蘋果應(yīng)用開(kāi)發(fā)工具xCode曝出被加入惡意代碼事件后,知名游戲引擎Unity和Cocos-2d也被以同樣的手法遭到篡改。這一事件很大程度上挑戰(zhàn)了iOS以及蘋果APP生態(tài)鏈的安全性。
盡管騰訊安全應(yīng)急響應(yīng)中心保守估計(jì)后認(rèn)為,受xCodeGhost影響的用戶數(shù)超過(guò)一億,但到目前為止,并沒(méi)有一例真實(shí)的蘋果用戶報(bào)告因?yàn)檫@個(gè)事件遭受隱私泄露或財(cái)產(chǎn)損失。國(guó)內(nèi)幾家安全研究團(tuán)隊(duì)只是根據(jù)XCodeGhost的運(yùn)行機(jī)制,實(shí)驗(yàn)演練證實(shí)可以利用其漏洞進(jìn)行更大規(guī)模的破壞。
除了蘋果的生態(tài)鏈,Android系統(tǒng)的安全性也再一次引起業(yè)界的關(guān)注。瑞星安全研究院院長(zhǎng)劉思宇稱,面向程序開(kāi)發(fā)工具的攻擊是一種跨平臺(tái)的攻擊手段,盡管Android系統(tǒng)暫時(shí)沒(méi)有發(fā)現(xiàn)該類攻擊,并不代表未來(lái)不可能出現(xiàn)。
獵豹移動(dòng)安全專家李鐵軍對(duì)搜狐科技表示,由于Android系統(tǒng)的開(kāi)放性,安全問(wèn)題更難解決。一般APP都會(huì)通過(guò)系統(tǒng)權(quán)限獲取手機(jī)類型、串號(hào)、位置等信息。Android生態(tài)鏈,已經(jīng)處處給用戶設(shè)計(jì)了各種坑。
各色推廣渠道完成應(yīng)用落地
一位手機(jī)應(yīng)用推廣渠道從業(yè)人員對(duì)搜狐科技表示,Android手機(jī)應(yīng)用一般使用下列幾種方式進(jìn)行推廣:
1、最簡(jiǎn)單粗暴的預(yù)裝
應(yīng)用預(yù)裝是最直接的一種推廣方式。通過(guò)手機(jī)廠商或通信運(yùn)營(yíng)商渠道做應(yīng)用預(yù)裝,可以讓自己的應(yīng)用程序直達(dá)用戶。此前曾有數(shù)據(jù)統(tǒng)計(jì)顯示,預(yù)裝渠道占據(jù)了Android手機(jī)出貨量約20%的份額。
出于保證用戶體驗(yàn)的目的,一款手機(jī)不可能預(yù)裝太多APP,因此,預(yù)裝這種方式近幾年來(lái)已經(jīng)變成了巨頭之間的游戲。由于之前預(yù)裝軟件無(wú)法卸載的行為受到普遍譴責(zé),目前已經(jīng)有不少手機(jī)廠商提供了預(yù)裝軟件卸載功能,算是一定程度上降低了“民怨”。
這位人士對(duì)搜狐科技稱,手機(jī)預(yù)裝都有最低裝機(jī)量的要求,一般都要10萬(wàn)臺(tái)甚至更高的量起步,由于轉(zhuǎn)化率的問(wèn)題,預(yù)裝量太小基本上不會(huì)有推廣效果。
2、應(yīng)用市場(chǎng)推廣
應(yīng)用市場(chǎng)是非常重要的一個(gè)推廣手段。目前互聯(lián)網(wǎng)公司的各類助手、手機(jī)硬件公司及運(yùn)營(yíng)商的應(yīng)用市場(chǎng)等都是較好的渠道。
據(jù)了解,應(yīng)用市場(chǎng)推廣更多采用了付費(fèi)合作方式,按不同的推廣效果或推廣位置會(huì)有不同的價(jià)格。小米、華為等公司的應(yīng)用商店還提供了競(jìng)價(jià)方式,APP廠商可以按一次下載報(bào)價(jià),一般價(jià)格為幾毛錢或幾塊錢。
