Android成祸根：移动安全迫在眉睫

    近两年来，随着智能手机的快速普及，与之相关的安全问题的报道也越来越多地见诸于报端，据Juniper Networks的调查数据显示，2010年在移动设备上发生的恶意软件和病毒攻击数量增加了250%，而在被调查的15个国家中有5%(25,000部)的手机都在办公区域内遭受了恶意软件的袭击。此外，普遍采用的开放式Android平台，其带来的安全威胁也不容忽视。移动专业公司AdaptiveMobile的调查数据显示，恶意软件攻击Google Android移动操作系统的数量在2010年翻了4倍。与iPhone和Symbian其他智能手机相比，发生在Android平台手机上的攻击数有了明显的增加。

▲安全框架

　　让我们再来看企业环境，全球发展趋势表明，越来越多的企业允许员工使用自己的移动和无线设备进行工作交流，而员工们也期望携带自己的设备如智能手机，平板电脑等从事各项工作。Forrester研究公司的数据显示，现在全球移动办公人员的数量已超过了十亿，大约占世界劳动力人口总数的三分之一。从最基本的收发邮件，到访问公司数据、应用和网络，个人移动设备通常要兼顾个人应用和企业应用双重目的。可以预料的是，企业移动安全将成为继个人移动安全之后的另一技术热点，它将包括各种移动设备安全、移动设备管理以及终端安全等领域。

　　随着移动互联网的逐步推进，移动应用产品日趋火爆，但是目前面向企业级的应用还没有在市场上有所进展，局限在金融、证券、政府等对于安全要求非常严格的领域。大部分还是个人消费类的应用，因此个人感觉，企业级的移动安全目前还没有太大的需求。当然随着个人消费市场的日益饱和或者发展出现瓶颈之后，企业级市场同样会慢慢发展。而且企业级对于安全的需求会更为苛刻，因此未来企业级移动安全的市场前景会更加广阔。

    吸费问题由来已久

　　Android吸费问题沸沸扬扬已有半月之久，虽然业内很关注，但是很多不知情的手机用户还是对此一头雾水。

　　其实手机吸费问题由来已久，主要是通过sp增值业务扣费和流量扣费两种方式来获取利益。早在几年前运营商为了规范SP业务，提出开通业务需要短信二次确认的解决方式，即开通业务需上行订阅(点播)短信，下行确认短信给手机，用户再次发送确认短信后才开通此项服务，并且有的业务在每月初扣费时会发送短信确认是否续订。

　　但是这样的措施并不能防止类似山寨机乱扣费的问题，山寨机的系统是经过定制改编的，可能你按一下菜单键都会被扣费，因为他的系统代码里已经隐藏了猫腻，就连联发科这样的厂商都脱不了干系，MTK公司的产品因为集成较多的多媒体功能和较低的价格在大陆手机公司和手机设计公司得到广泛的应用。加上MTK的完工率较高，基本上在60%以上，这样手机厂商拿到手机平台基本上就是一个半成品，只要稍稍的加工就可上架出货了。这也正是许多黑手机都使用MTK的最主要的原因。

　　那时5块钱包月，不计流量的Wap网站开始兴起，不过因为移动那边有指标，为了推广Wap业务，移动决定sp中谁的力量高，结账时就给谁更多的钱，于是很多用不完号段的sp就把服务号段卖给更下游的cp，管控更加混乱了，比如你看个毛片，开通业务，钱打过去了，但是还是不能登录看片，就只能吃个哑巴亏。那个时候流量扣费最大的其实是用山寨机的群体，比如农民工群体，下了班也不能看电视什么就只能躺被窝里QQ聊天，上上网看看图片什么，一个月能用个好几十，比普通手机用户的月均费用多很多。

　　前段时间iphone爆出过后台推送偷跑流量的问题，但是iphone上不存在短信扣费的问题，因为app store的审核程序很严格，一般需要短信权限的这种恶意代码都会检测出来。而Android手机上，用户在安装软件时会忽略权限列表里告知你的一些权限获取项(而且这些项是不可选的)。所以很多用户并不知道有的恶意软件已经获得了短信权限，像拿了你家钥匙一样，可以进出自入了。[page]

　　大家需留意的手机权限

　　对于APK的权限，大部分用户或许在安装APK已经有所注意，但是对于一些敏感的权限可能还不够关注。机锋网论坛项目组为大家对一些“特别”的权限进行了罗列。这里主要介绍三种需要大家留意的权限：涉及隐私类、涉及系统安全类和涉及手机付费类

　　涉及隐私类

　　您的位置

　　(基于网络的)粗略位置. 　隐私权限

　　您的位置

　　精准的(GPS)位置"　　隐私权限　　系统工具

　　格式化外部存储设备　　隐私权限　　系统工具

　　装载和卸载文件系统

　　隐私权限

　　您的个人信息

　　读取联系人数据

　　隐私权限

　　您的信息

　　接收短信

　　隐私权限

　　您的个人信息

　　写入联系数据

　　隐私权限

　　存储

　　修改/删除 SD 卡中的内容

　　隐私权限

　　您的信息

　　编辑短信或彩信

　　隐私权限

　　涉及系统安全类

　　网络通信　　完全的互联网访问权限. 　　系统权限

　　涉及手机付费类

　　需要您付费的服务

　　直接拨打电话号码

　　付费

　　系统工具

　　更改网络连接性

　　付费

　　需要您付费的服务

　　发送短信付费

　　然而也请大家明白这样一点：并非有涉及此类“特别”的应用，我们就都不能安装了。关键要确定这个应用本身有没有必要获取这个权限，这个应用的开发者是不是值得信任的。[page]

    第三方应用商店如何应对

　　吸费风波后各个平台都作出了积极的应对措施。

　　机锋网的副总裁徐威特表示，机锋网主要通过以下三种途径来从源头上“摒弃”恶意吸费应用：

　　1. 在机锋市场客户端、机锋市场web端、机锋论坛各个平台推出软件使用权限提醒。本周机锋市场客户端和机锋论坛的相关功能已经上线;

▲机锋市场客户端应用权限提醒

　　2. 同金山、奇虎、网秦等安全软件及杀毒软件企业进行合作，通过他们对软件进行扫描后打上认证标志放到市场上供用户下载;

　　3. 机锋网将从应用源头----开发者层面着手,增加签名认证开发者制度,如果一个软件发生恶意吸费问题，该软件开发者的其他所有软件都会做下架处理。目前机锋市场里大概有2000-3000个开发者或团体，95%是合法的，另外5%无法判断的会被列为重点观察对象。

　　智能手机的内容服务是已APP为基础的，Android的开放性使得改写代码更加容易，而且非正常渠道的下载源又很多，给不法分子提供了可趁之机，虽然第三方平台都出台了不少应对措施，但是手机用户们还是要擦亮眼睛，具有自我保护意识，在下载安装软件时多一个心眼才行。