手机的安全危机

手机的安全危机 王夕 2011-02-28 10:30

“在利益的驱动下，手机病毒目前已经形成了一个由生产，制作到销售的产业链。”

现代人出门“三大件”，钥匙、钱包和手机。手机，俨然成了现代人生活中不可缺少的一样东西。从最初的打电话、发短信到现在的上网、视频、购物等，手机的功能有了极大的拓展。而正是手机超强的拓展特性，让一些不法分子盯上了其中的“商机”。 近日，相关部门发布了首份《2010年中国大陆地区手机安全报告》。报告指出，2010年手机病毒总数超过2500种以上，同比增长193%，累计感染手机800万部以上。其中，我国广东地区，以21%的感染比例位居首位，北京，上海，福建、江苏等地位居其后。 “我的手机前些天从网上下载了一款叫做‘超级猴子跳’的游戏，但是后来发现，手机总是自动联网然后下载软件，流量消耗特别大，1个星期就扣了我50块钱。”小陈告诉记者，自己的手机经常莫名其妙地下载大量的陌生程序，并被扣费。 网秦首席手机安全专家邹仕洪博士告诉记者，小陈中的正是目前最流行的“给你米”手机病毒的后门程序变种。这种病毒通常是植入到比较流行的手机软件中，然后将病毒包上传到论坛、网站。不知情的用户下载安装后，附带的恶意软件会在后台启动手机联网，并定期连接到“给你米”网站自动下载了很多恶意软件。 据统计，2010年，我国手机用户已达8.05亿，其中智能手机用户将突破1.5亿。所以，像小陈这样的受害手机用户还大量存在着。 2010年，手机病毒开始大肆泛滥。“钓鱼王”、“手机骷髅”、“短信海盗”、“同花顺大盗”、“安卓短信卧底”等变种病毒迅速蔓延，不仅能够窃取用户银行卡账号和密码，直接盗窃用户的股票账号，甚至还能监控用户的通话记录。而这些手机病毒统统针对的是智能手机。 截至到2010年11月，市面上新增的手机病毒达1513个，累积病毒数量达2357个。据中国科学院心理研究所2010年《智能手机用户对手机安全威胁的感知与应对行为》调研显示，当前68.6%的手机用户正面临移动安全威胁。手机安全问题已经不容忽视。 世界首例手机病毒叫做“vbs.timofonica”。它于2000年6月发现于西班牙。这种病毒会通过运营商的移动系统向系统内任意用户发送辱骂短信，所以也被称为“短信炸弹”。但是这种手机病毒并不会给用户的手机安全带来实际上的损害，真正意义上的手机病毒是2004年的“Cabir”蠕虫病毒。这种病毒在安装了蓝牙的手机上迅速泛滥。尽管它的破坏性不是很大，但一旦手机被感染，就会不断试图将病毒通过蓝牙传播给其他的手机，使手机电池快速消耗。 “这些早期的手机病毒大都以技术炫耀型为主要目的。但是如今，手机病毒出现的主要目的已经转向了利益驱动。”邹仕洪告诉记者，随着智能终端和移动互联网的发展，越来越多的手机用户开始使用丰富的手机应用程序，由于手机和资费紧密相联，经济利益的驱动使手机病毒逐渐增多。目前手机病毒主要分为功能破坏类、消耗上网流量和恶意扣取资费类、账号盗取类和隐私窃取类这几大类。 其中，消耗上网流量和恶意扣取资费类手机病毒，以32%的感染比例成为手机用户面临的最大安全威胁。 扣费类病毒感染用户后，45%的病毒以恶意订购SP服务的方式扣去用户费用。21%的病毒以消耗用户短信费用的方式来进行扣费。16%的病毒是以联网消耗用户流量的方式为目的。12%的病毒通过骗发彩信消耗用户费用。6%的病毒以其它方式，如“自动拨号”等方式扣费。 比如“彩信骷髅”的手机病毒，对智能手机用户“痛下杀手”。这种病毒会给智能手机用户发送一条包含链接的彩信，只要用户点了这条链接，手机就会源源不断地向外发送彩信，造成用户资费的浪费。据统计，从“彩信骷髅”最早被发现算起，仅一个月时间，该病毒就感染了国内超过10万部智能手机。 此外，隐私窃取类病毒对人们生活则会造成很大的困扰。近日，国家计算机病毒应急处理中心截获了“X卧底”手机病毒的最新变种，这款以窃听为目的的手机病毒，一旦被植入用户手机，可实现对用户通话记录、短信等内容的全程监控。在用户毫不知情的状况下，窃取用户的隐私信息。 专家给记者做了一个实验，用一款已经中了“X卧底”手机病毒的手机打电话。随后，再用给这款手机发送病毒的另一部手机拨打中毒手机的电话号码，此时，这部手机可以实时听到中毒手机的全部通话内容。 