苹果应用开发工具xCode曝出被加入恶意代码事件后,知名游戏引擎Unity和Cocos-2d也被以同样的手法遭到篡改。这一事件很大程度上挑战了iOS以及苹果APP生态链的安全性。
尽管腾讯安全应急响应中心保守估计后认为,受xCodeGhost影响的用户数超过一亿,但到目前为止,并没有一例真实的苹果用户报告因为这个事件遭受隐私泄露或财产损失。国内几家安全研究团队只是根据XCodeGhost的运行机制,实验演练证实可以利用其漏洞进行更大规模的破坏。
除了苹果的生态链,Android系统的安全性也再一次引起业界的关注。瑞星安全研究院院长刘思宇称,面向程序开发工具的攻击是一种跨平台的攻击手段,尽管Android系统暂时没有发现该类攻击,并不代表未来不可能出现。
猎豹移动安全专家李铁军对搜狐科技表示,由于Android系统的开放性,安全问题更难解决。一般APP都会通过系统权限获取手机类型、串号、位置等信息。Android生态链,已经处处给用户设计了各种坑。
各色推广渠道完成应用落地
一位手机应用推广渠道从业人员对搜狐科技表示,Android手机应用一般使用下列几种方式进行推广:
1、最简单粗暴的预装
应用预装是最直接的一种推广方式。通过手机厂商或通信运营商渠道做应用预装,可以让自己的应用程序直达用户。此前曾有数据统计显示,预装渠道占据了Android手机出货量约20%的份额。
出于保证用户体验的目的,一款手机不可能预装太多APP,因此,预装这种方式近几年来已经变成了巨头之间的游戏。由于之前预装软件无法卸载的行为受到普遍谴责,目前已经有不少手机厂商提供了预装软件卸载功能,算是一定程度上降低了“民怨”。
这位人士对搜狐科技称,手机预装都有最低装机量的要求,一般都要10万台甚至更高的量起步,由于转化率的问题,预装量太小基本上不会有推广效果。
2、应用市场推广
应用市场是非常重要的一个推广手段。目前互联网公司的各类助手、手机硬件公司及运营商的应用市场等都是较好的渠道。
据了解,应用市场推广更多采用了付费合作方式,按不同的推广效果或推广位置会有不同的价格。小米、华为等公司的应用商店还提供了竞价方式,APP厂商可以按一次下载报价,一般价格为几毛钱或几块钱。
通过应用市场,A应用带B应用互相推广也非常普遍。比如,如果用户搜索一款APP应用时,很多情况下搜索引擎或某些厂商的浏览器会顺带推荐用户安装一些助手类软件。而在安装了某款应用,在用户不注意时,被陆续安装“XX全家桶”的情况也让用户感到恼火。
3、线下刷机
刷机商会跟各类渠道商合作,去他们库房或店面直接刷机,刷了后重新包装再销售。
这位渠道人士对搜狐科技表示,线下刷机这种方式一直游走在灰色地带。有点底线的刷机商只在手机系统中刷新的APP,而不改变系统及原来预装的APP。无底线的刷机商甚至替换原来手机的ROM。据称,为了防止自己的系统被刷机商替换掉,手机厂商一般不给刷机的机器提供质保服务。华为、VIVO等厂商也在做硬件防刷机制,刷机商如果替换这类手机的系统,会导致机器无法启动。这位渠道人士称,线下刷机更多的是利益博弈,有的手机厂商会给渠道商更多补贴,不允许渠道做线下刷机。
由于线下渠道是用户购买的最后一个环节,刷机的用户到达率会比其它方式要高,转化率、激化率会更高。据称,有些工具类的软件,线下渠道的转化率甚至能超过80%。
恶意软件诱骗用户实现落地
手机刷机后因为一般都会有几个月出货周期,见效比较慢。于是,有更加无底线的不法厂商想到了使用病毒来进行应用推广。最近,“幽灵推”(Ghost Push)这个病毒,已经在国内外迅速传播,仅猎豹移动一家的数据显示,这个病毒每天感染的手机就超过60万台,日活超过130万台。
李铁军对搜狐科技表示,这个病毒通过捆绑一些游戏、色情APP,欺骗用户下载安装,安装后就会ROOT手机,进驻手机ROM。由于在系统底层,病毒权限比杀毒软件还要高。杀毒软件解决不了ROM中的病毒,病毒甚至能把杀毒软件卸载掉,被感染的机器越来越多。要想清除病毒,只能通过刷机的方式来解决。当病毒安装的量足够多后,就开始在系统里安装要推广的应用。据称,在“幽灵推”的安装列表中,至少有160多个APP。以每天安装3-5个应用来计算,按常规推广价,每推广一个APP的价格在0.X到2-3美元不等,估计每个中毒手机能给病毒传播者带来至少2-3美元的收入。
除了各类推广给Android手机用户带来的坑,各种应用也会得用Android系统的权限,获取用户设备的数据,甚至隐私。据了解,几乎每个APP都会获取用户的手机串号等信息,理由是更好地做适配,为用户提供更好的交互体验。一位上市网络安全公司要求匿名的安全专家对搜狐科技表示,每个Android APP都会连网,向开发者指定的服务器传输一些机器甚至个人的信息。开发者用这些信息,除了优化APP,给用户提供更好的使用体验外,利用一些个人数据,通过大数据分析的方式,也能获得更多情报信息。而利用社会工程学手法,让用户安装有诱惑性的应用,则会实现有针对性的攻击。
趋势科技信息安全研究及通讯总监、白帽黑客Rik Ferguson给搜狐科技显示了一个典型的Android手机攻击过程。通过安装带有恶意代码的应用,黑客可以远程启用被感染手机的通话、短信监测功能,可以查询、监听通话及短信内容。病毒甚至会自动启动手机的麦克风、摄像头,监听监看手机周边的情况。
(感染Android手机后,Rik可以远程获得此手机的通话录音及短信)
当然,Rik的演示已经属于病毒的范畴。绝大多数Android应用拿到的用户信息并不涉及隐私信息。李铁军表示,一般软件还是比较规矩的。获取联系人、短信列表的APP,如果用户不允许,也会被安全软件当恶意软件拦掉。大多数中小APP应用通过显示广告来盈利,会消耗用户更多数据流量,而恶意软件主要是通过恶意推广,骗取推广费,或者诱骗用户对其些功能付费。
良好使用习惯是保护个人隐私的重点
很多用户对手机端的网络安全并没有多少概念。
目前出厂的手机,一般都预装一款安全软件。李铁军对搜狐科技表示,在Android平台上,由于国内大多数APP都会要求拿到更多的系统权限,以便获得用户更多个人信息,使用安全软件保护自己的个人隐私还是很有必要的。如果安全软件检测到诸如手电筒软件要读取手机通讯录、通话记录、短信等信息的情况,这类软件最好还是直接卸载为好。
李铁军表示,克制自己的好奇心,不要随便安装不明应用更重要。在正规应用都会读取用户相关信息的时代,不明应用隐藏着更多隐患。黑客更善于利用社会工程学原理,通过诱惑手段骗取用户点击安装恶意软件。
在缺乏有效监管的情况下,不管是出于改善用户体验获取设备信息、记录用户使用行为,还是恶意推广、窃取用户隐私,在移动终端上都会长期存在。不管是Android还是iOS平台,用户仍然需要通过各种手段,保护自己的信息安全,同各类行为斗智斗勇。