移动安全危机集中爆发背后

　　日前据彭博社报道，出于安全考虑，中国已将苹果公司生产的便携式电脑产品，排除在最新节能产品政府采购清单之外。而此前不久，央视《新闻直播间》曝光了苹果iPhone未经用户许可擅自采集个人隐私，苹果也首次公开承认收集用户信息的事实。

　　苹果手机收集用户隐私一经曝光，业界一片哗然，也让苹果公司在中国的信誉面临前所未有的挑战。

　　日前，一款名为“××神器”的手机病毒大规模爆发，感染用户50多万。这一病毒利用伪装的“××神器”登录界面骗取手机用户进行注册，以获取用户手机号、姓名和身份证号等隐私信息。苹果产品在中国遭遇滑铁卢的同时，科技安全正引发全民关注。

　　苹果手机泄密门

　　据央视《新闻直播间》调查揭秘，在苹果IOS7.0版本中，用户只要在苹果手机上使用软件、连接W-IFI，用户使用软件的时间、地点等日常行迹信息，就会被完全记录下来。

　　苹果在我国拥有数以亿计的手机用户，而大部分iPhone用户对其擅自采集个人信息一事并不知情。面对质疑，苹果公司首次公开承认了收集用户信息的事实。

　　而这一事件，更导致了用户的愤怒。

　　据央视调查，在北京、青岛、太原三个城市随机走访的60个苹果手机用户，知道苹果收集个人隐私信息的用户占比不足10%。不少用户表示，苹果的这一行为严重侵犯了个人隐私安全，让人非常震惊。

　　一直以来，苹果产品都因其iOS由于封闭性和对应用的严格审核机制，而被认为是“高安全”产品，而苹果存在iOS“后门”这一现实，开始让中国用户警醒。近期，更有不少专家呼吁“国家公职人员应该禁用苹果手机”。

　　据彭博社不久前报道，不愿具名知情人士称，出于安全考虑，中国已将苹果公司生产的便携式电脑产品，排除在最新的节能产品政府采购清单之外。知情人士还称，财政部和国家发改委7月下旬修改后的最新节能产品政府采购清单中，便携式计算机项目下没有苹果生产的任何产品，而就在6月下旬下发的建议清单中，还曾包括苹果生产的iPad，iPad mini，MacBook Air和MacBook Pro等10个型号的便携式电脑产品。

　　虽然国家有关部门并未回应这则报道，苹果发言人对此也没有置评，但事实上来自通信业界的专家则对此早有建议。通信科技专家项立刚就曾告诉记者，目前中国消费者面临的信息安全问题非常严峻，除了手机、PC可能存在信息泄露问题外，很多企业使用的服务器、数据库也都是国外品牌，信息安全存在很大风险。

　　据了解，出于安全考虑，国家有关部门近期已将赛门铁克和卡巴斯基两家国外公司生产的杀毒软件，排除在软件采购名单之外。

　　沃克咨询分析师王亮认为，苹果收集个人隐私信息的行为，虽然只是针对个人，但对于国家信息安全都有威胁。因此，对国外科技产业的审核需要更严格。

　　中国政府今年5月表示，将会对在中国经营，并有可能危害国家安全的科技企业展开审查。当时，微软的Windows 8已经从政府采购名单中除名，而此举正是为了确保电脑安全。此外，中国监管部门已于今年7月对微软展开反垄断调查，并在四座城市的微软办公室中查封了一些电脑和文件。

　　手机病毒大规模爆发

　　“×××(机主姓名)看这个，http://********xxshenqi.apk。”不久前，全国不少地区的手机用户都收到了这样一种病毒短信。如果点开该链接，手机就会被远程控制，自动将此短信群发给通讯录中的所有亲朋好友。

　　记者采访360手机安全专家万仁国时，他表示，这款新型病毒是专门针对安卓系统设计的，通过短信进行传播。因为短信的开头系机主的真实姓名，所以具有很强的迷惑性。

　　据悉，手机“中毒”后，用户手机通讯录中的联系人会被再次感染，这意味着病毒软件将恶意群发400余条病毒短信，导致机主话费损失在40元以上。此外，犯罪分子往往通过设置中奖陷阱、假冒银行发送短信、骗取高额话费等手段行骗。

　　在360刚刚公布的《2014年第二期中国手机安全报告》中提到，今年第二季度平均每天截获的新增恶意程序样本高达6868个，现在一个季度截获的新增恶意程序样本，已经和去年全年的数量接近。

　　当发现这一“××神器”病毒之后，360安全中心一方面迅速向相关主管部门、公安部门通报了该情况，并通过《央广之声》等电台节目向公众进行了预警，并通过360手机卫士全面拦截“蝗虫”发送的短信，进行全网拦截。

　　另一方面，万仁国也开始在网上寻找病毒的始作俑者。

　　“他在网上留下了太多明显的线索。”万仁国最终确认了作者疑似为中南大学的学生。360安全中心随机向山东、北京等地的公安机关通报了相关信息。深圳警方向山东公安机关寻求线索支持，山东公安机关随机将360提供的信息通报给了深圳警方，帮助深圳警方锁定了嫌疑人。