专家告诉记者，过去，很多手机病毒是无目标性的大范围发送，但是这种手机病毒已经进化成点对点的目标性攻击。病毒隐藏在短信下，用户在不知情的情况下打开就中了这种病毒。病毒会自行安装在手机中，当用户打电话时，受病毒的控制会自动进入一个特殊的通话模式，在这种模式下，发送病毒的手机就可以监听用户的通话了。 邹仕洪说，在调查中我们发现，当前通过手机访问wap和网站感染病毒的比率达75%。通过短信、彩信感染病毒的比率占14%。通过蓝牙感染病毒的比率占6%。通过存储卡等途径感染病毒的比率占3%。另外2%的用户则是被其它传播途径的病毒感染。其中联网感染病毒的机率最大，成为用户面临的最主要威胁。 “在利益的驱动下，手机病毒目前已经形成了一个由生产，制作到销售的产业链。”北京邮电大学网络法律研究中心主任，研究员刘德良告诉记者。 目前手机病毒产业链的运作和正常的商业公司如出一辙。只不过这些经营病毒的组织一直隐藏在阴暗的角落。有些病毒集团每年收益高达数亿元，一般中小企业都难望其项背。 据了解，从手机病毒中获利的方式有很多，比较普遍的一种是病毒制造者借一个正当软件的开发与一些电信运营增值服务提供商合作，软件设计出来后，病毒制造者便获得了正常的计费代码，用来收取手机资费。而他们此后要做的，就是守株待兔。当手机用户下载了这个含毒软件后，其中含有的恶意代码就会在受害者手机中悄悄安装一个扣费插件，每月定期从用户的手机话费中扣除一笔费用。这笔钱按一定比例与增值服务提供商分成后，余下的钱就会被划到病毒制造者的账户中。以目前国内手机用户数以亿计的总数来看，这笔收入非常可观，可谓是病毒制造者的“水龙头经济”。 同时，手机技术的进步也大大降低了手机病毒制造者的进入门槛，病毒制造变得比以往更加容易。 信息安全国家重点实验室副研究员苏璞睿告诉记者，智能手机出现之前，传统手机的功能比较单一，对硬件依赖性大，手机的功能扩展异常麻烦。这对于手机恶意代码研制而言也是如此，研发人员需要对底层硬件技术有一定了解，这对于很多普通恶意代码研发人员而言是一个门槛。智能手机操作系统的应用，提高了手机功能可扩展性，降低了手机软件研发难度的同时，也降低了手机恶意代码的研发难度。 与传统手机相比，智能手机拥有类似于电脑的操作系统，如Android、Symbian、Windows Mobile、Linux等，通过安装应用程序，就能实现手机功能的扩充。邹仕洪说，这些开放式操作系统的最初目的，是拓展手机功能。所以在这些操作系统上，允许第三方的软件进行安装，比如游戏、聊天工具、炒股软件以及杀毒软件等等。但是这种开放性的操作平台，就像一把双刃剑，也使不法分子有机可乘，他们通过邮件收发、信息附件下载以及蓝牙等方式也将恶意程序作为一种“第三方软件”植入到手机中，使人们遭受损失。 “而且随着手机技术的不断发展以及市场竞争的加剧，智能手机操作系统的种类也越来越统一，这使手机恶意代码更加易于广泛传播。”苏璞睿告诉记者，以前，由于手机平台种类众多，每种操作平台上的恶意代码不能通用，这在一定程度上能起到限制恶意代码传播的作用，所以手机恶意代码感染的范围不会像现在这样大。 而目前，市面上主流的智能手机操作系统种类越来越少，主要集中在Symbian和Android等系统上。从传播的角度来看，这无疑提高了手机恶意代码的适用范围，更有利于手机恶意代码的大范围传播。 另外，由于手机病毒出现和发展的速度都十分迅猛，防护手段的提高也需要一些时间。苏璞睿告诉记者，在手机恶意代码防护技术和产品方面，虽然手机和计算机的技术和原理很相近，但也存在一些差异，比如手机供电能力弱，不可能像电脑那样24小时开机扫描病毒。而这些差异，都是手机病毒防护工作需要一一解决的。 此外，在苏璞睿看来，人们对手机病毒防护意识的不足也是使手机病毒大行其道的因素之一。 2010年9月，中科院心理所在针对智能手机用户的一项调研中发现，受访的1003名用户中，88.1%的用户知道手机病毒的存在，而对手机病毒有所担心的用户约占调查总数的68.6%。同时，虽然听说过手机病毒却对此缺乏足够警惕的用户在总体中约占20%。可见，手机用户对于手机病毒的担忧并不是特别的高，这也在很大程度上对于手机病毒的蔓延提供了契机。 