■文/蘇雯

警惕手機(jī)使用中的安全風(fēng)險(xiǎn)

■文/蘇雯

據(jù)工信部統(tǒng)計(jì)2015年初手機(jī)用戶(hù)已達(dá)到12.9億，手機(jī)上網(wǎng)用戶(hù)突破8億以上。智能手機(jī)的廣泛使用給我們生活帶來(lái)便利的同時(shí)，也為我們帶來(lái)了一定的風(fēng)險(xiǎn)。2014年移動(dòng)安全數(shù)據(jù)報(bào)告顯示吸費(fèi)、偷跑流量、惡意廣告等等。這些傷害用戶(hù)體驗(yàn)的行為不絕于耳。安全管家對(duì)手機(jī)的惡意軟件增長(zhǎng)數(shù)量、惡意行為分布、手機(jī)應(yīng)用風(fēng)險(xiǎn)廣告等內(nèi)容分析顯示：手機(jī)成了互聯(lián)網(wǎng)安全的重災(zāi)區(qū)。惡意軟件的制造者和傳播者鎖定移動(dòng)設(shè)備的原因在于手機(jī)和平板電腦越來(lái)越擁有強(qiáng)大的力量，同時(shí)又最不受保護(hù)。

一、手機(jī)惡意軟件的目的

移動(dòng)用戶(hù)的潛在威脅很多：攻擊者可以通過(guò)查看來(lái)往短信獲得各種賬戶(hù)的憑據(jù)，他們能獲得同事、家人、朋友的聯(lián)系信息，如果用戶(hù)使用手機(jī)銀行他們甚至威脅到銀行賬戶(hù)的安全。據(jù)悉，有線網(wǎng)絡(luò)的惡意軟件數(shù)量已經(jīng)從1994年的每小時(shí)發(fā)現(xiàn)一例新軟件到現(xiàn)在的每天都有20萬(wàn)例的新軟件，移動(dòng)設(shè)備惡意軟件也出現(xiàn)了相似的趨勢(shì)。俄羅斯知名網(wǎng)絡(luò)安全公司卡巴斯基實(shí)驗(yàn)室為國(guó)際刑警組織進(jìn)行的調(diào)查發(fā)現(xiàn)，2013年8月至2014年7月之間，有大約60%針對(duì)安卓手機(jī)的惡意軟件是為竊取錢(qián)財(cái)或銀行賬戶(hù)資料而設(shè)計(jì)的。有大約340萬(wàn)名受訪用戶(hù)曾遭受惡意軟件的襲擊。2013年8月至2014年3月之間，這類(lèi)襲擊每個(gè)月都增加10倍。

研究稱(chēng)，移動(dòng)惡意軟件的主要?jiǎng)恿?lái)自于利潤(rùn)，76.5%的惡意軟件主要設(shè)計(jì)的目的是詐騙用戶(hù)錢(qián)財(cái)，而非破壞手機(jī)系統(tǒng)。盡管研究人員稱(chēng)，惡意軟件的種類(lèi)正在急劇增加，但更令人擔(dān)憂(yōu)的是“高度專(zhuān)業(yè)的惡意軟件供應(yīng)商”的出現(xiàn)。這些供應(yīng)商專(zhuān)門(mén)“提供商業(yè)化的惡意軟件服務(wù)”，惡意軟件往往通過(guò)提示用戶(hù)升級(jí)軟件誘惑用戶(hù)安裝，或者在虛假服務(wù)或招聘信息頁(yè)面提示應(yīng)用安裝請(qǐng)求。一旦用戶(hù)同意安裝，惡意軟件就會(huì)安裝后臺(tái)代碼，在用戶(hù)睡覺(jué)時(shí)撥打一系列付費(fèi)電話(huà)，或者安裝短信監(jiān)控軟件，以偷窺用戶(hù)的銀行信息。

