-
-
[转帖]手机应用商店曝隐患 安全消费短板待补齐
-
发表于: 2013-3-27 16:49 2112
-
手机应用商店曝隐患 安全消费短板待补齐
http://tech.qq.com/a/20130325/000010.htm
腾讯科技 郭晓峰2013年03月25日07:01
腾讯科技 郭晓峰 3月25日报道
智能手机越来越“聪明”,各种应用让手机成为“百事通”,但却也越来越不安全。借助安卓(Android)系统及其应用市场的开源性和开放性,许多手机应用运营商通过技术手段“麻痹”用户,获取不良收益。
根据CNCERT(国家互联网应急中心)最新数据显示,在去年,我国移动互联网恶意代码数量达到16万,比前年增加了25倍,比历史总和还要多出数倍。按不同分类,占比最大的手机病毒威胁为恶意扣费,达39.8%,其次是流氓行为,占到了27.7%。而恶意程序最主要集中在安卓平台上,占全部恶意程序的比例是82.5%。“去年全国估计有5500万手机用户曾经感染过恶意程序。”CNCERT运行部副主任王明华表示。
手机应用商店首当其冲成为最易感染恶意软件的渠道。如今应用商店的发展看似同质化严重,实则资质和安全性参差不齐。用户应选择大型规范的应用商店,注意防护。
拦截支付短信通知信息
目前国内很多手机游戏采用的是便捷的运营商话费计费方式,运营商支付SDK本身提供了规范的支付流程,清晰的支付信息确认界面,并在支付成功后通过短信通知用户,保护用户利益。而一些游戏开发商利用安卓系统的开放性和用户对手机系统权限的不了解,在游戏内恶意违规拦截运营商的支付通知短信,在用户不知情的情况下,恶意扣费或造成用户多次重复付费。
由于目前移动支付的产业环境并不健全,一些安卓应用内付费的游戏运营商采用SP代扣费的方式无可厚非,但借助安卓系统的开放性,更改底层数据来拦截扣费短信,剥夺用户知情权,对产业环境破坏较大。
针对这一情况,应用商店有必要采取积极的防范措施,以确保用户的利益不受侵犯。腾讯科技就此问题采访了中国联通(微博)沃商店相关负责人,其表示在多款手游爆出拦截扣费的情况下,沃商店下载的同款应用并未出现类似情况,沃商店在这方面所采取的安全措施主要是通过建立健全的短信权限机制来避免。内嵌计费点的安卓应用不允许有接收、读取、写短信的权限,而只能通过SDK进行计费短信的发布。对此类应用对系统申请的权限进行把关,去掉这些不必要的权限,能有效的避免应用被篡改短信内容导致乱扣费,恶意吸费等现象,而这种做法在其它第三方应用市场很少见。
“打包党”横行
在目前的各个安卓应用商店中,“打包党”的现象也较为普及。“打包党”指在热门软件中植入恶意广告和病毒木马,利用消费者追捧热门应用的心理,加上普通人难以区分正版盗版,以及应用市场安全监管能力的不足,令恶意广告和病毒木马顺利进入用户手机中。
其中较为突出的一种叫做Android.Troj.mdk的后门程序(简称为MDK),历时1年多时间,构建了一个覆盖百万用户、可远程任意操控用户手机的“僵尸网络”。用户在使用软件的过程中总是弹出一些陌生软件,一旦点击即被安装,要想删除却不可能。MDK手机僵尸网络已在7000多款热门游戏中植入了后门程序。
较为规范的应用商店可以通过一些规则限定结合病毒扫描来避免此类问题的发生。例如,运营商的应用商店主要通过与开发者签订协议,直接获取正版应用,同时,在社区后台有病毒扫描这一步骤,在测试应用功能的时候手机上也会安装相应的安全软件进行查杀,一旦发现有病毒的情况下都会将应用退回。
另外,规定含有内嵌计费点的应用不能有内嵌广告,自动更新,其他网站链接等,限制了恶意代码二次植入的通道,避免通过一个安全的软件,打开用户手机的入口,引入不安全的软件。
