刘启诚:你要进我这个平台,我肯定先要认证你,不是说开放谁都上来。
田民:认证是对人身份的认证,以及他基于我开放的软件做出基本的安全测试。但是他的应用具体是不是安全谁也不能保证,就像前面提到的Android Market的事件,苹果否认了20%是有问题的。但是过了几天之后,他就从很多的iPhone上面删除了两个软件,那个软件他的开发者是故意走这些后门,他成功利用这些软件控制了上面的手机。如果说这个人意图是恶意的话,就有可能使用手机去发短信,甚至有可能打到埃塞俄比亚去了,这个费用怎么办。
刘启诚:虽然你可以认证,但是你放进来开发的业务是没办法认证的。
田民:这是一个很大的问题。
李宝华:像你谈到的应用确实存在,苹果的模式现在各家在效仿,其实个人开发软件苹果认证之后来发布,谁使用多了排名往前走。确实存在一个问题,苹果凭什么验证这个软件是安全的,这个软件没有遗留一些后门,开发者称为钩子,他有可能今年不用,明年不用,后年使用。
运营商也很注意通过互联网的形式发布自己的业务,来提供一些收费的服务。比如说像现在的手机支付等等,会有一些传统安全的问题,结合电信的安全问题就会有一些事件。比如说WAP安全就会得到一些后台数据库,通过他接入到网上营业厅进入到移动计费系统,得到他的CRM或者是全部用户订购关系。
IP化之后进入核心网络得到整个HRI数据库不是不可能的。如果能够进入到IMS网络一些IT设备,就可以访问到他的核心系统、核心应用,如果对他的应用同时熟悉,就可以获得他应用最为敏感的信息。这些信息可以带来很大的利益,就可以驱使很多人做这个事。攻击一个网络不是很难,比如说美国国家最核心的这些网站还是能被攻克,有一些利益在里头的时候,往往会驱动人们做这个事情。
移动的应用在提供便利、减少运营成本的同时,也给这些黑客带来很大利益的可能,所以会成为这些黑客去攻击的一个重点。
田民:利益作为驱动越来越明显。
刘启诚:以前黑客是技术,现在都是商业。
徐斌:手机对PC还有一个问题,就是像Windows人家关注度比较高,有漏洞之后微软有补丁,作为厂家处理。包括现在诺基亚这个版本是08年11月的,明知道后面有一个特殊代码发短信过来之后,收不到短信,只有格机之后才能恢复正常了。诺基亚到现在都解决不了这个问题。他没有后续的补丁、版本更新都没了。
