监管部门需细化各方自律、管控义务
近日,复旦大学计算机学院院长王晓阳以及系统安全研究专家杨珉发布了一项“安卓智能手机用户隐私泄露情况”报告,报告对7个国内安卓应用商城的330项热门手机应用程序进行了调查,发现手机用户的总体信息泄露率近6成,同时其它平台的智能手机也存在不同程度的个人隐私泄露隐患。
事实上,不仅隐私泄露,随着3G进入快速发展期,移动互联网遭到攻击的可能性正不断增加。据某安全公司统计,2011年手机恶意软件高达20000余款,同比增长超200%。“目前,移动互联网安全威胁已进入集中爆发期,值得产业各方重视与积极应对。”中国移动通信研究院安全所相关专家表示。
与2G时代相比,移动互联网的安全形势更加严峻。
首先,移动互联网业务的个人属性导致更多的用户信息容易遭受攻击。“与2G的语音和短信业务相比,移动互联网应用较多带有强烈的个人标记,每一项应用都或多或少涉及到用户的数据和信息安全问题。”中国移动通信研究院安全所相关专家表示。
丰富的移动互联网应用使得安全攻击更加多样化。传统的通信网络中用户可使用的业务较少,因此面临的安全威胁也主要围绕语音与短信业务,而现阶段,用户可以将通讯录保存在网络中,可以根据位置信息获取附近的酒店等信息,可以利用开心网等社交平台扩展自己的社会关系……随着用户与网络的交互方式越来越复杂,也带来了通讯录外泄、位置暴露、个人身份信息与社会网络关系曝光等相关安全问题。
其次,移动互联网业务的开放性导致攻击更加容易。“2G时代用户与Internet发生的交互较少,而移动互联网时代用户则更加侧重于与Internet的连接,并且用户访问Internet的频率越频繁,遭到安全攻击的概率也越大。”某安全专家指出。
再次,费用支出渠道的扩大也将导致用户遭受更大的经济损失。2G网络中,用户的费用主要产生于语音、短信和浏览网页的费用,用户比较容易控制费用的支出情况。而移动互联网中用户则可能因为订购业务、下载应用等产生费用,而攻击者通常利用这些渠道对用户发起攻击获取利益,使用户遭受经济上的损失。同时,随着移动支付的逐步普及,用户的费用支出又增加了额外的途径,未来用户遭受的潜在经济损失也将进一步增强。
防护现状令人堪忧
移动互联网的特点之一是用户业务数据与信息保存在业务平台上,用户通过网络远程访问业务数据。因此,要保证移动互联网的安全,需要从“云、管、端”即终端、传输通道以及业务提供平台三方面共同打造安全体系。“目前,移动互联网安全体系搭建尚处初始阶段,仍面临多方面的困境。”受访业内安全专家表示。
在终端侧,安全防护能力相对充足。安全厂商如360、网秦等均可以提供终端本地安全解决方案,提供恶意病毒检测、木马防护、网站地址扫描等安全保护手段,从而保证终端能够抵御来自网络的恶意攻击。
但是这些解决方案也仅限于提供本地安全解决方案,没有对传输通道和业务提供平台提供安全防护。“这类安全防护手段面向最终用户而不是运营商和业务提供者,因此只能提供部分移动终端本地的安全防护能力,无法提供数据传输以及业务平台领域的安全防护。”分析人士指出。
传输通道上,运营商缺乏对传输信息中恶意攻击的识别能力与限制能力。“受限于现有技术能力,运营商一旦需要从所有传输消息中识别出恶意攻击信息,将极大降低通道的传输效率。据测算,如果对传输信息提供安全过滤,需要对所有传输的信息进行深度检测,将会导致网络信息传输效率降低至正常的15%左右,极大地影响了用户的使用感受。”中国移动通信研究院安全所相关专家表示。
