智能手机大卖 安全形势告急
随着日期进入了七月,又到了不少年中报告密集发布的时间。与往年不同的是,与财务报告、消费报告等传统总结性数据相比,今年在互联网安全领域的相关数据汇总则更加引来网民们的关注,在互联网飞速发展的今天,互联网相关的安全问题成为了网民们日常最关心的话题。随着国内各大互联网安全企业针对上半年的各种互联网安全问题进行系列的总结,网民们也可以从中了解到伴随着互联网便利所带来的安全问题主要的发展趋势。
手机支付病毒“智能化”
伴随着手机支付需求的快速增长,手机支付类病毒也趁势而来,并且开始出现了两大智能化趋势,使得支付安全形势变得更为紧迫。日前据腾讯移动安全实验室发布《2014年上半年手机安全报告》(以下简称报告)显示,2014年上半年,腾讯手机管家截获支付类病毒包数达到82635个,上半年感染手机支付类病毒用户数达到693.4万。
一方面是手机支付类病毒的高速增长,另一方面是手机网购和支付用户的快速增长,这也让手机支付安全变得更加重要。据报告,目前手机支付病毒一般通过两种智能化的方式抢劫用户资金。首先,通过伪装银行、支付类App诱导用户输入银行账号密码信息,然后再通过病毒拦截、转发手机支付验证码、支付成功回执短信完成资金的窃取。此前,腾讯手机管家查杀的“伪淘宝”就伪装成淘宝客户端界面,骗取用户输入淘宝账号、密码以及支付密码并后台发送到指定的手机号码,同时诱骗用户安装恶意子包,然后拦截并转发手机支付验证码从而窃取用户资金。
此外,腾讯手机管家查杀的“鬼面银贼”与“伪淘宝”也十分类似,该病毒可伪装成银行、金融、理财等热门应用,骗取用户下载,一旦安装激活会窃取用户银行账号密码、身份证和姓名信息,同时还会私自拦截和上传用户短信(包括验证码短信)内容到指定号码。
面对手机支付病毒越来越多,作案过程越来越智能化的趋势,手机用户可谓是防不胜防。因此,安全专家建议广大手机用户,要从安全电子市场下载应用。不要点开各类信息中的陌生网址,同时为手机安装腾讯手机管家等安全软件,利用安全信箱功能,以有效防止手机支付验证短信被病毒窃取。
WiFi安全威胁频繁爆发
金山毒霸日前发布安全报告指出,作为移动互联网入口的路由器及WiFi,正面临越来越严峻的安全威胁。蹭网、密码破解、公共WiFi钓鱼等相关案例,在2014年上半年频繁爆发,不仅威胁着网民的个人隐私安全,有的甚至直接盗取网银资产,需要所有网民提高警惕。据金山毒霸安全中心发布的《2014年上半年无线路由器及WiFi安全研究报告》显示,有9%的网民家庭WiFi被他人恶意蹭网,还有45%的网民怀疑自家WiFi被蹭网。
所谓蹭网,就是指盗用别人网络资源免费上网。蹭网带来的风险,首先是带宽被占用,导致网速卡慢;其次个人信息也面临严重风险。在同一网络环境中,别有用心的蹭网者可能发起攻击,劫持网络会话,盗取网民隐私信息,或者篡改路由器DNS,劫持网民访问钓鱼网站,进而盗取账号甚至网银资金。
金山毒霸安全中心对蹭网原因进行了调查分析,弱密码是最大的风险。高达60%的网民使用默认密码登录路由器后台,如admin、root等,大约36%的网民使用的是弱密码,一般为有规律的键位分布或数字字母序列,比如“12345678”、“aaaaaaaa”等。另有接近1/4的网民设置的WiFi连接密码也是弱密码。这些密码都极易被识破或者使用工具破解。
路由器也存在一些安全漏洞,带来蹭网风险。金山毒霸安全中心随机抽取市面上近300款家用路由器,发现近百款存在可利用漏洞,比例高达1/3.据统计,全国3.3%的路由器DNS曾经遭到恶意篡改。仅某一款热销的产品,被黑客篡改的数量就超过3200台。
另外,一种以蹭网为噱头的WiFi共享软件今年非常流行,网民使用该软件可以免费使用他人网络,但也有可能因此被他人所蹭。这类WiFi共享软件将用户已经连接上的WiFi名字和密码上传到云端,其他使用该软件的用户在附近不用输入密码就能直接连接上述WiFi。
初步统计,国内约有上亿人安装使用了此类WiFi共享软件。在酒店、咖啡厅、餐厅等公共场所免费蹭网确实方便,但问题在于,此类软件往往默认勾选分享WiFi热点,而且它无法区分所分享的WiFi是咖啡馆的公共WiFi,家用的私人WiFi,或者企业办公的内部WiFi。
银行类APP安全性堪忧
最新数据显示,我国手机网民已达5.27亿,移动支付半年增长63%,中国消费者已经进入移动支付时代。然而,不法分子制作假冒网银升级助手、盗版手机网银客户端、钓鱼支付宝等恶意软件,严重威胁移动支付安全。360互联网安全中心日前发布《2014年第二期中国移动支付安全报告》,国产16大手机银行客户端的安全性迎来大考,360测试发现,少数手机银行客户端存在加密机制不完整,不校验服务器身份等安全隐患。在防范Activity劫持,防止进程注入,反盗版/防二次打包,以及防止验证短信被劫持等方面,所有16款被检测的手机银行客户端均表现不佳。报告指出,受到安卓系统的体系限制,很多支付安全性问题难以靠手机银行客户端软件单独解决,银行类手机APP整体安全状况堪忧。
手机银行客户端作为网上支付的重要工具,其自身的安全性是网民账户、资金安全的基础。如果手机银行客户端存在安全隐患甚至是安全漏洞,就很有可能被电脑黑客或木马病毒所利用,造成网民银行账户信息泄漏和直接财产损失。《2014年第二期中国移动支付安全报告》显示,手机网银客户端软件均存在盗版现象。个别客户端甚至有20个以上不同的盗版版本。总体而言,正版下载量越高的网银APP,盗版版本数也相对较多。
据了解,攻击者可以使用逆向分析工具,将银行客户端程序进行反编译,并向反编译结果中加入恶意代码,这样就可以篡改原始客户端程序的执行流程,截获用户的账号名、密码等隐私数据。而且二次打包后的盗版应用从外观上和实际体验上都与正版应用无异,普通用户对此毫无感知能力。一旦这些盗版银行客户端软件被发布到审核不严格的第三方市场中,就会严重威胁手机用户的移动支付安全。
对于如何防范盗版,《2014年第二期中国移动支付安全报告》则指出,一种方法是对手机银行客户端进行签名校验,另一种是进行加固处理。一些手机银行客户端软件中加入了对自身签名进行校验的代码,但对于具有相当技术能力的盗版作者来说,找到并移除签名校验代码,或者是屏蔽签名校验代码的功能并不是一件很困难的事情。因此,这种方案很难彻底的解决问题。但是,手机安全软件等第三方监测工具,则完全有能力校验手机银行客户端软件的数字签名并鉴别真伪。由360手机卫士等手机安全软件对手机银行客户端软件进行签名校验,要比客户端软件自己进行签名校验的方法可靠得多。
对手机银行客户端进行加固处理也是反盗版的有效方法,由于程序事先经过了加密处理,盗版作者对程序进行逆向分析难度也就大大增加,通常很难在原有代码中混入恶意代码,从而可以有效的阻止应用程序被篡改和二次打包。
南方日报记者叶丹 实习生董冬郁
编辑:王如