移动互联网是信息时代发展的必然趋势。然而,以智能手机为代表的移动终端,在通过某些恶意应用程序访问互联网时,存在巨大的安全隐患。复旦大学的最新调查显示,国内众多围绕安卓(Android)操作系统为主的应用商城不断涌现大量恶意程序,这些程序恶意泄露隐私行为,威胁广大用户。
移动互联网利用智能手机,以小巧轻便、通讯便捷等特点,迅速成为信息时代潮流中最为汹涌的一浪,形成主流。当人们无拘无束、随时随地用手机上网冲浪、享受各类应用程序时,未曾想过,某些恶意程序正扮演着“叛徒”的角色,出卖机主隐私信息,威胁移动信息安全。
中国智能手机的用户数已达2.52亿人,Android系统的中国市场占有率为58%。2012年第一季度Android手机安全报告称,全球的Android系统安全威胁中,中国大陆地区以26.7%的比例高居首位,其中以隐私信息窃取为目的的恶意软件高达24.3%,居所有恶意行为之首。大量Android系统用户的隐私信息面临泄露的风险。
为了更好地研究国内安卓系统应用商城程序泄露用户隐私的问题,复旦大学计算机科学技术学院的研究团队在今年6月,选取了国内具有代表性的七大应用商城中330个热门应用程序进行模拟安全检测。结果表明,七大应用商城的总体泄露率达58%,这意味着将近六成的Android应用程序存在问题和约8500万人受到隐私泄露威胁。另一项研究数据显示,在某应用商城40个最热门的应用中,存在泄露问题的有25个,根据下载量推算,92万用户的隐私信息“被出卖”。
智能手机区别于普通手机的地方在于可以安装应用程序,使得移动设备拥有很多高附加值的信息和资源。这些信息和资源不仅包含个人的手机信息、身份信息,甚至还有诸多账号信息,诸如邮件、网购。
据移动应用分析公司Flurry的报告指出,2011年国内的Android应用下载总量较2010年增长了870%,其中只有20%左右出自于Android官方商城,其余则来自于国内的Android应用商城。据不完全统计,国内应用商城累计已超过70家,由众多电信运营商、设备制造商、互联网企业构成的大型、正规的应用商城至少有7家。在2012年一季度,各大商城的应用程序下载量增长了300%。
鉴于Android系统采用应用商城进行程序发布的模式,人们只能通过应用商城来下载应用。同时由于国内尚未建立健全应用程序、应用商城审查环境,让很多不法分子钻了“空子”。恶意程序开发者直接将恶意程序上传到商城,进行兜售。同时,一些不法商城,将原本安全的应用,植入恶意程序,“再加工”后提供下载。
当人们无意间下载、安装和使用这些恶意应用后,往往会有以下几种危害:窃取用户隐私信息、恶意扣费、资源消耗、远程控制和系统破坏。其中威胁的是应用程序泄露隐私的行为。恶意应用程序在收集用户的隐私信息后,借助网络接口、短信通道等各种方式将用户隐私信息传送出去。诸如通讯录、通话记录、
手机号码、设备信息、位置信息、各类账户信息、邮件信息以及安装在手机中的程序信息,这些隐私信息无一成为恶意应用程序“劫持”的对象。
系统二次开发待研究 审查机制“需完善”
Android系统是谷歌公司开发的一种开源操作系统。开源是一把“双刃剑”,一方面使得应用开发者轻松开发出应用,另一方面也注定了这些应用十分容易被修改和植入恶意行为。同时对于一些大型手机设备厂商来说,Android系统的开放性使得该系统可以二次开发、深度定制符合设备的“Android系统”。
因此,上海复旦大学计算机学院研究小组在进行Android应用程序隐私泄露问题试验时,也设计、模拟了一个Android系统。在基于国内外研究成果和工具的基础上,研究小组充分考虑了Android系统基于权限的安全保护机制,提出了一套动、静态程序分析技术结合的检测隐私信息泄露的自动化审查框架。
该框架不仅可以精确确认被传出去的隐私,也可以被视为一个Android应用程序安全性检测工具的雏形。
造成隐私安全问题不断扩大的关键原因有二:一是应用商城缺乏对上架的应用程序进行审查的机制和工具,二是Android系统自身采用的给予权限的安全机制存在固有缺陷。
国家“千人计划”专家、复旦计算机科学技术学院王晓阳院长呼吁,当务之急是要完善审查检测机制。首先,政策层面上需针对应用程序开发者制定一个开发标准。其次,通过法律法规手段,对新旧应用程序都要进行检测,过得了“照妖镜”的,方能上架。最后,务必加强对应用商城的管理,经过商城发布出去的应用若出了问题,商城负有连带责任。
“应用程序的安全检测工具,在我们的实验室已有雏形。”王院长告诉记者,但是治病要标本兼治,“以提高安卓系统的安全性为突破口,增强中国的移动互联网安全保护能力已刻不容缓。针对Android的二次开发已是箭在弦上。”复旦大学在计算机系统软件和信息安全等领域有独特的学科优势和积累,建有国内唯一一家设在计算机学院内的国家保密学院,如果能够在此方向上得到重视与支持,有望在较短时间内依托现有成果完成相关原型系统的研发工作,可提供给国防和国家安全领域的专业用户使用,也可为产业界提供坚实的技术支撑。