我的手機我做不了主

遭遇“李鬼”險被坑

當你需要一款手機軟件時，通常會怎么做？王女士的答案，多少有些黑色幽默的味道：“我不用有需要，因為在我有需要之前，軟件已經被它們裝好了。”王女士說的“它們”，其實就是一些第三方軟件平臺，以及平臺里泛濫的惡意軟件。

所謂第三方軟件平臺，是指那些專為手機用戶提供應用軟件下載的非官方服務機構，它們既不是軟件開發商，也不是手機生產商。由于平臺上的軟件品類龐雜、數量豐富，手機用戶往往會選擇在這里下載需要的程序。

王女士說，相比蘋果手機，搭載Android系統的手機在軟件選擇上更為靈活。“如果你想用所謂的官方軟件下載平臺，就必須要像使用蘋果手機那樣注冊一個賬號，填上一大堆繁瑣的個人信息。但是Android系統不像蘋果那么封閉，隨便哪里的軟件安裝包，只要能在這個系統上運行，手機就允許安裝，所以很多人嫌麻煩，干脆跑到一些第三方平臺上下載軟件，一來不用注冊，省去麻煩，二來種類齊全，要啥有啥，使用非常方便。”

去年的“雙十一”比往年來得更猛烈一些，很多電商網站都斥巨資來爭奪客戶，大幅的優惠降價和買贈活動，著實讓消費者興奮不已，頭天夜里，有人甚至一邊用電腦，一邊用手機，雙管齊下只為在第一時間搶到中意的商品，王女士就是如此“瘋狂”的一位。

“我一連下了兩個淘寶應用，分別注冊了賬號，綁定了銀行卡，就為在第一時間搶單成功。”如今，回憶起當初的行為，王女士仍然頗為激動。

其實，包括王女士在內的幾乎所有手機用戶都知道，軟件通常只有一款官方版本，可在“雙十一”的刺激下，王女士失去了理智，她看到一款外觀一模一樣的淘寶軟件，并且在描述中稱自己可以幫用戶快速搶單，便立刻點擊了下載。殊不知，這是一款惡意盜取用戶淘寶賬號的軟件，王女士剛剛注冊的賬號就這樣被盜走，但好在綁定的銀行卡里尚未打入資金，因此沒有遭受經濟損失。

賬號密碼偷偷送“賊人”

通過對截獲的木馬病毒進行分析，手機安全機構的工程師厘清了這類病毒的工作方式。

以盜取支付寶賬戶的木馬為例：首先，這種木馬病毒會偽裝成正版淘寶客戶端，誘騙用戶點擊并登陸。在輸入賬號和密碼時，該軟件會在后臺記錄并發送到程序指定的手機號上。此時，手機用戶為財產安全上的第一道鎖已經被黑客攻破。接下來，當用戶進行支付寶操作時，輸入的賬號和密碼將以同樣方式被發送至指定手機號上，與此同時，惡意軟件還會要求用戶輸入身份證號等重要隱私信息，這是為了便于黑客通過“找回密碼”功能，進一步突破安全防線，從而達到侵入支付寶賬號，并將用戶資金轉至自己名下的目的。

根據手機安全專業機構的統計，相比2012年不足50%的比例，2013年在第三方軟件平臺下載到惡意軟件的用戶數量卻超過了60%，這些惡意軟件非但不能為用戶提供便利，有時還會成為泄露隱私、詐騙錢財的工具。

為謀私利降標準

目前，國內第三方軟件平臺的審核流程大同小異。通常都是在開發者提交申請后，由平臺方組織人員，對軟件的安全性、有無病毒、描述說明是否準確、合法性、盜版侵權等方面進行審查，通過后才可上線。此前，開發者還需將身份證或企業經營執照發給平臺備案。從整個流程來看，不可謂不周密，從全部標準來看，不可謂不嚴格。但是為何惡意軟件頻頻出自第三方軟件平臺，甚至在短短一年的時間里，它就成了最大“毒源”呢？業內人士分析稱，出現這樣的情況，與其現有的盈利模式密切相關。

以往平臺與開發商的利益分成通常為三七開，無論是付費軟件，還是免費軟件中的付費項目，只要發生交易，雙方就能掙錢。在這個天然的“利益共生體”中，開發商需要平臺中的海量用戶，平臺則需要更多開發商提供海量軟件來吸引下載人群，雙方的核心目的都是圈人。

