中国互联网安全大会聚焦手机安全

    ■徐晶卉

    利用手机充电器，一向封闭的苹果iOS系统也会中毒；64%-85%的安卓系统漏洞，竟然都是国内外手机厂商系统定制而生的安全隐患……日前，由中国互联网协会和国家计算器网络应急技术处理协调中心（CNCERT/CC）牵头、奇虎360主办的2013中国互联网安全大会上，“聚光灯”集中在手机安全问题上，并曝光了大量最新的互联网安全问题。

    有专家指出，面对手机端灵活多变、难以预测的应用安全问题，目前美国已开始试图通过大数据建模自动对付这些威胁，这对于中国未来的移动安全发展或有参考意义。

    系统安全漏洞不减反增

    在大会上，来自美国佐治亚理工学院的博士生宋程昱做了现场演示，一台恶意充电器60秒就“黑”掉了苹果手机，并且“移花接木”，将手机中的Facebook替换为山寨恶意软件。

    据宋程昱透露，这种最新的山寨充电器名为“Mactans”，中文名“黑寡妇”，不需要“越狱”，只需与手机连接即可完成攻击，“它可在用户不知情的情况下，偷偷为手机安装任意应用并将其隐藏，偷窥手机屏幕，窃取应用密码甚至完全操控手机。”

    前不久，国家互联网应急中心发布信息，安卓操作系统存在一个绕过签名验证的高危漏洞。对此，北莱罗讷州大学教授、奇虎360公司首席科学家蒋旭宪认为，这些致命的安全漏洞可能与国内外主流安卓手机厂商的定制系统有关，64%-85%的安卓系统漏洞都是系统定制引起的，其中包括国内外流行的8个厂商十几款安卓手机。蒋旭宪透露，恶意软件可以利用这些定制系统漏洞来获取系统权限，在后台静默安装应用以及发送钓鱼短信等，“更令人担忧的是，同一厂商的安卓手机的漏洞并不一定会随着新型号的发布而减少，反而有逐日增加的趋势。”

    安全威胁向应用层面转移

    现今的安全威胁正从底层向应用层面转移。中国工程院院士、中国互联网协会理事长邬贺铨曾盘点过2012年网络安全事件，发现属于应用层的安全事件占到1/4，而且这一特点在移动安全方面显得尤为突出。

    “在手机端，黑客更多借助恶意应用进行攻击。而一些正规应用也会出现越权行为，令人防不胜防。”奇虎360董事长周鸿祎表示，移动安全是未来大趋势，当手机等移动端出现安全问题时，不仅会出现系统慢、电量消耗大等小问题，还可能是涉及敏感数据、个人信息的严重威胁。

    数据显示，360互联网安全中心去年新增手机恶意软件样本17.49万款，感染7166万人次，比2011年增长160%。目前，仅360手机卫士每天就能拦截手机上的恶意应用、恶意插件2500款。不过微软今年3月的报告显示，得益于安全软件的免费使用，中国已成为全球恶意软件感染率最低的国家。

    记者了解到，为了阻止应用层面的安全威胁，目前美国一些新型网络安全公司已经有了新想法，就是通过大数据自动对付位置威胁。“很多APP攻击只发生一次，也可能只攻击一次，非常难以防范，靠传统的木马收集、破解是滞后的。”有安全专家表示，现在美国一些公司试图把整个网络流量的所有数据采集起来，通过服务端大数据建模，只要有任何潜在的攻击、移动，就会发现有数据会偏离模型从而发出警报，这对于中国未来的移动安全发展具有参考意义。