用戶安全，移動互聯之殤

宗捷

移動互聯大爆發，用戶安全成重災區

2013年是中國移動互聯網的爆發之年，不僅BAT（百度、阿里巴巴和騰訊）一類的互聯網巨頭確立了自己的移動互聯網的戰略，許多初創企業也將移動互聯網作為發力的方向。然而，人們在享受移動互聯網帶來的便利、快捷的同時，也面臨著因網絡和終端系統漏洞而導致的病毒木馬入侵等威脅。用戶數據的泄露，網銀、支付寶資金被盜，廣告騷擾等諸多問題催生了新的安全訴求。

據DCCI（互聯網數據中心）最新的《2013移動隱私安全評測報告》顯示，中國手機用戶已達 11 億，其中智能手機用戶超過了 4 億。數億人的工作和生活與移動互聯網息息相關：溝通、社交、娛樂、生活、商務和隱私無一不交給移動智能終端。在該報告中，DCCI對國內各類 Android 市場下載量前1 400位的APP進行了一個評測，結果顯示 66.9% 的智能手機移動應用在抓取用戶隱私數據，其中高達 34.5%的移動應用有“隱私越軌”行為。

“隱私越軌”行為是什么？DCCI將其定義為：性質過分的越界抓取，在與本身功能毫不相干的情況下，獲取智能手機用戶的短信記錄、通話記錄和通訊錄等敏感個人信息。這些抓取行為并非相關移動APP為用戶提供的應用服務功能所必需，大多數普通用戶并不知情，知情者也往往無可奈何。

除了上述數據之外，各種隱私安全事件也相繼曝光。2013年初，最大的僵尸網絡—MDK被曝光，7 000多款熱門游戲被植入后門，數百萬Android用戶淪為肉雞（編者注：指可被黑客遠程操控的設備）。而在整個2013年，有專業機構統計，智能手機的病毒增長率達到10倍，手機攜帶惡意軟件平均每部手機有11個之多。而今年的3·15晚會更是暴出了智能手機預裝軟件的黑幕，一個個觸目驚心的事實讓原本為了方便和自由發展起來的移動互聯網越來越讓人覺得“如芒在背”。

移動互聯，到底在怎樣威脅著我們的安全？

隨著移動互聯網逐漸深入人們的生活，安全問題也不斷曝露出來。那么，在移動互聯時代，手機到底從哪些方面威脅著我們的隱私安全呢？

智能手機信息防范能力弱

與傳統手機相比，智能手機功能強大，信息覆蓋范圍廣，其操作系統依托于移動互聯網，信息泄露隱患大。智能手機內部包含大量私人信息或涉密信息，如定位系統、賬戶密碼、圖像圖片、通訊錄、短信息和通話內容等。而智能手機的諸多功能需要時時連入互聯網才能實現，對于很多手機來說，在傳輸數據時缺乏有效保護和加密，從而導致黑客非法盜取用戶信息也更為容易。

此外，移動互聯網終端的生產廠商眾多，各廠商升級打補丁水平參差不齊，也會為移動互聯網安全帶來挑戰。傳統的PC上，基本都使用Windows系統，微軟會定期推送安全補丁。但在移動設備端，修改系統和打補丁的責任由各生產廠商承擔，造成系統升級能力參差不齊，很多中小廠商根本不提供升級服務，甚至有部分山寨機廠商在手機出廠時就會內置木馬軟件。

網絡環境復雜，防護難度大

相對于傳統互聯網，移動互聯網的環境更復雜。首先，移動APP的生產和使用環境更開放，分發渠道更多樣化等原因，帶來移動APP更容易被植入木馬，更容易被二次打包，數據是否加碼存放，秘鑰是否可以被竊取或者篡改，這些都存在極大的風險。除此之外，數據的傳輸更容易遭受各種中間人攻擊，交易數據更容易獲取和篡改等。

不安全的APP生產流程

不管是APP還是Wap或是Web，都只是產品的前端表現形式，所調用的數據源必然只有一個。新產品的上線流程一般是“開發機”→“內網測試機”→“發布員發布到外網”，每個環節都有QA（Quality Assurance ，即品質保證）測試。但在把控不嚴或追求速度的情況下，程序員可能會去外網修改產品，這么做非常危險，這樣會APP的安全不能得到有效保證，可能會被植入有害代碼。

不安全的身份認證

身份安全和安全的交易驗證是互聯網業務開展的前提和核心，而移動互聯網應用的身份驗證技術大多從PC時代直接移植到移動互聯網，各種應用的身份認證和交易驗證的技術手段落后，已經難以確保移動金融的安全。

移動大數據，要體驗還是要隱私？

曾經有這樣一句話是這樣說的：丟了手機比丟了錢包更可怕。是的，我們的智能手機都存儲著包括短信和通訊錄等大量的私人數據。這些隱私信息，由于對用戶不可見，往往是在不知不覺中就泄密了，即使造成了損失也很難定位，往往容易被人忽略。

但是，這些和身份有強關聯特性的數據卻有利于為用戶提供更好的實時和個性化服務。因為服務提供商在收集了這些數據之后，通過大數據分析，就可以有效了解到用戶的使用習慣和使用場景，從而更好的改進產品，提升用戶體驗。

這本身就是一個巨大的悖論，為了提升用戶體驗，給用戶提供更好更優質的服務，服務提供商千方百計的想收集這些數據，這些行為也會導致我們的生活變得越來越透明。

忽視用戶安全，移動互聯將成空中樓閣

從前文我們可以發現，隨著智能手機越來越多的進入人們的生活，在移動互聯時代，用戶使用手機會有很大的危機，這一點在開源性的Android平臺尤甚。為什么這么說呢？

這是因為Android平臺沒有一個像APP Store一樣的監管環節。要知道使用智能手機，用戶必然會在手機里安裝各種各樣的APP。在iOS平臺，由于系統的封閉性，絕大部分用戶都會選擇官方的App Store作為下載App的第一渠道。畢竟，蘋果公司對App Store上收錄的App質量有著嚴格的把控，這一點世人皆知，基本不會出現安全問題。但是，在Android平臺上，國內的用戶們卻基本不會選擇官方的Google Play作為第一渠道，這也是Android平臺的開源性帶來的弊端。