然而，隨著近年來基于Android系統開發軟件的技術不斷成熟，越來越多的公司開始涉水第三方軟件平臺領域。公司多了就意味著競爭大了，越多人做平臺，用戶就越容易被分散，這對平臺和開發商來說，無疑是他們都不想看到的。

為此，一些不正規的平臺想出了新模式，開發商變身為二級平臺，用戶下載了自己的軟件后，軟件會在后臺給用戶的手機偷偷安裝其它軟件，從而實現對這些軟件的推廣，向這些軟件的開發商收取費用。而對原有平臺來說，從這筆費用中抽成要比做用戶來錢更快，于是這條新的盈利渠道便使得第三方軟件平臺成了“只要給錢就能上”的儲藏間，對他們來說，審核的流程和標準越嚴苛，獲利就越不易。

正規平臺也遭殃

王女士說，她平日對手機安全頗為重視，也常會關注這方面的新聞，因此很少在不正規的平臺中下載軟件，可最終還是中招了。這又是為什么呢？

據統計，在全國用戶數量較多的37家第三方軟件平臺中，惡意軟件的平均占比達到4%，也就是說，即便用戶選擇了知名平臺，也有可能下載到惡意軟件。在某中型第三方軟件平臺里，惡意軟件的數量竟高達7.8萬個。

由于市場競爭激烈，正規平臺又不可能采取非法的盈利模式，因此只能在用戶數量上做文章，這就使其在軟件的審核方面過于追求數量而疏忽質量。與此同時，非法軟件為了擴大傳播范圍，也希望借助正規平臺的名聲博得用戶的信任，因此通過技術手段使自身的安全隱患不易被發現，而不少第三方軟件平臺其實并沒有相應的安全檢測能力，從而導致了大批惡意軟件潛入正規市場，成為特洛伊木馬一般的安全隱患。

危險源之二

系統清理招來扣費木馬，受攻擊比例高達20%

“刷機” 一周被“吸”300元

“刷機”成產業 染毒很平常

北京中關村，一個被很多人看作“電腦城”的IT產業聚集區，每天都會發生海量交易，其中占比較大的正是智能手機。一位在此從事電腦銷售多年的公司負責人表示，此前他的公司以筆記本電腦和投影儀為主要業務，然而隨著智能手機的迅速普及，他不得不單租柜臺，抽調人手，做起了智能手機銷售、保養、維修服務一條龍的生意。

“現在手機已經占了我的一半業務量，而且大部分是來修手機的，這里面最多的是‘刷機’的人。”這位老總提到的“刷機”，正是現在智能手機用戶中極為普遍的一種操作，即便有人不知道什么是“刷機”，但也會多少聽到過這個詞，聽說過這件事。

其實，所謂的“刷機”就是給手機重新安裝操作系統，并使用戶獲得最高權限，這和很多蘋果手機用戶時常提到的“越獄”是相似的。

據手機安全專業機構的統計，2013年全年因刷機導致的惡意軟件攻擊數量，占到總數的20%左右，這一數字雖然較2012年下降了10多個百分點，但只要有人中招，就會面臨比任何途徑感染惡意軟件都要嚴重的安全隱患。

一周之內被“吸”數百元

幾個月前，亮亮在家人的祝福中邁進了大學校門，為了方便他在北京的學習生活，也為了獎勵他十多年勤學苦讀所取得的驕人成績，父母花五千多元為他選購了一款三星GalaxyS4手機。

面對十余款毫無用處的應用軟件，亮亮在一番研究后決定全部卸載，于是他在同學的介紹下來到了中關村內一家手機銷售店。

雖然自己對“刷機”略知一二，但由于人生地不熟，為保險起見，亮亮還是找到一位同鄉的學長幫忙，推薦了一家他認為靠譜的店面。“其實沒必要，去了以后我就發現，這種店在附近有上幾千家，幾乎只要是賣手機的，都能幫你‘刷機’。”他說，學長介紹的無非是自己曾經去過的地方，但對店里的老板來說，“只要你來，他都會表現得跟你很熟。”

“刷機”歸來，亮亮對干凈的程序列表甚是滿意，以為此前媒體所報道過的預裝程序耗費流量的情況，已經徹底與自己的手機無緣了。然而一周之后，他剛剛充入的300元話費卻一分不剩，運營商還發來了手機欠費提醒短信，這讓亮亮十分焦慮。