F-Secure以一款名為“SmSilence”的惡意軟件作為例子。該軟件最初出現(xiàn)于韓國(guó)，并偽裝成為一款知名咖啡連鎖店的優(yōu)惠券應(yīng)用。一旦安裝之后，該應(yīng)用就會(huì)檢查用戶(hù)手機(jī)號(hào)是否擁有韓國(guó)國(guó)家代碼（+82）。如果符合要求，SmSilence就會(huì)從設(shè)備獲取各種信息，然后將信息發(fā)送至位于香港的服務(wù)器。Stels是一款A(yù)ndroid木馬軟件，通過(guò)假冒美國(guó)國(guó)內(nèi)收入署的名義發(fā)送郵件以實(shí)現(xiàn)傳播。這款木馬軟件使用了一套Android惡意軟件代碼，盜竊設(shè)備的敏感信息，并撥打付費(fèi)號(hào)碼，這種新的威脅形式可能會(huì)改變移動(dòng)平臺(tái)的安全狀況。

二、當(dāng)今手機(jī)安全領(lǐng)域的現(xiàn)狀

智能手機(jī)系統(tǒng)的安全性一直是輿論討論的熱點(diǎn)話(huà)題。盡管谷歌不斷表示Android系統(tǒng)是安全的，但是全球的黑客都在不斷利用新發(fā)現(xiàn)的安全漏洞制作惡意軟件，對(duì)Android系統(tǒng)不斷進(jìn)行各種攻擊。因?yàn)榕c蘋(píng)果不同的是，三星依賴(lài)谷歌和開(kāi)源社區(qū)進(jìn)行軟硬件整合。這種“開(kāi)放“的模式增加了被惡意軟件利用的機(jī)會(huì)。這些惡意軟件的運(yùn)作原理常常類(lèi)似于Windows平臺(tái)的惡意軟件。任何移動(dòng)平臺(tái)的用戶(hù)，都可能被這種包含惡意網(wǎng)站鏈接的垃圾郵件瞄上。近年來(lái)手機(jī)開(kāi)發(fā)者們都非常重視安全漏洞修復(fù)，會(huì)經(jīng)常發(fā)布系統(tǒng)更新，切斷了惡意軟件的利潤(rùn)鏈條，對(duì)基于智能手機(jī)系統(tǒng)平臺(tái)的惡意軟件行業(yè)造成嚴(yán)重打擊。他們認(rèn)識(shí)到漏洞的存在，并通過(guò)補(bǔ)丁的形式加以修復(fù)。然而絕大多數(shù)的智能手機(jī)用戶(hù)也許不會(huì)更新，這就為惡意軟件創(chuàng)造了肥沃的土壤。這使得惡意軟件正在日益發(fā)展成為鏈條完善的行業(yè)，這一點(diǎn)與Windows平臺(tái)很像。多年以來(lái)，微軟非常努力地改進(jìn)惡意軟件過(guò)濾和屏蔽工具以修復(fù)安全問(wèn)題，但這些工具影響了系統(tǒng)的性能表現(xiàn)，為用戶(hù)帶來(lái)了操作上的不便。

由于智能手機(jī)系統(tǒng)如此吸引惡意軟件，以至于安全產(chǎn)品廠商Trend Micro預(yù)測(cè)，2014年手機(jī)系統(tǒng)所遭受的各種惡意軟件攻擊次數(shù)將超過(guò)100萬(wàn)起。換句話(huà)說(shuō)，以往針對(duì)PC機(jī)的惡意軟件，現(xiàn)在都開(kāi)始將目標(biāo)對(duì)準(zhǔn)了智能手機(jī)系統(tǒng)。隨著攻擊的頻繁發(fā)生，智能手機(jī)系統(tǒng)用戶(hù)也開(kāi)始接受這個(gè)事實(shí)了。他們發(fā)現(xiàn)自己遭受了惡意軟件攻擊，導(dǎo)致自己的設(shè)備出現(xiàn)莫名其妙的問(wèn)題，自己的隱私信息被發(fā)送到不知在何處等待的惡意軟件作者那里，并被這些不法分子所利用。當(dāng)惡意軟件作者都開(kāi)始將目標(biāo)鎖定到人們每天使用的智能手機(jī)上時(shí)，信息安全世界就開(kāi)始變得相當(dāng)恐怖了，而如果用戶(hù)的手機(jī)正好是惡意軟件作者中意的手機(jī)型號(hào)，那么就更可怕了。而這恰恰就是當(dāng)今全球手機(jī)安全領(lǐng)域的現(xiàn)狀。

三、正確使用智能手機(jī)