在國內，用戶的APP下載渠道通常都是《豌豆莢》和《91助手》等第三方下載平臺。很明顯，這些第三方下載平臺對其收錄的App質量的把控必然不會像蘋果公司一樣嚴格，甚至相差懸殊，這就會導致其中收錄的不少APP都存在著安全隱患。而且，從用戶的角度來說，用戶的安全防范能力永遠滯后于黑客的技術能力，再不嚴加把控，就會導致用戶時時刻刻都會受到數安全威脅。一旦出現問題，用戶的照片、通信錄、網絡銀行和手機銀行這些隱私數據以及用戶的上網流量都有可能被竊取，這樣的危害比過去的PC時代更加嚴重。這樣的移動互聯網，相信不會有多少用戶愿意使用。可以這樣說，如果沒有安全的保障，未來移動互聯網將相當于一個“空中樓閣”。

誰是攪亂移動互聯安全的幕后黑手？

從前面的幾個因素我們就可以看出，寬帶無線通信技術的演進和智能手機的普及，為移動互聯網的發展注入了強大的動力。但是，技術的進步亦造成手機安全問題層出不窮。

中國人民大學匡文波教授認為，通信技術的進步、智能手機與軟件的開發與普及等都在一定程度上方便了手機病毒的制造和傳播。據騰訊安全實驗室發布報告顯示，開放性的Andriod平臺上的病毒已經占到病毒總數的84%。

為什么會出現這種狀況呢？手機病毒主要制造者的趨利性就是最為重要推手。據相關安全產品負責人介紹，手機病毒已經形成一條完整的產業鏈，從手機病毒的制造，到最后的盈利收入，手機病毒制造者能夠從吸金鏈條上獲得暴利。反過來，也使手機病毒的形式日趨多樣化，惡意軟件、垃圾信息、隱私泄露和惡意扣費等行為都讓用戶應對不暇。

病毒及惡意軟件開發者與非法SP（移動增值業務服務商）之間已形成了緊密的“合作關系”，黑客通過技術手段將非法SP提供的扣費號段植入到APP中誘騙用戶下載。在用戶感染吸費軟件后則會利用非法SP公司的短信計費和服務定制通道來產生費用，然后攔截運營商向用戶發送的扣費短信，使用戶無法發現扣費行為，從而實現長期獲利。而在產生資費之后，黑客和非法SP公司還會按照不等的分成比例來獲取暴利。此外，在隱私安全問題上，目前一條圍繞隱私利益點的轉賣獲利產業鏈也已經初步形成。惡意軟件通過安全漏洞收集手機用戶信息，利用倒賣信息牟取暴利。這一點，今年3·15晚會上爆出的手機預裝軟件黑幕就是最好的例證。

除此之外，法律上相關規定和監管措施的缺失也是移動互聯網安全問題突出的一個重要因素。正式因為監管的確實，讓手機病毒制造者有機可乘，在手機安全市場上肆意妄為。

移動互聯時代，誰來為用戶安全埋單？

通常，面對手機安全事件，產業鏈各方包括運營商、手機廠商和第三方安全軟件廠商，都顯得有些被動。俗話說得好，“道高一尺魔高一丈”，在移動互聯網時代，又該由什么人來為用戶安全買單呢？

手機不斷在智能化，攻擊的技術含量也不斷提升，這就需要有智能化應對之策。就目前的情況來看，一旦發生手機安全事件，相關責任方通常無法在第一時間拿出切實可用的解決方案，多數做法是以預防為主，盡量規避安全事件的發生。業內人士表示，產業鏈各方協作才是未來的解決之道。預防、攔截和查殺手機病毒，需要運營商、手機廠商和第三方安全軟件廠商聯手，各自承擔相應的責任。

與運營商、手機廠商相比，安全軟件廠商方面態度比較積極。無論是病毒攻擊，還是系統平臺漏洞，手機殺毒軟件廠商都第一時間推出專殺工具，如網秦推出的“網秦助手”軟件，對手機病毒有預報功能，還針對變種木馬病毒推出專殺工具。騰訊、360和百度也紛紛推出了自家的手機版安全軟件，用以應對來自互聯網的攻擊。

除此之外，政府相關部門也要盡快完善相關法律法規，切實加強監管，為移動互聯安全把好舵。其實，政府的相關部門早就注意到了移動安全不容樂觀的事實。工業和信息化部總工程師張峰就于2013年底，在北京舉行的第七屆移動互聯網國際研討會上表示，工信部會全力保障移動網絡與信息安全。政府相關機構會從戰略和全局的高度重視移動網絡與信息的安全，構建安全可信的網絡環境。政府部門也會切實發揮領導作用，著力推進和加強網絡安全，數據安全，和個人隱私的保護等方面的法律法規和制度的建設。加大對各類垃圾短信、網絡病毒、惡意程序、網絡謠言的治理和打擊力度，凈化網絡環境，保護網民上網安全。

當然，為了保護自己的安全，用戶還是應該從自身的防范意識入手，要更有選擇性地下載App。評價高和流行度不應該成為選擇的標準。刷碼族們切記不要見碼就刷，應選擇權威性平臺上的二維碼，最好在手機上安裝二維碼檢測工具，在斷開網絡的情況下掃描二維碼，這樣就可以大大降低中毒風險。