“一周的時間，好幾百的話費，我怎么和父母交代啊！”亮亮說，自己的手機肯定是被植入了惡意軟件，可他翻遍了所有應用程序，卻沒有一個是可疑的。“因為我當初讓他給刷成最簡版本，除了像時鐘、天氣、日歷這些系統使用必要的程序，其它軟件我統統不要。”本以為足夠安全的“刷機”策略，卻沒能逃過被黑的命運。

無奈，亮亮只得來到三星客服中心進行售后維修，但由于私自對操作系統進行了更改，客服部門表示，手機雖然還能重新刷回官方系統，但已經不在三包范圍之內，亮亮需要自付150元的維修費。

就這樣，一次“刷機”變成了兩次“刷機”，為圖省錢卻最終損失近500元。

預裝軟件催生“刷機”產業

其實，此前就有媒體披露過“刷機”黑色產業鏈，一臺水貨手機在送到用戶手上之前，少則經過十余次“刷機”，多則達到數十次甚至上百次，而每一次“刷機”的背后都是巨大的利益誘惑。而對于行貨手機，尤其隨著各大電信運營商為了拉攏客戶，與手機生產商聯合推出的定制手機，去年以來也開始成為“刷機”對象。

過去這類手機的用戶通常很少“刷機”，一方面是出于對風險的擔憂，認為“刷機”可能導致保修失效，另一方面則與使用者的身份有關，他們多為政商界的成功人士，擁有一定的社會地位，將“刷機”看作一種拉低身價的行為。

但隨著一些“0元購機”活動的推出，大量年輕人，尤其是中低收入群體開始成為行貨手機的用戶。他們接受新鮮事物較快，往往具有一定的手機專業知識，不太擔心保修失效的問題，而且對“刷機”有充分的了解，通過一些專業論壇下載軟件，甚至可以自己在家完成“刷機”。可是，為什么好端端的行貨手機本可幸免于此，卻還要被用戶自己送去“刷機”呢？

目前，市面上的手機中，主要以蘋果手機專屬的IOS系統和多數手機生產商采用的Android系統為主，后者為了用戶安全，也為了自身利益，會在安裝操作系統時內置諸多應用程序，如聊天工具、理財工具、手機系統工具等，一方面可以確保用戶不被市面上一些偽裝成正規軟件的惡意程序所欺騙，另一方面也為軟件開發商打開了一條推廣渠道，使生產商與軟件開發商實現雙贏、互增收益。

然而，對用戶來說，這種預裝在手機當中的軟件絕大部分是毫無用處的，可由于軟件與操作系統一同被捆綁在手機核心存儲區，用戶無法正常卸載，于是就催生了行貨手機的“刷機”需求，目的就是請所謂的“專業人士”把手機系統變“干凈”。可見，讓行貨手機瘦身絕非易事。

危險源之三

輕輕一掃可能導致詐騙短信呼嘯而出

二維碼 手機變成“群發器”

惡意網址 點開就中毒

點擊網址，打開頁面，以往需要在專用瀏覽器軟件中才能實現的網頁訪問，如今在微博、微信等客戶端里就可輕松實現。毫無疑問，軟件的開發人員是為了方便用戶，使人們免去在瀏覽器與客戶端之間來回切換，既能節省時間，又能降低內存消耗。

可就在2013年，隨著微信、微博等社交工具逐漸成為人們的生活必需品，不法分子開始考慮借此傳播惡意軟件。

以往他們利用這些工具直接發送詐騙短信，但隨著人們安全意識的提升，這樣的獲利手段已經難以達到預期效果，但如果將詐騙信息變成惡意軟件的下載鏈接，由于它并不與用戶的經濟利益直接發生關聯，很多人反而不會過多考慮，覺得點開看看也無妨。

由于在這些社交工具中打開網頁無需使用瀏覽器，因此一些安全軟件很難有效發現和攔截惡意網址，此時，病毒會在用戶觸摸屏幕的一剎那侵入手機，盜取賬號和密碼，拷貝個人隱私，后臺頻繁下載安裝惡意軟件，以機主的名義群發詐騙短信……

