專家談移動應用漏洞威脅雙系統將大有作為

病毒木馬總量超過3億，惡意扣費類樣本占比67%，每5.6臺安卓設備中有1臺感染病毒，97%熱門APP存漏洞風險……這一串串觸目驚心的數字，正是中國通信信息研究院安全研究所室主任戈志勇，在首屆“中國手機安全論壇”上所提出的，而這一連串數字的背后，也暗含著一條黑色的產業鏈。統計顯示，2015年黑灰產收入高達數千億元。

據戈志勇主任介紹，隨著應用數量的快速增長，帶有病毒木馬的仿冒APP的數量也非常龐大，社交類和金融類APP最常被仿冒，其中，社交類排名前十的APP平均有500個仿冒，這些仿冒應用大部分都有惡意扣費行為。而且，應用自身的漏洞和安全防護缺陷，也造成應用易于仿冒，惡意程序嵌入仿冒應用中廣泛傳播。

目前，這一黑灰產業已經形成相對成熟的產業鏈條，有著完整的結構、明確的分工和先進的工具，利用惡意程序、應用漏洞、偽基站、偽AP等竊取用戶隱私，開展電信詐騙，盜取用戶錢財。

2015年移動操作系統漏洞數量暴漲，應用開發階段引入的漏洞數量也非常巨大。如去年IOS的編譯器Xcode中被植入惡意代碼，百度應用開發SDK的漏洞，都造成了大范圍的影響。僅去年11月就爆出了環球網APP、聚財貓APP、好利網APP等漏洞，百萬級的用戶數據：銀行卡、身份證、手機號等信息被泄露。

應用自身的漏洞成為黑客的突破口，進而攻擊應用的服務端，竊取用戶隱私數據。對于用戶來說，如果泄露了身份證、手機號、郵箱帳號密碼等信息，或許不會導致過于嚴重的后果，但如果由于不慎使用“山寨”的銀行手機客戶端、購物軟件等APP，那么造成的經濟損失是難以估量的。

據介紹，這些山寨App與正版相似度極高，用戶幾乎無法分辨，一旦用戶用其登陸，賬號和密碼便會被竊取，發生財產被盜等情況。

針對這一情況，不少專家都表示應制定相關規范標準、加大懲治力度，同時也需要應用開發者、應用商店、手機廠商及行業監管部門協同應對。如工信部12321網絡不良與垃圾信息舉報受理中心副主任郝智超則提出，手機廠商也要發揮強大的作用。

郝智超副主任表示，目前的趨勢是安全軟件廠商在向手機廠商進軍，手機硬件廠商也在向安全廠商進軍。像酷派這樣的手機廠商推出雙系統的好處在于把選擇權交給了用戶，一個手機里有兩個手機操作系統，用戶可以選擇使用哪個操作系統，木馬程序、非法超鏈等也很難通過雙系統的防范系統。如果手機廠商未來再加上對不法信息隨時舉報的功能，就更能幫助用戶。

郝智超副主任所提及的“雙系統”，是指在一部手機中自備兩個獨立運行的系統，一個是安全系統，另外一個是開放系統。開放系統就是平常的手機系統;而在安全系統里，所有的APP都是經過官方安全認證的，用戶可以在安全系統進行網絡支付、購物、投資理財等行為。

據酷派安全專家介紹，具有惡意病毒的APP均不會出現在安全系統的應用商店中，更不會出現山寨APP，如果用戶不慎下載了不安全的軟件，這些軟件將無法被安裝，從而在根本上避免了被盜取賬戶信息的可能。

對于酷派的“雙系統”技術，戈志勇主任也予以了高度肯定，認為其“為手機提供了良好的應用環境，這是個有效的解決方案”。

不得不說，未來移動應用漏洞威脅還將長期存在，政府的監管、行業的規范能夠在一定程度上起到遏制作用，終究無法短時間內完全令其消亡。在此過程中，作為目前唯一行之有效的解決方案，雙系統手機將大有作為。