窃取用户隐私 拒作“肉鸡”
在不对用户做出通知的前提下,通过云端技术控制手机用户隐私的行为,在安卓应用市场中也频频发生。为什么授权会泄露隐私?这是因为,智能手机一般采用基于权限的安全管理机制。例如,安卓系统采用约130个权限管控系统资源,其中就有打开手机麦克风或摄像头、收集短消息、邮件、账号、通讯录、通话记录及位置等信息。
最近,DCCI互联网数据中心针对安卓市场下载量前1400位的APP进行了一次安全测评,结果显示:66.9%的智能手机应用在抓取用户隐私数据;通话记录、短信记录、通讯录是用户隐私信息泄露的3个高危地带。
一款手机应用程序应该使用手机哪些权限,目前并没有行业规定,用户更是不懂;第三方手机软件应用商店为了聚拢人气,发现热门应用的新版本后就自动抓取到自家商店内,对其是否是官方版本审查不严。运营商应用商店在这一方面审核相对严格,对于申请权限超出正常需要的软件开发者的要求都会不予通过,例如许多游戏在向沃商店申请查看通讯录权限时被拒绝,同时正在对权限审核进行逐步规范化,希望能在近期建立标准化的权限机制。
随着应用量的剧增,手机游戏应用吸费乱象丛生。移动互联网用户在使用智能和便利的同时,需要加强警惕注意防范。
一是去使用大型正规的安卓软件市场,例如运营商应用商店,避免从论坛和一些小型的第三方应用商店下载热门应用。二是用户在安装安卓手机游戏时,应注意观察软件所申请的权限,如果这个游戏软件申请的权限过多,比如要访问联系人、短信、通话记录、定位,需提高警惕。三是用户应留意手机话费和流量消耗是否异常偏高,当出现异常情况时,建议用户使用手机安全软件进行查杀。
http://tech.qq.com/a/20130325/000010.htm
腾讯科技 郭晓峰2013年03月25日07:01
腾讯科技 郭晓峰 3月25日报道
智能手机越来越“聪明”,各种应用让手机成为“百事通”,但却也越来越不安全。借助安卓(Android)系统及其应用市场的开源性和开放性,许多手机应用运营商通过技术手段“麻痹”用户,获取不良收益。
根据CNCERT(国家互联网应急中心)最新数据显示,在去年,我国移动互联网恶意代码数量达到16万,比前年增加了25倍,比历史总和还要多出数倍。按不同分类,占比最大的手机病毒威胁为恶意扣费,达39.8%,其次是流氓行为,占到了27.7%。而恶意程序最主要集中在安卓平台上,占全部恶意程序的比例是82.5%。“去年全国估计有5500万手机用户曾经感染过恶意程序。”CNCERT运行部副主任王明华表示。
手机应用商店首当其冲成为最易感染恶意软件的渠道。如今应用商店的发展看似同质化严重,实则资质和安全性参差不齐。用户应选择大型规范的应用商店,注意防护。
拦截支付短信通知信息
目前国内很多手机游戏采用的是便捷的运营商话费计费方式,运营商支付SDK本身提供了规范的支付流程,清晰的支付信息确认界面,并在支付成功后通过短信通知用户,保护用户利益。而一些游戏开发商利用安卓系统的开放性和用户对手机系统权限的不了解,在游戏内恶意违规拦截运营商的支付通知短信,在用户不知情的情况下,恶意扣费或造成用户多次重复付费。
由于目前移动支付的产业环境并不健全,一些安卓应用内付费的游戏运营商采用SP代扣费的方式无可厚非,但借助安卓系统的开放性,更改底层数据来拦截扣费短信,剥夺用户知情权,对产业环境破坏较大。