　　“我们内部开玩笑说，这个作者绝对逃不出一个月，结果没想到当天就被抓住了。”万仁国告诉记者，当天下午四点，当360得知这个名叫“New Bird”的小黑客已经被深圳警方抓获时，大家都松了一口气。他果真是中南大学的大一学生，学做木马只有短短几个月的时间。

　　万仁国称，这个病毒虽然只是一个“半成品”，这个黑客也只是一个学生，并没有真正想做什么黑色产业链，但就这样一个病毒却瞬间爆发，感染用户达50多万，这件事值得整个行业反思。

　　国内产业迎来发展良机

　　当前，手机正在变得越来越危险。

　　《2014年第二期中国手机安全报告》数据显示，从感染量来看，今年第二季度监测到的感染用户约为4185万人次，较第一季度环比增长了10.3%。这是什么概念?也就是说，现在平均每天恶意程序感染量达到了惊人的46万人次。

　　尤其是在Android系统上。iOS和Windows Phone相对封闭，只能在自己的Store里下载APP。而Android的安全性并没有质的提高，它支持安装未知来源的应用，用户安装之后，木马就可以调用包括通讯录、地理位置在内的相关信息。

　　正如万仁国所言，过去一直认为Android的安全性差，而苹果手机安全性高，但却没有想到，苹果自己带有“后门”。随着苹果泄密门事件以及“××神器”手机病毒的爆发，信息安全问题再度引起关注，从个人到国家，信息安全已成重灾区。

　　据了解，苹果、微软等诸多国外产品的不安全事件，让更多人意识到国产设备的重要性。事实上，信息安全产业，中国与全球的技术差距并不大，360迅速破获病毒案也可以看出国内厂商在安全技术上的进步。

　　而对于国产手机产品，北京邮电大学曾剑秋教授告诉记者，国产手机能否突破的关键是技术上能否达到创新，一是开发中国自己的手机操作系统，才是当下国内信息技术发展的正道;二是推动国产品牌在安全技术方面的创新，加强从硬件安全到软件安全的双重保障。

　　不可否认的是，随着国家对信息安全的重视，国内相关产业都将迎来发展良机，但另一方面，也对国产设备提出了更高要求。

　　■链接

　　身边的移动支付安全危机

　　如今手机银行客户端已是网上交易的重要支付工具。但作为与移动支付安全息息相关的关键对象，手机银行客户端确实存在不小安全隐患。日前，某手机安全中心发布国内首份针对16家主流银行手机客户端(APP)的评测报告——《手机银行客户端安全性测评报告》。经测试发现，少数手机银行客户端存在加密机制不完整，不校验服务器身份等安全隐患。在防范Activity劫持、防止进程注入、反盗版、防二次打包以及防止验证短信被劫持等方面，所有16款被检测的手机银行客户端均表现不佳。报告指出，受安卓系统的体系限制，很多支付安全性问题难靠手机银行客户端软件单独解决，银行类手机APP整体安全状况堪忧。

　　上述报告针对16家主流银行安卓手机客户端，展开最全面安全性评测。测试的主要内容包括：登录机制安全性、键盘输入安全性、Activity组件安全性、进程注入防护、反盗版能力和认证因素安全性六个方面的三项具体测试。

　　测试异常1：不校验身份或被“攻击”。在对16款银行客户端登录机制安全性进行测评过程中，手机安全专家发现两类比较严重的安全隐患：一是加密机制不完整或过于简单，很容易被攻击者劫持或破解;二是在通信过程中不对服务端身份进行校验，导致登录过程很容易被“中间人攻击”所劫持。其中，有两款手机网银客户端采用了“HTTP+简单加密”的数据传输方式，极易被劫持或破解。

　　测试异常2：银行类APP极易被山寨。安卓作为开放平台，攻击者可较容易使用逆向分析工具，将银行客户端程序进行反编译，并向反编译结果中加入恶意代码后，发布到一些审核不严的第三方市场中。这些被二次打包发布的盗版银行客户端软件，对用户的支付安全造成极严重的安全威胁。

　　测试异常3：手机支付病毒暴增。移动安全实验室日前发布《2014年上半年手机安全报告》，Android手机病毒在经历2012—2013年几何式高速增长后，2014年上半年逐步趋于平缓，同比增长7.9%。其中，手机支付类病毒进一步蔓延，上半年感染手机支付类病毒用户数达693.4万，其中可拦截并转发用户支付短信验证码的手机病毒大规模增加，支付类病毒呈现多种特征融合化发展趋势。

　　从以上情况看，无论银行客户端自身安全，还是外在恶意软件侵袭，都对移动平台用户数据安全造成很大影响，尤其恶意软件的危害，很多时候是致命的。它可以篡改收费信息，将收费改为免费，并窃取核心程序代码。想要保护移动支付安全，就要对数据加密防护。多模加密技术是最好的选择，在确保加密质量的同时，其多模特性能让用户自主选择加密模式，灵活应对各种防护需求和安全环境。