機系統,那問題還不那么嚴重。但要是威脅到移動支付、郵箱等,就會給用戶造成很大的損失。
此外,智能手機病毒也是不容忽視的威脅,病毒感染到手機后,會以不被察覺的形式來使用手機的一切功能。在手機屏幕上不會有任何顯示,就把要做的事情做了。病毒會代替你使用手機的所有服務。比如給你的朋友發個短信,然后從已發短信中再把這條信息刪了。你能做到的,病毒都能做到。
三、采取有效措施,加快APP應用產品供應鏈安全審查
一是形成APP應用程序準入制度,通過專業的國家APP應用程序檢測機構,對即將發布的應用程序進行惡意代碼、隱蔽功能等安全審查。審查通過的應用程序進行數字簽名識別,允許在國內各大APP應用平臺發布。審查未通過的不允在國內各大APP應用平臺發布。對各大應用平臺的APP運用技術手段進行抽查,發現發布了未審查通過簽名的APP,將勒令下架未審查APP,并處以一定的處罰。
二是加強對智能手機應用發布平臺的網絡安全審查。要求應用發布平臺對其發布應用安全負責,并要求應用平臺商有效管理平臺上的應用程序。同時通過立法、第三方測評、設立權威應用發布平臺等行政與市場化結合等手段,促使應用發布平臺運用技術、管理、服務等手段,管理好自己平臺上的應用程序,承諾自身平臺應用安全性,并對此負責。
上述做法也是參考了蘋果公司對APP Store中的應用程序的嚴格審查機制。從目前現狀看來,蘋果APP Store中的惡意代碼應用,遠低于Android市場中的惡意代碼應用,我們應加快做好中國市場智能終端的安全管控,為百姓提供綠色移動互聯網環境。
京公網安備 11010502049343號