調(diào)查發(fā)現(xiàn)，特制惡意軟件能夠在系統(tǒng)中長(zhǎng)期潛伏的針對(duì)性攻擊手機(jī)用戶(hù)。在手機(jī)使用過(guò)程中，往往會(huì)安裝很多軟件，在軟件的安裝過(guò)程中常常會(huì)遇到不知道如何鑒別軟件的正版與第三方的軟件。正確使用手機(jī)并且安裝軟件成為我們?cè)谑謾C(jī)使用過(guò)程中需要引起我們重視的首要問(wèn)題。安全風(fēng)險(xiǎn)是我們?cè)谑褂檬謾C(jī)中需要引起重視的問(wèn)題，網(wǎng)絡(luò)這個(gè)公共的平臺(tái)成為惡意軟件肆虐的平臺(tái)，手機(jī)用戶(hù)在利用越發(fā)成熟的移動(dòng)互聯(lián)網(wǎng)的同時(shí)，還有在公共場(chǎng)所的公共網(wǎng)絡(luò)使用多種移動(dòng)設(shè)備，在毫不設(shè)防的狀態(tài)下被攻擊是很常見(jiàn)的事情。

作為智能手機(jī)用戶(hù)的我們，與其關(guān)注某個(gè)安全漏洞，不如通過(guò)一些方法主動(dòng)來(lái)保護(hù)自己的智能手機(jī)和里面存儲(chǔ)的數(shù)據(jù)。

（一）安裝必要的安全軟件。智能手機(jī)應(yīng)用商店為我們準(zhǔn)備了大量行業(yè)知名安全廠商開(kāi)發(fā)的安全應(yīng)用。為了提高我們的智能手機(jī)的安全性，一定要確保下載和安裝此類(lèi)應(yīng)用。

（二）設(shè)置密碼。對(duì)于智能手機(jī)用戶(hù)來(lái)說(shuō)，有很大一部分用戶(hù)不設(shè)置系統(tǒng)密碼，認(rèn)為可以方便使用手機(jī)。如果不設(shè)置任何密碼，導(dǎo)致設(shè)備丟失后很容易被別人獲取手機(jī)內(nèi)部的數(shù)據(jù)，所以一定要給智能手機(jī)設(shè)密碼。加密設(shè)備中存儲(chǔ)的數(shù)據(jù)，和將設(shè)備放在防火墻后面一樣重要。加密，意味著就算手機(jī)被盜，手機(jī)中的數(shù)據(jù)也能保持安全。目前可供智能手機(jī)用戶(hù)

選擇的數(shù)據(jù)加密應(yīng)用很多，建議大家選擇其中加密級(jí)別最高的產(chǎn)品。

（三）關(guān)注安全新聞。這個(gè)建議可能不是人人都能想到的，但是對(duì)于智能手機(jī)用戶(hù)來(lái)說(shuō)，經(jīng)常了解安全領(lǐng)域的新聞是非常重要的。如今幾乎每天都會(huì)出現(xiàn)與設(shè)備安全性相關(guān)的重大新聞事件或者新的惡意威脅。因此及時(shí)獲知這些消息對(duì)于主動(dòng)防御來(lái)說(shuō)絕對(duì)有好處。

（四）瀏覽安全網(wǎng)站。根據(jù)近日某機(jī)構(gòu)的調(diào)查顯示，手機(jī)設(shè)備被惡意軟件攻擊的主要渠道是通過(guò)成人網(wǎng)站。因此，為了確保自己設(shè)備的安全，一定不要瀏覽那些看上去就不夠安全的網(wǎng)站，否則很容易被惡意軟件以及惡意網(wǎng)址的木馬攻擊。

（五）從可靠來(lái)源下載應(yīng)用。所有的智能手機(jī)用戶(hù)都應(yīng)該盡量避免使用惡意應(yīng)用和盜版手機(jī)應(yīng)用。智能手機(jī)只從官方應(yīng)用商店下載應(yīng)用，當(dāng)然可以實(shí)現(xiàn)這個(gè)要求，但是有些惡意應(yīng)用還是會(huì)趁虛而入。而且，由于手機(jī)系統(tǒng)是一個(gè)開(kāi)放源代碼平臺(tái)，很多用戶(hù)也會(huì)從其它各種各樣的應(yīng)用商店下載各式各樣的手機(jī)應(yīng)用，這些應(yīng)用商店的信用和安全審查水平可能比官方應(yīng)用商店的要低很多。因此在這些應(yīng)用商店下載手機(jī)應(yīng)用時(shí)應(yīng)該更加小心。

