随着智慧城市和移动互联网的快速发展,智能手机、智能PAD等移动终端用户数量呈爆发式增长,智能终端型号五花八门,应用多样,极大方便了广大用户的日常工作、学习、生产和生活。然而,手机等能终端安全问题越来越突出,窃取通信录、照片、位置信息、通话记录、短信内容、应用密码账户等个人隐私和敏感数据的行为时有发生,利用电信欺诈、手机银行窃取他人资金、非法获取他人电话号码推送垃圾广告等违法犯罪活动十分猖獗,严重影响了广大用户的正常学习、生活和工作,“斯诺登”反映出来的窃听、窃密事件更对国家安全、经济安全等也构成了严重威胁。
随着智能手机和4G、5G应用的普及,以及智慧城市应用的实现,移动互联网安全形势将更加严峻,已受到世界各国和全社会的关注。目前,从用户对智能手机的使用情况看,大多数用户只关心手机的使用功能、性能和便捷性、可用性等问题,关注手机安全问题的人群还不够多,大多数人对此不敏感、不在乎,不同类型的用户群安全意识差别较大,普遍安全意识薄弱,安全技能低下,安全产品和安全服务防护水平不高,恶性竞争对安全性也带来许多负面影响。让广大用户了解相关情况,深入关注移动终端安全,提高智能手机的安全使用水平和安全意识,是很有必要的。
常见的智能手机安全威胁主要包括:恶意代码威胁(木马),应用程序中的隐蔽功能威胁,隐通道和安全漏洞或后门威胁,特殊功能和特定服务中的威胁,以及针对相关基础设施的威胁和针对数据内容的其他攻击威胁。其中,智能手机应用安全问题已备受专家和安全机构的关注。
一、APP应用发展现状
工业和信息化部发布的数据显示,截至2013年1月,全国移动电话用户达到11.22亿户。其中,3G用户达到2.46亿户,移动互联网用户达到7.87亿户。移动App应用的增长迅速。目前,拥有过亿用户的移动应用已达10款左右,包括微信、新浪微博、手机淘宝、UC浏览器、搜狗输入法、91手机助手、360手机安全卫士、高德地图、美图秀秀及墨迹天气等。以苹果官方应用商店App Store为例,截至2013年1月7日,App Store的应用下载量已经突破400亿次,总活跃账户数达5亿个。2012年6月,App Store应用下载量达到300亿次,活跃账户超过4亿个,应用总量为65万款。在6个月的时间内,App Store新增1亿活跃用户、12.5万款应用和100亿次下载量。目前,App Store面向155个国家开放,共有77.5万款应用,其中原生iPad应用超过30万款。苹果App Store在2012年共新增了约34万个应用,2011年为30万个,应用数量在以加速度攀升,苹果App Store的日均收入高达1500万美元。根据艾瑞咨询(iResearch)的监测数据,截至2012年3月,App Store中国区的应用总数超过66万个(660376个),其中免费应用占比为41.9%,免费应用的重要收益来源之一是广告。
选择使用App应用客户端的用户比例正在快速增长。据艾瑞咨询(iResearch)2012年底的移动互联网用户行为大调研数据显示,有57.8%的用户会登录手机浏览器,42.2%的用户会登录客户端应用,二者的占比几乎接近1∶1,首先选择登录客户端应用的用户比例大幅增长。这无疑是2012年移动App应用良好发展的一个佐证,并且,移动App应用也已经改变了或者正在改变用户的手机使用习惯。
二、APP应用安全问题突出
如今智能手机应用呈井喷式发展,各种各样的智能应用让用户很难抉择,特别是移动支付的迅速发展,让智能应用的安全问题逐渐被用户关注。移动智能应用开发还是一个较新的领域,在管理层面上,移动智能相关法律法规滞后,行业对移动智能安全相关的风险认识不足,过分重视超前概念和业务而忽视基础安全设施;在技术层面,移动应用开发组织没有将信息安全列入软件全生命周期,复杂业务逻辑处理不当,对集成功能模块把关不严格,甚至个别开发者为某些商业利益故意收集信息等。上述各种原因,导致移动应用中会存在bug、漏洞或者留有后门。再加上像安卓市场这样的应用平台门槛较低,没有权威发布机构,并且审核不够严格,导致许多具有恶意行为的应用出现在用户的手机上,如果只是危害手机系统,那问题还不那么严重。但要是威胁到移动支付、邮箱等,就会给用户造成很大的损失。
此外,智能手机病毒也是不容忽视的威胁,病毒感染到手机后,会以不被察觉的形式来使用手机的一切功能。在手机屏幕上不会有任何显示,就把要做的事情做了。病毒会代替你使用手机的所有服务。比如给你的朋友发个短信,然后从已发短信中再把这条信息删了。你能做到的,病毒都能做到。
三、采取有效措施,加快APP应用产品供应链安全审查
一是形成APP应用程序准入制度,通过专业的国家APP应用程序检测机构,对即将发布的应用程序进行恶意代码、隐蔽功能等安全审查。审查通过的应用程序进行数字签名识别,允许在国内各大APP应用平台发布。审查未通过的不允在国内各大APP应用平台发布。对各大应用平台的APP运用技术手段进行抽查,发现发布了未审查通过签名的APP,将勒令下架未审查APP,并处以一定的处罚。
二是加强对智能手机应用发布平台的网络安全审查。要求应用发布平台对其发布应用安全负责,并要求应用平台商有效管理平台上的应用程序。同时通过立法、第三方测评、设立权威应用发布平台等行政与市场化结合等手段,促使应用发布平台运用技术、管理、服务等手段,管理好自己平台上的应用程序,承诺自身平台应用安全性,并对此负责。
上述做法也是参考了苹果公司对APP Store中的应用程序的严格审查机制。从目前现状看来,苹果APP Store中的恶意代码应用,远低于Android市场中的恶意代码应用,我们应加快做好中国市场智能终端的安全管控,为百姓提供绿色移动互联网环境。