通過(guò)應(yīng)用市場(chǎng),A應(yīng)用帶B應(yīng)用互相推廣也非常普遍。比如,如果用戶搜索一款A(yù)PP應(yīng)用時(shí),很多情況下搜索引擎或某些廠商的瀏覽器會(huì)順帶推薦用戶安裝一些助手類軟件。而在安裝了某款應(yīng)用,在用戶不注意時(shí),被陸續(xù)安裝“XX全家桶”的情況也讓用戶感到惱火。
3、線下刷機(jī)
刷機(jī)商會(huì)跟各類渠道商合作,去他們庫(kù)房或店面直接刷機(jī),刷了后重新包裝再銷售。
這位渠道人士對(duì)搜狐科技表示,線下刷機(jī)這種方式一直游走在灰色地帶。有點(diǎn)底線的刷機(jī)商只在手機(jī)系統(tǒng)中刷新的APP,而不改變系統(tǒng)及原來(lái)預(yù)裝的APP。無(wú)底線的刷機(jī)商甚至替換原來(lái)手機(jī)的ROM。據(jù)稱,為了防止自己的系統(tǒng)被刷機(jī)商替換掉,手機(jī)廠商一般不給刷機(jī)的機(jī)器提供質(zhì)保服務(wù)。華為、VIVO等廠商也在做硬件防刷機(jī)制,刷機(jī)商如果替換這類手機(jī)的系統(tǒng),會(huì)導(dǎo)致機(jī)器無(wú)法啟動(dòng)。這位渠道人士稱,線下刷機(jī)更多的是利益博弈,有的手機(jī)廠商會(huì)給渠道商更多補(bǔ)貼,不允許渠道做線下刷機(jī)。
由于線下渠道是用戶購(gòu)買的最后一個(gè)環(huán)節(jié),刷機(jī)的用戶到達(dá)率會(huì)比其它方式要高,轉(zhuǎn)化率、激化率會(huì)更高。據(jù)稱,有些工具類的軟件,線下渠道的轉(zhuǎn)化率甚至能超過(guò)80%。
惡意軟件誘騙用戶實(shí)現(xiàn)落地
手機(jī)刷機(jī)后因?yàn)橐话愣紩?huì)有幾個(gè)月出貨周期,見(jiàn)效比較慢。于是,有更加無(wú)底線的不法廠商想到了使用病毒來(lái)進(jìn)行應(yīng)用推廣。最近,“幽靈推”(Ghost Push)這個(gè)病毒,已經(jīng)在國(guó)內(nèi)外迅速傳播,僅獵豹移動(dòng)一家的數(shù)據(jù)顯示,這個(gè)病毒每天感染的手機(jī)就超過(guò)60萬(wàn)臺(tái),日活超過(guò)130萬(wàn)臺(tái)。
李鐵軍對(duì)搜狐科技表示,這個(gè)病毒通過(guò)捆綁一些游戲、色情APP,欺騙用戶下載安裝,安裝后就會(huì)ROOT手機(jī),進(jìn)駐手機(jī)ROM。由于在系統(tǒng)底層,病毒權(quán)限比殺毒軟件還要高。殺毒軟件解決不了ROM中的病毒,病毒甚至能把殺毒軟件卸載掉,被感染的機(jī)器越來(lái)越多。要想清除病毒,只能通過(guò)刷機(jī)的方式來(lái)解決。當(dāng)病毒安裝的量足夠多后,就開(kāi)始在系統(tǒng)里安裝要推廣的應(yīng)用。據(jù)稱,在“幽靈推”的安裝列表中,至少有160多個(gè)APP。以每天安裝3-5個(gè)應(yīng)用來(lái)計(jì)算,按常規(guī)推廣價(jià),每推廣一個(gè)APP的價(jià)格在0.X到2-3美元不等,估計(jì)每個(gè)中毒手機(jī)能給病毒傳播者帶來(lái)至少2-3美元的收入。
