北京洋浦伟业科技发展有限公司(以下简称梆梆安全)的安全实验室里,工程师彭大伟正在分析手机病毒样本,这是他日常工作的重要内容之一。
他在病毒库里挑出了一个典型的恶意扣费手机病毒:“这是2012年被检测出来的,是藏在一个笑话阅读器的APP里的。它能够在用户不知情的情况下,对外大量发送付费服务的订阅短信。”彭大伟一边说着,一边往测试手机里安装带有病毒的手机APP。
点击完了第二个“下一步”操作按键后,彭大伟突然停下来将手机递给《中国经济和信息化》记者说:“除了这里多了一页同意发送短信的协议外,其余的安装流程和正版的应用都一样。不过大家装软件一般都是‘下一步’按到底,上面的协议内容是不会有人仔细去看的。”
不到一分钟,手机桌面上多出了一个笑话阅读器的应用图标。
我们像普通的用户一样翻页阅读着APP里的笑话,翻到第三页时,电脑上的安全软件突然提示有6条手机发出的短信被拦截下来,而此时手机却没有任何提示和反应。
彭大伟说,电脑上提示的订阅短信是手机病毒背着用户偷偷发给运营商的,“这个病毒一旦被激活,会不停地对外发送订阅信息,而运营商的订阅回执却被它自动拦截下来,不会在手机上显示”,这样用户的手机费就可以在不知不觉中被病毒偷走了。
一个月后,装有这个笑话阅读器APP的手机用户将会收到一张长长的话费清单,不知看到账单后,这个用户需要用什么笑话才能平复此刻心情。
其实,这类手机病毒虽然会让用户的话费遭受一些损失,但危害还并不算大。有一类专门利用系统漏洞的病毒,往往会让用户的钱包遭受更大的损失。接下来,彭大伟又找到了一个利用系统漏洞的典型手机病毒,“这个病毒把自己伪装成了国内一家知名商业银行的手机银行APP,用户单纯从应用的外观很难分辨APP的真假。”
所谓的系统漏洞,这就好比是戒备森严的院墙上开出来的小门,小偷完全可以绕过大门口的保安盘查,直接由这个漏洞进入系统中。
这种利用系统漏洞的手机病毒往往具有更大的破坏性,它们看上的不是用户手机话费这点“小钱”,而是要通过移动端直接将黑手伸向消费者的银行账户。等用户察觉时,银行里多年的积蓄早就已经拱手送给黑客了。
幕后黑客
在移动安全的保卫战里,安全工程师和黑客作为攻防双方,扮演着完全不同的角色。与安全工程师不同,黑客过的是见不得光的生活,他们只能藏身于APP幕后隐姓埋名,甚至连他们的对手也不太清楚他们是谁。
其实,每个黑客开发手机病毒的初衷都不尽相同。有些人是为了证明自己的技术很牛,而有些人则是希望通过手机病毒获取利益。
任何一个不规范的产业背后往往都隐藏着巨大的利益,梆梆安全技术总裁阚志刚告诉记者,黑客开发出手机病毒后会有很多的变现方式,钱既可以从中毒的手机用户那里得来,也可以从开发APP的企业那里“勒索”,这个看似简单的恶意程序背后实际上存在一个非常长的产业链。
这条违法的灰色产业链的规模到底有多大谁也说不清楚,我们在各种统计中只能看到他们一部分的“成果展示”。
360互联网安全中心发布的《2013年中国手机安全状况报告》显示,2013年全年安卓平台新增恶意程序67.1万个,较去年增长4.4倍,用户感染恶意程序9747万人次,较去年增长了88.3%。
一位接近黑客不愿透露姓名的人士告诉记者:“市面上流行的付费应用一旦被破解,黑客就可以用虚假信息‘瞒天过海’让软件误以为用户已经付费了。这样一来,应用就变成了免费午餐,更加受用户青睐。用户基础既是黑客进行‘广告招商’的前提,也是应用渠道商的‘财神’。”
他边举例边用笔在白板上勾勒,一会儿功夫就画出了一个闭环,其中囊括了黑客、广告商、运营商、渠道商和终端用户等多方角色。除用户外,其余各方几乎都能从中获得利益:
在破解APP里插广告,广告商往往投入较低的费用就能达到媲美甚至超过正版APP的传播效果。黑客只需要将广告植到游戏的开机画面甚至是游戏过程当中,在用户手机里弹出来‘秀’一下,广告费便可尽收囊中。而对于依赖APP下载量进行分成的应用渠道商来说,有用户基础的应用意味着更大的下载量,自然也是求之不得的。弹出的广告,可以在不知不觉中产生流量消耗,为运营商输送更多利润。最后,手机用户虽然从表面上看是省下了一笔直接支出的费用,但是流量消耗、信息泄漏、恶意扣费等安全威胁却接踵而至。
“在这个灰色产业链里,像运营商、APP渠道商,他们真的会一点都不知情吗?”这位不具名的人士并不以为然,“不过是这种类型的病毒不像大范围传播的手机恶意程序那样有破坏力,再考虑到自身的商业利益,所以对此采取了一种默许的态度罢了。”
其实,这只是黑客灰色产业链的冰山一角。近年来,手机病毒的数量呈现爆发趋势。巨大的利益诱惑正是黑客长久存在并发展的主要推手。
随着手机安全攻防战的拉锯,黑客的实力也在不断发展壮大。除技术上的提升和数量上的增加外,黑客商业运营集团化的特征也日渐显著。
黑客正逐渐从“单人作战”向“团队协同”转变,目前市场上不少手机病毒都是由团队来开发运营的。在这里有人专门负责技术,有人专门负责去寻找病毒投放的目标应用,还有人专门负责上传到渠道里面。彭大伟说:“现在有的手机病毒都是通过公司化的运营模式做出来的,这种操作模式跟正常的APP产品基本一样,在这个‘机构’里面,每个环节都分工明确。”
巨大的利益是黑客之所以能够长久存在并发展的主要推手。
亟待监管
随着智能终端的普及,移动互联网产业高速发展,移动应用的数量急剧增加,移动安全产业的未来发展被广泛看好。与此同时,相应的移动应用安全问题也日益凸显,行业乱象丛生、人们移动安全意识的模糊、缺乏权威的第三方监测机构和法律制度的不健全就是像挡在移动安全产业头顶上的玻璃顶棚,阻挡了触手可及的发展前景。
在中关村的电子商城里,智能终端的销售柜台旁“系统越狱”的招牌更是随处可见。被开放了最高权限的手机,意味着手机病毒一旦进入手机系统,就可以随心所欲做更多事情,用户则会面临更大的安全威胁。
梆梆安全高层指出:“目前,人们对于移动安全的认识其实并不深刻。与其他的实体产品不同,安全产品恰恰是一种比较虚的东西,人们在遭受损失前,这方面的需求通常并不受到重视,只有当钱包遭受了损失或是手机的正常使用受到了影响,人们才会意识到自己的手机中毒了。”移动安全意识淡漠的不只是移动应用开发企业,个人用户更是如此。
此外,国内手机用户对于“免费”盗版应用的市场需求仍然存在,使人们很容易忽略了APP的安全性,让被破解和篡改的盗版应用拥有更加广阔的市场。
事实上,手机病毒远不止如此。依据《移动互联网恶意代码描述规范》手机病毒的恶意行为共分为八类:恶意扣费、隐私窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗欺诈、流氓行为。中国软件评测中心副总工程师杨认为:“这八类恶意行为是目前移动应用软件面临的主要安全威胁。”
目前,我国安卓系统的分销渠道较为混乱,市面上的移动应用良莠不齐,所以,亟需成立权威的第三方监测机构。
中国软件评测中心智能终端测试中心主任严宏君告诉记者:“目前针对移动安全市场的种种乱象,中国软件评测中心建设的利猫网作为第三方的机构正在整合多方资源,充分发挥第三方评测机构和社会监督的作用,通过市场化机制形成良性的移动互联网产业发展环境。”
任意破解和篡改APP的行为是违犯刑法的,但是由于我国的网络安全相关法律细则仍在起草过程中,立法尚未形成完整的体系,缺乏相应的法律细则,不仅使违法行为难以界定,也造成了人们的法律意识的淡漠,以至于不少从事移动安全的工程师都不了解现有的部分法律规定。中科同向总经理邬玉良指出:“要切实解决网络安全这个问题,根本还在于法律的保障。”
整治移动应用乱象不是朝夕就能完成的。虽然权威的第三方机构利猫网已经建立起来,但是,提高应用开发企业和手机用户对于安全的认识仍然需要多方努力。
唯有客服上述种种制约条件,移动安全产业才能迎来真正的光明。