邹仕洪认为，比起电脑用户，手机用户的安全防范意识更薄弱。现在买一台新电脑大家都会安装一些常用的杀毒软件和防火墙，但现在能装上杀毒软件的手机则少之又少，这就给了黑客更多的漏洞可钻。 苏璞睿说，计算机的病毒问题经过近几年的广泛宣传教育，已广为人知。但手机中毒出现异常后，用户很少会认为是病毒造成的，人们更可能认为是手机产品本身的问题；或者发现了手机扣费等异常现象，人们也很可能认为是电信运营商在搞鬼。人们对手机恶意代码虽有耳闻，也已开始广泛的讨论，但是对于大多数手机用户而言更多的是作为一种谈资，仍未充分感受到现实地需要，重视程度远远不够。所以很可能在一些影响很大的安全事件发生并造成了危害后，才能对人们有深切地触动。 虽然亡羊补牢，为时未晚，但如果真出现重大时间后才引起重视还是代价太高。专家告诉记者，首先，移动互联网企业应自律。不能只为了赚短期的快钱，而毁了整个行业的未来。其次，第三方应用程序商，比如电信运营增值服务提供商等其他推广渠道，应该对于自己库内的应用程序进行仔细的安全检测，并自觉抵制这些加了恶意代码的应用程序，以便减少手机用户下载到含有病毒的应用程序的几率。此外，手机杀毒软件厂商还应该尽快进行技术开发，保护用户的手机安全。 “目前我国关于手机病毒在法律上也有些缺失”刘德良告诉记者，我国在1994年颁布了《计算机信息系统安全保护条例》，其中规定了计算机病毒的一些特征，比如可自我复制、自动传播、可对软硬件造成损害等。凡是符合这些规定的，就能被认定是计算机病毒。但是病毒本身不是一个严格意义上的法律概念，随着计算机和网络技术的发展，很多新兴的病毒都不适用了。比如木马程序，由于木马是由后门控制的远程的程序，它显然不具备传统法律中的病毒特征。 而手机病毒也与之类似。在以前的规定中，病毒的范畴仅包含了计算机病毒，而现在的网络概念早已扩展，病毒已经不局限在计算机中。所以手机病毒作为一个新兴的事物，早已超越了法律的规定范围。如果还按照传统的计算机病毒来处理手机病毒，在法律的理解和适用上就是行不通的。而法律关系的不顺畅，会让法律的执行力大打折扣，严重影响法律对病毒制造者的威慑力。 要想治理好手机病毒问题，首先要将相关的法律进行完善。刘德良说，各国都有比较好的经验，比如欧盟原来有《计算机犯罪公约》，开始也只包含了计算机，但是经过对解释的拓展，手机等也适用了。但是总体来看，美国的方法最灵活，非常值得我们借鉴。 刘德良说，美国把这块内容统统归入“非法侵入”。美国将网络也视为个人的空间，和传统观念中个人的房产、地产是一样的。他们规定，不管是恶意程序还是垃圾邮件等，只要未经允许就擅自侵入他人电脑或手机等设备的，全都属于侵权行为。所以早在1984年，美国第一款计算机蠕虫病毒出现后，法院就按照这个规定对病毒制造者进行了惩处。 “我国不久之前刚通过的《侵权责任法》，这是一个很好的契机。在这部法案中，可以增加一条叫做‘网络侵权’。”刘德良说，这里网络的概念应包括计算机网络、电信网络、广电网络等。 因为一旦“网络侵权”成立，只要病毒制造者非法侵入人们的网络、电子邮箱、空间等等，不管有没有造成损害，就可以被视为侵权行为。如果侵入造成了相应的损害，还要同时承担相应的刑事和民事责任，造成了财产损失，还要进行赔偿。这样立法就很灵活，也不用专门针对手机病毒制定法律了，即便以后网络的概念继续延伸，法律同样适用。 此外，我国法律在对病毒制造者的惩处力度上，也显得有些“温柔”。 刘德良说，虽然手机病毒的制造已经形成了产业链，有人专门的生产，传播，销售等。但目前我国的法规只对直接使用的人在起作用，而对于制作、销售、传播制作方法等人员的惩罚力度基本没有或者很弱。因为这些病毒软件只能算是黑客软件。根据我国的法律，对违法责任的追究必须有直接的违法事实的存在。如果只是单纯制造，不造成对其他人的财产权益损害的话，是不需要承担责任的。 目前我国对他们的通常是按照妨碍社会管理秩序来判罚，但是这些危险程序有可能会给人们带来很大的伤害，所以应该按照危害公共安全的行为进行判罚。在刑法中，两者的性质是根本不同的。后者更严重，惩罚力度重，而前者属于比较轻的犯罪，惩罚力度也轻。只有法律完善了，惩罚力度加强了，不法分子才不会有恃无恐。