（六）連接可信任的網(wǎng)絡(luò)。在考慮手機(jī)系統(tǒng)的安全性時(shí)，很多人可能會(huì)忘記網(wǎng)絡(luò)這個(gè)因素。當(dāng)一個(gè)手機(jī)通過(guò)不安全的網(wǎng)絡(luò)連接到存放有企業(yè)重要數(shù)據(jù)的企業(yè)網(wǎng)絡(luò)上時(shí)，會(huì)發(fā)生什么樣的安全風(fēng)險(xiǎn)呢?安全的做法是使用企業(yè)的VPN連接到企業(yè)網(wǎng)絡(luò)，或從可信賴(lài)的網(wǎng)絡(luò)連接。

（七）設(shè)備追尋功能。有時(shí)候我們可能會(huì)將智能手機(jī)或平板電腦遺忘在什么地方，這時(shí)候就需要有某種追蹤鎖定應(yīng)用來(lái)幫助我們找回設(shè)備。與找回設(shè)備相比，追蹤類(lèi)應(yīng)用的另一個(gè)重要功能是遠(yuǎn)程刪除設(shè)備中存放的數(shù)據(jù)，而且這個(gè)功能要比追蹤定位更加重要，它可以確保我們的設(shè)備丟失后，不會(huì)讓我們的個(gè)人信息泄漏。

（八）升級(jí)手機(jī)系統(tǒng)。手機(jī)軟件開(kāi)發(fā)商會(huì)定期升級(jí)手機(jī)系統(tǒng)，以便解決系統(tǒng)中存在的各種問(wèn)題。但問(wèn)題是很少有用戶(hù)會(huì)習(xí)慣性的升級(jí)自己手機(jī)中的各種軟件。這一點(diǎn)很重要。建議大家盡量頻繁的升級(jí)自己手機(jī)系統(tǒng)以及其它各種應(yīng)用，因?yàn)殛惻f的系統(tǒng)和應(yīng)用可能存在嚴(yán)重和可被輕易利用的安全漏洞。

四、結(jié)論

如今手機(jī)惡意軟件的危害也越來(lái)越大，很多惡意軟件的目標(biāo)不僅是竊取用戶(hù)的手機(jī)余額，而是從銀行賬號(hào)中偷取資金。資費(fèi)消耗類(lèi)病毒的增長(zhǎng)意味著大量手機(jī)病毒都具備聯(lián)網(wǎng)功能，可以將用戶(hù)隱私數(shù)據(jù)（手機(jī)號(hào)、位置信息、IMEI號(hào)、手機(jī)短信等）上傳至指定服務(wù)器。更有甚者，當(dāng)用戶(hù)安裝了手機(jī)支付病毒后，病毒會(huì)在后臺(tái)啟動(dòng)，并監(jiān)聽(tīng)用戶(hù)短信內(nèi)容，將帶有手機(jī)支付驗(yàn)證碼的短信轉(zhuǎn)發(fā)到指定號(hào)碼，然后通過(guò)第三方支付發(fā)起快捷支付盜刷用戶(hù)銀行卡。

針對(duì)智能手機(jī)的惡意軟件在智能手機(jī)問(wèn)世的時(shí)候就已經(jīng)出現(xiàn)了，不過(guò)直到最近，在智能手機(jī)的廣泛使用，手機(jī)安全問(wèn)題才忽然成為了大眾談?wù)摰慕裹c(diǎn)。人們總覺(jué)得智能手機(jī)是相當(dāng)安全的，沒(méi)有遇到安全問(wèn)題之前是不為手機(jī)的安全性擔(dān)憂(yōu)的。智能手機(jī)用戶(hù)要重視手機(jī)安全問(wèn)題，防止不法分子有機(jī)可趁。如果用戶(hù)在手機(jī)上采取基本的安全措施，像在計(jì)算機(jī)上那樣謹(jǐn)慎地使用智能手機(jī)上，基本上就可以避開(kāi)手機(jī)惡意軟件攻擊。

（作者單位：西安政治學(xué)院）