p> 5.途径:应用商店/“刷机包”成传播温床
感染途径方面,据网秦“云安全”数据分析中心统计,Android应用商店成为手机病毒、恶意软件的主要传播途径,超过57%的用户因此“中招”。17%的用户则因在“刷机”时不慎安装了被植入扣费软件的“刷机包”后感染,另有14%的用户通过WAP/WWW网站下载软件时感染,7%的用户通过蓝牙传输方式感染,3%的用户通过存储卡途径感染,2%的用户通过其它途径感染。
小贴士:何为“刷机”?何为“刷机包”?
“刷机”就是更新、升级手机操作系统。可以突破手机本来的限制,个性化自己的手机,可以 DIY 个性化手机,更改、替换机内的各图片、铃声、开关机画面及菜单字符等等。
“刷机包”则指将相应设定进行打包便于用户一次性安装的程序集,作者可将其打包到系统ROM镜像中,上传到相关论坛,网友直接下载批量安装后享受到全套应用服务。尽管相当方便,但因部分病毒作者会在“刷机包”中植入恶意扣费代码,故用户在下载安装后极易感染恶意软件。
超过57%的Android恶意软件通过应用商店感染手机用户
三、安全隐患解读
进入2011年,Android手机平台的安全性备受用户关注,据权威的市场调研机构Frost & Sullivan(沙利文)近期发布了《2011年中国手机安全产品市场白皮书》,报告显示:截至2010年底,Android应用程序数量已超过20万次,累计下载次数达到25亿个。但恶意软件比例也持续增长,目前在中国市场上,约有8%的Android应用程序存在各种恶意扣费的程序设置,“恶意扣费”行为一般在用户下载安装相应的应用软件过程中“自动”产生,用户很难觉察。
同时,Android手机存在的ROOT权限隐患、联网流量隐患和Android应用商店普遍存在的应用上传时的审核机制隐患以及Android应用存在的易被批量植入恶意代码的隐患等,也正在严重威胁Android用户的安全。
ROOT权限被轻易获取
众所周知,Android操作系统底层为Linux内核,ROOT是Linux超级管理员用户,具有最大的权限。在Android的安全设计中,默认情况下用户不具有ROOT权限。
但是,近年来, Android系统出现了多个可让用户获取ROOT权限的途径,例如:
1)默认情况下,系统不具有ROOT权限,而导致很多操作无法进行(如备份系统),用户为使用更方便,主动利用漏洞或者第三方提供的软件获取ROOT权限;
2)用户使用其他人自制的ROM刷机,而该ROM在制作时已经获取了ROOT权限,从而用户在不知情情况下具有了ROOT权限;
3)用户安装了某个恶意程序,该程序为了达到某种恶意目的,在用户不知情情况下获取了ROOT权限。
一旦获取了ROOT权限,不但可以做到应用程序的静默安装,还可以访问其他应用程序以及随意读写用户隐私数据,修改或删除非其他应用程序的文件等等,对用户的Android手机造成的安全隐患。
2.联网管理意识淡薄
随着移动互联网的发展,越来越多的应用需要频繁使用网络,如天气资讯与IM类软件;同时应用开发者在产品(尤其是免费产品)中植入了广告插件(如AdMob),而广告插件需要联网更新广告内容。这些导致用户在手机使用过程中流量大增,按照国内以流量为计费单位的方式,很容易让用户产生高额的流量费用。
但在Android手机系统中默认并不具备流量管理功能,且多数手机用户尚未养成实时管理上网流量的意识,用户很难察觉到是否超支或是否有恶意软件在恶意联网消耗流量。使得黑客有了在用户毫不知情的状态下,肆意上传隐私和实施扣费的机会。
3.应用发布前缺乏安全审核
作为用户下载Android应用的主要渠道,当前应用商店却正在成为恶意软件的传播温床。网秦《2011年第一季度全球Android手机安全报告》显示,超过57%的用户正在通过应用商店下载。伴随谷歌批量剔除数十款恶意软件等事件的发生,和国内多家Android商店爆出发现恶意软件的消息,应用商店安全性已愈发引起关注。
实际上,造成Android恶意软件肆意传播的原因在于当前应用商店存在的审核隐患。其中以Google Market为例,如果用户要在Google Market发布应用,用户首先需要注册,然后支付一定的费用后才能发布应用,如果要发布付费应用,还需要提供一个银行帐号,Google需要认证。这已经很大程度上规避了用户虚假身份信息。一旦出现法律问题,Google可以追究其法律责任。
但是Google在应用上架时,没有二次认证的审核流程,开发者上传后的APP会立刻发布,如果开发者发布了恶意应用,虽然被发现后会被下架,事后也可能会被追究法律责任,但是对在发布后和下架前的时间段内下载该软件的用户,已经造成了损失。由于开发者能够通过服务器控制客户端恶意行为的发作时间,在应用通过审核上架后再来激活恶意行为,即使通过审核也难以完全确保程序安全性。
4.批量植入恶意代码
与塞班平台不同,当前Android平台的恶意软件数量正在呈几何级增长,其中,部分插件在被发现时已累积植入到数十、乃至数百款普通应用软件之中。例如“安卓吸费王”病毒自2011年初被发现以后,累积植入到包括手机QQ、塔防等超过数百款Android应用软件之中。
究其原因,由于Android应用开发主要使用Java语言,Java语言本身反编译较为容易,恶意程序开发者可以反编译获取应用源码,继而修改原代码并植入恶意插件程序代码,最后再重新编译生成新应用程序包,采用该方式生成的新应用仍然保留了原应用的正常功能,从而具有较高的欺骗性。该方法可以批量进行,使得恶意软件(尤其是变种)的数目剧增。
同时,由于Android平台和塞班平台不同,缺乏全面的测试及数字签名验证机制,导致其批量植入恶意代码的成本被进一步降低,从而导致了如“安卓吸费王”等恶意程序的大面积泛滥。
对此,由于Android平台存在批量植入恶意代码的隐患,导致在渠道操控中一旦存在安全问题,用户下载应用时极易遭到感染,若未安装专业手机安全软件,将面临极大的安全风险。
四、技术发展趋势
面对错综复杂的Android安全形势,也正在对安全厂商的技术研发提出新的课题。其中,为积极应对Android面临的安全问题,在众多的应用中第一时间发现恶意程序并且及时响应,“云+端”结合的“云安全”技术模式正在被应用到专业的手机安全软件之中,也将成为当前和未来在移动安全领域的技术发展趋势。
其中,“云端”将重点解决恶意软件的发现问题,从各种渠道收集软件信息,并按照某种算法评估软件的风险,对其风险排序,从而第一时间发现高风险软件中的恶意软件,并形成解决方案。云可以将解决方案发放给端提供服务,也可以直接提供服务。
而“终端”重点解决恶意软件的查杀与防护问题,通过安装部署在智能终端上的客户端及时应用的解决方案,对恶意软件进行查杀,并防止恶意软件进入。同时,端也可以作为云的一个重要输入,在用户许可前提下,向其反馈必要的软件信息。
对此,通过“云安全”技术的系统融合,将从包括渠道、终端等多个层面,实现对恶意软件的全面排查。目前,作为拥有全球最大的移动“云安全”数据库的专业移动安全厂商,网秦公司正在为全球超过7100万手机用户提供安全保护,并已在2010年底对外开放了“云安全”平台的APK接口,并已与中国移动、中国电信等多家电信运营商和多家Android应用商店达成了合作意向,可实现对其线上资源的全面、实时的安全检测,避免用户下载时遭遇恶意软件威胁。
本文来源:网络整理 作者:佚名