當前位置：安全 → 行業動態 → 正文

近半手機存安全隱患，質檢總局發結果不點名有深意

責任編輯：editor004 作者：王吉偉 |來源：企業網D1Net 2017-04-20 10:41:54 本文摘自：互聯網演義廳

4月16日，國家質檢總局發文披露，針對智能手機可能存在的信息安全危害，質檢總局產品質量監督司近期組織開展了智能手機(信息安全)質量安全風險監測。共從市場上采集樣品40批次，主要參考國內外智能手機標準要求，對用戶數據的操作、操作系統的更新、預置應用軟件安全、后端信息系統信息安全漏洞等項目進行了檢測。

不檢測不知道，檢測的結果著實嚇人一跳。40批次的樣本，18批次存在安全隱患，這意味著全國接近一半的手機都存在的安全風險。除了智能手機本身，應用軟件和云平臺等多方面，也存在暗中讀取數據，收集用戶信息，密碼強度要求低，權限控制弱等安全風險。

也就是說，用戶手中的智能手機，從線上到線下都存在著安全隱患。事實上，質檢總局做這個檢測以及發文披露，不只是在手機存在的問題，更透露了對相關廠商的警告。而將手機安全納入手機產品質量問題，也表明了對手機安全的重視，這應該也算是網絡安全治理的一部分。

40批次手機樣品，18批次存在安全隱患

最終的檢測結果，40批次的手機樣品，18批次樣品存在安全隱患，主要存在以下四種情況：

12批次樣品后端信息系統存在信息安全漏洞，包括未限制用戶密碼復雜度、未限制非法登陸次數、未限制短信驗證碼錯誤使用次數、重置密碼的短信驗證碼由本地生成、未對數據包重要訪問控制參數進行校驗導致可被越權操作;

9批次樣品中的預置應用軟件未向用戶明示且未經用戶同意，擅自收集用戶數據;

1批次樣品未實現對用戶數據的操作權限控制功能;

1批次樣品操作系統的更新未向用戶明示且未經用戶同意，擅自自動升級。

對于這些問題，可能有的朋友看不懂。大家只要記住，上述問題可能導致用戶隱私數據泄漏甚至智能手機被惡意控制。被控制的結果，就可能會成為詐騙短信、詐騙電話、釣魚網站攻擊的目標。國家計算機病毒應急處理中心最新發布的數據顯示，目前移動終端的病毒感染比例呈上升趨勢，一年中智能手機新增惡意程序樣本1800多萬，平均每天截獲新增惡意程序樣本也高達5.1萬余個。質檢總局的檢驗結果，40批次的樣本，18批次存在安全隱患，這意味著接近一半的手機都存在的安全風險。

出現這樣的問題，是這18家手機廠商做不好手機安全，還是因為業內一直存在這樣的情況?如果是前者，尚情有可原，只要在技術加強安全管理就會好一些.但若是后者，則很有可能是廠商故意為之，這就不好說了，為了利益而對用戶不負責，這種態度是不可取的。

只發布結果不公布名單，至少暗含五層深意

估計，質檢總局對行業也應有所了解，因此只是公布了18個批次的手機存在的安全隱患，但沒有公布有安全風險手機廠商的名字。這其中，當是有些深意的，我們不妨做下猜測。

首先，對于這次檢測出問題的手機，質檢總局肯定不會放過。但主要是借助這次檢驗發布這個公告，告誡更多的手機廠商，以前有故意留下手機“后門”的行為也就罷了，但是以后如果再有這種行為，就意味著你的產品是不達標的，以后應該提高品控與質量監督。這無疑，是在敲山震虎。

其次，將手機安全歸屬為質量問題，是在為手機廠商加壓。這意味著，如果以后發生因手機安全而造成的事故，手機廠商也是責任人之一，用戶有權投訴及起訴手機廠商，這讓手機廠商以后不敢故意為之。

第三，公文是在明示，網絡安全不只是與幾大通訊運營商有關，更與終端廠商有莫大的關聯。要想徹底的提高網絡安全，遏制網絡詐騙等風險，運營商應該負責，手機等終端廠商同樣應該有足夠大的責任。

第四，智能終端作為云產品，其網絡安全不只是在手機產品本身，其服務端云平臺的安全更為重要。但是目前很多手機云平臺的安全風險似乎比手機還要脆弱，應該加強安全管理，不敢是手機廠商的私有云，還是為手機廠商提供云服務的云計算平臺，都應該加強安全意識。應該考慮：什么樣的云平臺才是安全的平臺，安全標準又該是怎樣的。

第五，手機應用供應商以后要乖乖的，不要再做手腳。我們知道，很多大型正規的手機應用，都存在隨意獲取用戶信息以及位置的問題，至于那些不合規的應用，則根本就不會提示用戶。對于用戶隱私，軟件應用廠商是應該給予用戶尊重的，而不是能夠肆意獲取的。對于這樣的情況，以后用戶是可以舉報并投訴的，必要時可以進行維權。

猜測還能有更多，不夠有這5點就足夠了，至少能夠讓手機產業鏈上的諸多商家，開始真正重視網絡安全問題。

將手機安全劃為質量問題，重在提升網絡安全

事實上，大家應該能夠感受的到，質檢總局之所以發布這個公告，仍舊站在網絡安全角度來考慮問題的。因為網絡安全安全，每年都有很多人遭受經濟損失，甚至還會涉及到生命安全，但是一直都未受重視。自去年9月份發生在山東臨沂的那起因為手機詐騙而發生的人命案件之后，大家才發現，原來網絡安全已經到了關乎人們身家性命的地步。這才真正開始重視網絡安全，關于網絡安全的相關政策也就隨之而來。畢竟，如果做不到安全的網絡連接，又何談“互聯網+”呢?因為不管“互聯網+”以什么樣的形態存在，最終+的都是人。

目前而言，造成網絡安全的最主要的移動終端是手機，至2016年9月，中國手機用戶已超13億，其中6.46億為4G用戶，智能手機用戶至目前至少已經超過7億。如果有接近一半數量的智能手機存在著安全隱患，這意味著至少會有3.5億左右的智能手機存在著安全風險。其中大部分用戶對手機安全隱患都不了解，很容易就會中招各種防不勝防的詐騙手段。要我這些用戶普及安全風險，需要的花費很大的精力，并且各種詐騙手段也會與時俱進花樣百出，往往會讓用戶防不勝防。

這樣情況下，不如從源頭上也就是手機廠商直接做一個手機產品的安全規范，將存在安全隱患的手機直接視為質量不達標產品，以此讓一些手機廠商提高其品控標準，并杜絕個別廠商的“別有用心”。同時，我國對于手機廠商獲取用戶隱私的行為，在之前一直沒有明確的規定，大部分用戶也對此沒有什么理解。質檢總局發布這份報告，也標志對于公民個人隱私開始重視，個人隱私權將在以后受到更合法的保護。

總體來說，這則公告，即警告了手機產業鏈上的相關廠家，又提示了手機用戶網絡安全的重要性。但是更深層的意義在于，相關部門真的開始重視網絡安全并著手在做了。相信在以后各種政策與措施的出臺下，咱們的上網環境會越來越安全。

【王吉偉，商業模式評論人，專欄作者，關注TMT與IOT，專注互聯網+及企業轉型研究。微信公號：王吉偉（jiwei1122）】

關鍵字：手機廠商安全風險