不中毒不知二維碼真假

雖然在本質上都是惡意網址，但利用二維碼傳播惡意軟件和木馬病毒則更為隱蔽，而且這一比例在2013年的增長十分迅速。

無論是添加好友還是關注微博，無論是快捷支付還是參與活動，二維碼將所有需要用戶手動輸入的命令變成了一張方形圖片，只需輕松一掃，原來繁復的操作變得簡單快捷，讓人不禁感慨科技為生活帶來的巨大便利。然而，正是這種方便，為不法分子打開了斂財之門。

當兩個用于下載軟件的二維碼同時出現在我們眼前時，誰也無法分辨出哪一個是正版軟件，哪一個是惡意軟件。多數掃碼工具也只能將二維碼翻譯成網站地址，卻無法識別地址是否正確或存在安全隱患。也就是說，惡意二維碼和安全二維碼在形態上毫無差異，只有用戶已經中招時，才知道哪個是真、哪個是假。

手機變身詐騙短信群發器

張垚就曾因錯誤地掃描二維碼而中毒，導致數百位手機聯系人都收到了一條奇怪短信：“我在K-T-V被抓到公-安-局，要交罰款五千，手頭錢不多，借我一千左右就行……”

張垚說，那段時間自己確實出差去了南方，但他平日里生活檢點，不至于犯這樣的錯誤。而且短信的表述很奇怪，“K-T-V”和“公-安-局”兩個詞都在每個字中間加了一條橫線，綜合兩種因素考慮，朋友們對短信的真偽產生了懷疑，于是紛紛打來電話詢問情況。

“我接到電話才知道自己手機中毒了，趕緊再群發一遍短信，告訴大伙兒那是騙人的，不要信。”張垚說，這種騙人的把戲其實很低劣，只要自己平日沒有類似的行為，收到信息的人就會產生懷疑。而且不法分子肯定是為了逃避運營商對垃圾短信的檢索攔截，所以才加了那些橫線，因為如果一條短信里同時出現“KTV”和“公安局”，運營商很可能會認為這是垃圾短信而將其屏蔽，加上橫線后，自動篩詞的軟件就無法完整捕捉到敏感詞，于是就不會認為這是一條垃圾短信。但如此一來，短信就會顯得十分奇怪，更容易讓人心生疑竇。

對于張垚的猜測，業內人士給與了認可，并表示這種木馬通常會偽裝成常用軟件或游戲，張垚一定是在無意中下載了惡意軟件，而這種軟件一旦被安裝到手機上，就會自動讀取手機內存數據和包括SIM卡在內的所有聯系人信息，甚至對一些標注了聯系人與自己關系的情況，病毒還能自動識別并加以利用，從而使群發的詐騙短信看起來更加真實。這些短信內容常以在娛樂場所被警方抓獲為由，向親朋好友索要罰款或保釋金，或是以與他人發生矛盾需要調解為由籌借資金。

由于這種木馬會將任何一部手機變成垃圾短信或詐騙短信的群發器，并且沒有固定端口，運營商很難發現來源。與此同時，由于發信人是自己的好友，有些甚至還能寫出自己的名字，使得詐騙短信的迷惑性進一步加強。

危險源之四

一款定制手機安全漏洞可達40個

系統漏洞 惡意軟件的靶子

有漏洞 所以被攻擊

如果說惡意軟件是一片燒不盡的野草，那么手機系統漏洞就是助其生長的沃土。可以說，所有的惡意軟件都是基于手機系統漏洞而開發的，沒有漏洞就沒有攻擊點，惡意軟件也就無法施展拳腳、有所作為。

但眾所周知，一款完美無瑕的程序是不可能出現的，即便有著幾十年研發經驗的微軟公司，旗下產品也在頻頻推出各種補丁，目的就是堵住漏洞，減少用戶遭受黑客攻擊的可能性。智能手機作為一種移動多媒體終端，本質上和電腦是一樣的，Android系統就好比Windows系統，漏洞的存在無可厚非。據不完全統計，市面上的主流機型中，安裝Android二代系統的手機平均存在20個已知漏洞，而最多的一款則達到40個漏洞；安裝Android四代系統的手機平均存在19個已知漏洞，最多的一款同樣達到了40個漏洞。通過對不同品牌手機的檢測對比，專業機構發現某些國際知名品牌的某些型號成為漏洞最多的手機，而國產手機和采用非定制系統的手機卻相對較低，因廠商定制產生的手機安全漏洞，已經占到被測手機已知漏洞總數的70%。

