危及数千万用户
随着移动互联网的快速发展,手机管理软件几乎已经成为智能手机的必备工具。它主要是方便智能手机与电脑之间的内容同步,用户通过该软件,可在电脑中直接管理手机中的通讯录、短信、照片、视频、音乐等个人信息,也可以直接为手机安装应用程序和游戏等。
金山网络安全专家李铁军介绍,这类软件主要通过FTP服务来管理手机文件,但如果技术实现存在漏洞,就会导致在同一网络下的计算设备均能够登录FTP访问该手机。比如在咖啡馆、商务办公场所、机场等公共WiFi网络环境中,攻击者不经允许就可以恶意访问、上传、下载或篡改、删除手机信息,包括手机内存、存储卡中的照片、短信、聊天记录、电话录音、视频以及其他文档等个人隐私。
截至2011年第三季度,中国网民拥有的安卓手机总量约2500万台,超过苹果iPhone,成为最大的国内智能手机平台。此外,由于安卓平台开源开放、价格较低,安卓手机正处于高速爆发的时期。上述三款手机管理软件覆盖国内约80%的安卓用户,因此该WiFi漏洞可能影响数千万安卓用户,是目前为止国内最严重的智能手机安全风险。
360手机精灵危害最大
由于影响较大,该风险引发了安全机构的极大重视,金山安全中心对此进行了专门的技术分析,并发布了研究报告。报告显示,在这三款软件中,360手机精灵带给手机用户的安全威胁最大。
图1:三款安卓手机管理软件WiFi漏洞分析显示,360手机精灵危害最大
据分析,360手机精灵也是通过FTP服务来管理手机文件,但是它的FTP用户名、密码是没有经过加密的明文保存在程序配置文件中,该密码固定不变。而且,该FTP的登录也并未限制客户端,也就意味着,除了用户自己连线的电脑外,其他电脑或者手机也可登录该FTP访问该手机。
此外,360手机精灵目前通过360安全卫士捆绑推广,用户的电脑和手机在没有得到明确提示的情况下被静默安装,并默认开机自启动。由于360安全卫士拥有接近4亿的电脑用户,覆盖国内超过80%的网民,因此360手机精灵带来的安全风险应该引起所有网民和智能手机用户的极大重视。
与360手机精灵相比,腾讯应用助手虽然也存在安全风险,但腾讯应用助手不使用固定的访问用户名、密码和端口号,也不使用FTP协议,而采用较安全的Socket方式,有动态验证,因此风险较小。
程序升级后仍存风险
目前,这三款软件在发现漏洞之后均进行了升级。但金山安全中心分析发现,即使升级之后,360手机精灵提供的新解决方案仍然存在较大的安全风险。
图2:三款手机管理软件漏洞特点及解决方案分析。在升级之后,360手机精灵仍然存在较大安全风险
360手机精灵新版本仅仅对访问手机的电脑IP进行了过滤限制,只允许用户自己的电脑通过USB数据线访问手机。但金山安全中心分析显示,360手机精灵提供的FTP服务还存在,用户名、密码仍然能够被攻击者获取,然后通过用户电脑作为跳板访问其手机。
豌豆荚升级后关闭了在WiFi环境下管理手机文件的功能来避免漏洞的风险,但豌豆荚使用的WiFi连接验证码是固定的,仍然存在一定风险。腾讯应用助手升级后只有输入动态验证码才能访问手机,相对以上两者都更加安全和完善。
倡议构建手机管理安全标准
李铁军表示,手机管理软件确实为广大智能手机用户带来了极大的便利,使得用户可以通过电脑便利地管理手机信息,但是便利性不能以牺牲用户数据安全为代价。
专业机构LookOut调查显示,97%的手机用户认为个人隐私最重要。尤其使用智能手机,其中得到的个人隐私信息更多,如果泄露,随时会给个人生活带来非常大的麻烦,甚至引发“艳照门”、敲诈门等更大的安全风险。
金山网络提醒安卓手机用户尽快升级软件,或者更换更为安全的手机管理软件。同时建议软件厂商在做技术方案时要充分考虑用户数据安全问题,软件通过升级可以很快修复漏洞,但是给用户已经造成的伤害却难以弥补。金山网络倡议手机管理软件厂商建立技术交流机制,共同构建相关技术标准,推动中国移动互联网健康发展。
本文来源:天空软件 作者:佚名