除了各類推廣給Android手機(jī)用戶帶來(lái)的坑,各種應(yīng)用也會(huì)得用Android系統(tǒng)的權(quán)限,獲取用戶設(shè)備的數(shù)據(jù),甚至隱私。據(jù)了解,幾乎每個(gè)APP都會(huì)獲取用戶的手機(jī)串號(hào)等信息,理由是更好地做適配,為用戶提供更好的交互體驗(yàn)。一位上市網(wǎng)絡(luò)安全公司要求匿名的安全專家對(duì)搜狐科技表示,每個(gè)Android APP都會(huì)連網(wǎng),向開(kāi)發(fā)者指定的服務(wù)器傳輸一些機(jī)器甚至個(gè)人的信息。開(kāi)發(fā)者用這些信息,除了優(yōu)化APP,給用戶提供更好的使用體驗(yàn)外,利用一些個(gè)人數(shù)據(jù),通過(guò)大數(shù)據(jù)分析的方式,也能獲得更多情報(bào)信息。而利用社會(huì)工程學(xué)手法,讓用戶安裝有誘惑性的應(yīng)用,則會(huì)實(shí)現(xiàn)有針對(duì)性的攻擊。
趨勢(shì)科技信息安全研究及通訊總監(jiān)、白帽黑客Rik Ferguson給搜狐科技顯示了一個(gè)典型的Android手機(jī)攻擊過(guò)程。通過(guò)安裝帶有惡意代碼的應(yīng)用,黑客可以遠(yuǎn)程啟用被感染手機(jī)的通話、短信監(jiān)測(cè)功能,可以查詢、監(jiān)聽(tīng)通話及短信內(nèi)容。病毒甚至?xí)詣?dòng)啟動(dòng)手機(jī)的麥克風(fēng)、攝像頭,監(jiān)聽(tīng)監(jiān)看手機(jī)周邊的情況。
(感染Android手機(jī)后,Rik可以遠(yuǎn)程獲得此手機(jī)的通話錄音及短信)
當(dāng)然,Rik的演示已經(jīng)屬于病毒的范疇。絕大多數(shù)Android應(yīng)用拿到的用戶信息并不涉及隱私信息。李鐵軍表示,一般軟件還是比較規(guī)矩的。獲取聯(lián)系人、短信列表的APP,如果用戶不允許,也會(huì)被安全軟件當(dāng)惡意軟件攔掉。大多數(shù)中小APP應(yīng)用通過(guò)顯示廣告來(lái)盈利,會(huì)消耗用戶更多數(shù)據(jù)流量,而惡意軟件主要是通過(guò)惡意推廣,騙取推廣費(fèi),或者誘騙用戶對(duì)其些功能付費(fèi)。
良好使用習(xí)慣是保護(hù)個(gè)人隱私的重點(diǎn)
很多用戶對(duì)手機(jī)端的網(wǎng)絡(luò)安全并沒(méi)有多少概念。
目前出廠的手機(jī),一般都預(yù)裝一款安全軟件。李鐵軍對(duì)搜狐科技表示,在Android平臺(tái)上,由于國(guó)內(nèi)大多數(shù)APP都會(huì)要求拿到更多的系統(tǒng)權(quán)限,以便獲得用戶更多個(gè)人信息,使用安全軟件保護(hù)自己的個(gè)人隱私還是很有必要的。如果安全軟件檢測(cè)到諸如手電筒軟件要讀取手機(jī)通訊錄、通話記錄、短信等信息的情況,這類軟件最好還是直接卸載為好。
李鐵軍表示,克制自己的好奇心,不要隨便安裝不明應(yīng)用更重要。在正規(guī)應(yīng)用都會(huì)讀取用戶相關(guān)信息的時(shí)代,不明應(yīng)用隱藏著更多隱患。黑客更善于利用社會(huì)工程學(xué)原理,通過(guò)誘惑手段騙取用戶點(diǎn)擊安裝惡意軟件。
在缺乏有效監(jiān)管的情況下,不管是出于改善用戶體驗(yàn)獲取設(shè)備信息、記錄用戶使用行為,還是惡意推廣、竊取用戶隱私,在移動(dòng)終端上都會(huì)長(zhǎng)期存在。不管是Android還是iOS平臺(tái),用戶仍然需要通過(guò)各種手段,保護(hù)自己的信息安全,同各類行為斗智斗勇。