我們日常遇到的耗電多、費流量等問題，都與定制系統的漏洞不無關系。而不法分子利用這些弱點，開發出極具針對性的惡意軟件，通過對后臺消息、簽名漏洞、短信欺詐和后臺電話等漏洞的攻擊，達到他們謀取私利的目的。這4種主要漏洞中，后臺消息和后臺電話可以被用于惡意扣費，通信欺詐則直接對用戶的財產帶來嚴重威脅。

定制系統漏洞多 想打補丁不容易

之所以會存在這種情況，原因主要是漏洞補丁的更新周期過長。

手機系統和電腦系統不同，無論是哪個廠家生產的電腦，只要安裝了Windows系統，差別就只存在于版本上，而對手機來說，不同的生產商會定制不同的Android系統，甚至同一生產商生產的不同手機，其操作系統也會存在功能或模塊的差異。這也是裝有同款系統的不同手機，在漏洞數量上會有天壤之別的原因。

由于這種定制的存在，手機系統很難像Windows系統那樣，統一由軟件生產商研發并推送漏洞補丁，而這一工作一定要由手機生產商，也就是系統定制方來完成。但不同的生產商對系統安全的重視程度也有差別，而且由于系統并非自主研發，在技術上還存在一定障礙，最終導致了系統更新周期過長，甚至根本不更新的情況。此外，同樣由于定制的原因，手機在更新時，一定要與手機生產商的服務器進行連接才能下載更新文件，所以即便Android系統官方進行了核心組件的更新，也必須通過手機生產商才能送達用戶手機。

其實，定制系統的存在主要是出于手機生產商的利益考慮，通過定制系統，他們可以在初裝系統上捆綁一些應用軟件。雖然軟件是安全的，但往往都是用戶所不需要的。為此，一些人會選擇刷機或利用市面上的軟件獲取手機最高權限，從而刪除這些無用軟件。可這樣一來，定制系統就被破壞了，當手機生產商對系統進行更新時，這些用戶很可能會被認為不是服務對象而被拒絕更新。

專家觀點

特邀專家 李 劍

北京郵電大學副教授、中國互聯網協會反惡意軟件技術組組長

手機安全監管去哪兒了

早在2006年，中國互聯網協會就對惡意軟件從8個方面做出過限定：強制安裝、難以卸載、瀏覽器劫持、廣告彈出、惡意收集用戶信息、惡意卸載、惡意捆綁、其他侵害用戶軟件安裝、使用和卸載知情權、選擇權的惡意行為。從這些方面來看，市面上存在的惡意軟件其實很好判別，但之所以會久除不盡，關鍵在于管理不到位。

我們對惡意軟件給出了限定，但卻在法律層面得不到保障。我們知道做了什么事的人是壞人，卻不知道對壞人該采取哪些措施。不法分子在謀取私利時感受不到任何危險，反而是我們在正常使用手機時需要戰戰兢兢、如履薄冰。這種本末倒置的情況，必須要通過法律層面的清晰界定來杜絕。

除此以外，我們必須認識到手機安全是綜合性的，它并不單單投射出智能手機本身的問題。

舉個例子，手機實名制已經在全國范圍內普及，但是網絡實名制卻遲遲無法跟進。國外的先進經驗告訴我們，建立網絡身份證的舉措可以有效減少不法分子對網絡安全的威脅，但韓國一位明星卻因為個人信息遭泄漏而跳樓自殺。在我國，個人隱私可以公開叫賣，雖然有人因此鋃鐺入獄，但相比之下，逍遙法外的人仍然是大多數。去年發現的惡意軟件中，很大一部分是用來搜集個人隱私的，但是我們每個人都可以捫心自問：當你現在聽到類似的新聞和消息，還會有吃驚的感覺嗎？還會有憤怒的感覺嗎？很多人可能只會選擇無奈甚至無視。因為在我們的生活中，這已經是司空見慣的事情了。沒有隱私安全就難以推進網絡實名制，反過來使隱私安全更受威脅，陷入死循環。

所以說，消除手機安全隱患，不能只局限于手機本身，還要從外圍入手，擋住這些誘人的非法利益。

至于智能手機本身，從技術上消除安全隱患并不困難，但我們只能做到事后追懲，而無法做到事前預警。也就是說，當我們發現某個惡意軟件時，一定是它已經在用戶當中產生了一定危害。這種消極的安全防御必須要與之前所說的積極防御相配合，這樣才能在最大程度上保護我們的手機安全。