针对这一情况,应用商店有必要采取积极的防范措施,以确保用户的利益不受侵犯。腾讯科技就此问题采访了中国联通(微博)沃商店相关负责人,其表示在多款手游爆出拦截扣费的情况下,沃商店下载的同款应用并未出现类似情况,沃商店在这方面所采取的安全措施主要是通过建立健全的短信权限机制来避免。内嵌计费点的安卓应用不允许有接收、读取、写短信的权限,而只能通过SDK进行计费短信的发布。对此类应用对系统申请的权限进行把关,去掉这些不必要的权限,能有效的避免应用被篡改短信内容导致乱扣费,恶意吸费等现象,而这种做法在其它第三方应用市场很少见。
“打包党”横行
在目前的各个安卓应用商店中,“打包党”的现象也较为普及。“打包党”指在热门软件中植入恶意广告和病毒木马,利用消费者追捧热门应用的心理,加上普通人难以区分正版盗版,以及应用市场安全监管能力的不足,令恶意广告和病毒木马顺利进入用户手机中。
其中较为突出的一种叫做Android.Troj.mdk的后门程序(简称为MDK),历时1年多时间,构建了一个覆盖百万用户、可远程任意操控用户手机的“僵尸网络”。用户在使用软件的过程中总是弹出一些陌生软件,一旦点击即被安装,要想删除却不可能。MDK手机僵尸网络已在7000多款热门游戏中植入了后门程序。
较为规范的应用商店可以通过一些规则限定结合病毒扫描来避免此类问题的发生。例如,运营商的应用商店主要通过与开发者签订协议,直接获取正版应用,同时,在社区后台有病毒扫描这一步骤,在测试应用功能的时候手机上也会安装相应的安全软件进行查杀,一旦发现有病毒的情况下都会将应用退回。
另外,规定含有内嵌计费点的应用不能有内嵌广告,自动更新,其他网站链接等,限制了恶意代码二次植入的通道,避免通过一个安全的软件,打开用户手机的入口,引入不安全的软件。
窃取用户隐私 拒作“肉鸡”
在不对用户做出通知的前提下,通过云端技术控制手机用户隐私的行为,在安卓应用市场中也频频发生。为什么授权会泄露隐私?这是因为,智能手机一般采用基于权限的安全管理机制。例如,安卓系统采用约130个权限管控系统资源,其中就有打开手机麦克风或摄像头、收集短消息、邮件、账号、通讯录、通话记录及位置等信息。
最近,DCCI互联网数据中心针对安卓市场下载量前1400位的APP进行了一次安全测评,结果显示:66.9%的智能手机应用在抓取用户隐私数据;通话记录、短信记录、通讯录是用户隐私信息泄露的3个高危地带。
一款手机应用程序应该使用手机哪些权限,目前并没有行业规定,用户更是不懂;第三方手机软件应用商店为了聚拢人气,发现热门应用的新版本后就自动抓取到自家商店内,对其是否是官方版本审查不严。运营商应用商店在这一方面审核相对严格,对于申请权限超出正常需要的软件开发者的要求都会不予通过,例如许多游戏在向沃商店申请查看通讯录权限时被拒绝,同时正在对权限审核进行逐步规范化,希望能在近期建立标准化的权限机制。
随着应用量的剧增,手机游戏应用吸费乱象丛生。移动互联网用户在使用智能和便利的同时,需要加强警惕注意防范。
一是去使用大型正规的安卓软件市场,例如运营商应用商店,避免从论坛和一些小型的第三方应用商店下载热门应用。二是用户在安装安卓手机游戏时,应注意观察软件所申请的权限,如果这个游戏软件申请的权限过多,比如要访问联系人、短信、通话记录、定位,需提高警惕。三是用户应留意手机话费和流量消耗是否异常偏高,当出现异常情况时,建议用户使用手机安全软件进行查杀。
赞赏
他的文章
- [转帖]惠普助莫斯科铁路提高交通质量及安全性 2061
- [转帖]规范化安全数据是创建风险指标的关键 2035
- [转帖]欧唯特携IBM带来企业信息安全解决方案 2060
- [转帖]制定有效提升员工信息安全意识的计划 2020
- [转帖]启明星辰专访:数据库安全审计趋势解读 2109
看原图
赞赏
雪币:
留言: