下面我想简单介绍一下我们所观察和思考到的,移动互联网的安全的主要问题,我们把它大概分成四个类别,一个是系统安全,大家比较容易理解,在智能手机上面,木马病毒恶意软件的侵害,它能导致你的手机或者个人隐私信息被窃取,还有就是通信的安全,包括基本上每个人碰到的垃圾短信和骚扰电话,包括还有恶意扣费。还有,你的手机上的个人数据,个人信息的安全,你的手机上存储的各种各样的照片、视频、录音、文件等等这些数据,很可能会面临恶意软件这样的窃取,还有你的设备,手机一旦丢失或者窃取之后,你所有里面的资料如何去保护等等。大概分为四个方面来去看智能手机,智能终端面临的安全威胁,这是我们统计的过去一年在安卓平台上面的恶意软件的样本出现的数量,可以看到,这是快速增长的趋势,大概在2012年,我们所捕获的安卓的恶意软件样本数,大概是2011年的20倍,这是非常快的增长。
在恶意软件的主要的危害里面,这是我们一个统计,主要的危害,第一个是资费的消耗,产生不必要的流量,来导致你上网资费大量被消耗。另外很重要的是隐私窃取,恶意软件通过去非法读取你的通信录,你的通过记录、短信等等窃取个人隐私,这是主要危害行为的分布。从恶意软件的传播途径来看,目前手机上的恶意软件通过应用商店或者下载站第三方的分发的平台,传播比例是最高的,大概超过60%。还有一个非常高的比例是通过Room的内置,不同的刷机,这种商店,刷机的店家里面,用户通过刷机过程中装进来,还有通过其他的像危险的危险二维码或者欺诈短信等,这都是主要的传播途径。
除此之外,所有的这些在用到的APP,大部分APP也是联网的,所以我们看到在这些应用的服务端,也普遍存在这样的漏洞,安全措施是不到位的。那么通过这样的一些漏洞,手机上的恶意软件或者黑客可以入侵到这些开发者或者服务商的服务器,类似于CSDN的事件会重新发生。现在通过手机向用户或者短信等等方式发送恶意链接,钓鱼欺诈的链接越来越多,用户点击之后启动浏览器访问恶意的页面。还有就是高危的漏洞,包括操作系统,我们所看到的漏洞实际上是非常多的,我们这两天360主办了互联网安全大会,在昨天的移动安全高峰论坛里面,我们公布了调查报告,针对目前国内外十家主流的智能手机厂商的,包括谷歌、HTC、索尼、LG、中华库联、小米,我们做了安全性的评估,我们发现市场上,所有安卓手机数量里面70%是厂商定制机厂商会对安卓系统做一定的修改,定制比例在70%。同时经过修改和定制安卓操作系统,我们发现里面有非常多的漏洞,其中有70%是定制而引入的,这种修改过程而引入了额外的新的漏洞,这基本上所有的厂商都存在,包括我们昨天在现场做了一个演示,除了手机厂商以外,更下游的手机芯片商,经济方案的厂商,驱动程序同样存在漏洞,通过微信有人给你发了链接,女神的自拍照,你点过去之后,那个页面是恶意网页,利用芯片里面的驱动漏洞,可以把你手机里的所有的个人信息,你的通讯录,你的邮件你的短信和通话记录全部获取并且传到服务器上,可以看到手机上的漏洞也是非常多的。而且很多手机上的恶意程序会利用这些漏洞能够实现非常多的行为,很多恶意APP恶意行为通过服务端,云控的方式来实现的,这个时候我们来检测其实也带来了比较大的困难。
另外一个角度我们来看,跟PC上的安全的问题相比来说,移动互联网产业链更加复杂,基本上每一个环节都可能引入安全风险,比如说刚才提到从芯片上的这个环节如果存在漏洞,就带来了风险。在手机厂商这个环节,对安卓市场的定制同样带来了大的漏洞,对移动运营商来说,每家运营商做自己的应用商店,缺乏里面的内容或者应用的监控,更不用第三方的应用市场了,非常缺乏对软件安全性的检测和审核机制。还有刚刚提到,推广渠道包括刷机这些渠道,还有就是这些APP,包括正常的这些移动互联网应用的开发商或者服务提供商来说,如果在你的自身软件和服务方面,没有安全的意识,容易导致被入侵,被篡改,包括之前所出现的浏览器、微信等等,一些主流的APP,由于错误的使用,HTML6 Web6的方法导致恶意的可能性,导致这种情况比较严重的。
针对一系列移动互联网的问题,我们考虑解决方案,首先我们把这样整个移动互联网安全体系框架,我们分为几个部分,一个就是面向主流的终端的操作系统,要实现一种安全加固的能力,当然从操作系统像安卓或者IOS,Windows Phone从他们方面会做出一些努力,尤其从国家层面来说,我们没有任何对操作系统的自主可控的能力,所以在这方面我们需要通过安全软件来实现加固。这里面有包括通过对这些软件的行为的监控,来实现软件的查杀,异常流量的监测以及对软件的安全性的分析等等一系列的技术。在安全软件里面,要实现一系列的功能。还包括我们要跟云端结合,其实360很多手机安全的产品里面,是中国利用了云计算或者云安全的技术来去实现恶意软件的查杀以及个人信息的备份、恢复一系列的功能,包括怎么建立针对智能终端,恶意软件甚至还包括手机操作系统本身的安全防范,安全测评的标准和技术。最终我们希望能够在移动互联网不同的层面去建立安全防护体系,整个框架实际上是挺大的框架,不是一个安全厂商能够完全做的,需要不同的产业链里面不同的角色,相互来去配合。
