近日,據(jù)相關(guān)媒體報道:即時通訊工具WhatsApp的網(wǎng)頁版存在威脅漏洞,通過這一漏洞,黑客可以散布危險惡意程序來感染用戶的電腦。由于,whatsApp用戶的數(shù)量巨大,預計全國將有2億用戶可能受到該漏洞的威脅。
據(jù)稱,WhatsApp上出現(xiàn)的安全漏洞很容易被黑客利用:黑客借助一個WhatsApp賬號就可以輕而易舉的將BAT檔案發(fā)給以電子名片的名義發(fā)給用戶,不明用戶只要點開這個名片就會自動啟動這個檔案內(nèi)的惡意程序。黑客通過這個惡意程序可以感染用戶的電腦或是竊取用戶的個人信息等。
雖然WhatsApp官方在第一時間就對漏洞進行了修復,但是據(jù)其方面透露,在V0.1.4881之前的所有版本已經(jīng)受到漏洞影響。官方建議用戶盡快更新最新的應用程序以免受到感染和損失。
APP安全隱患問題再次進入人們視線。
APP安全隱患
APP應用市場如此廣闊,單是對于IOS 和android 這兩大操作系統(tǒng)APP市場來說,用戶涉及的面就很難估量,更何況還有其他的平臺。
IT之家2014年的APP數(shù)量的調(diào)查數(shù)據(jù)
這還僅是2014年的數(shù)據(jù),相信照著這個趨勢,現(xiàn)在市場的APP恐怕應該更多。如此之大的APP數(shù)量,當安全隱患顯現(xiàn)時,想必其影響也是巨大而深遠的吧。
IOS
雖然蘋果聲稱一直擁有自己的操作系統(tǒng),安全性較強,但是在APP安全漏洞方面也未能幸免。
2014年,國外研究機構(gòu)IOActive Labs的研究人員阿里爾·桑切斯就曾測試過蘋果iOS平臺上的40款移動銀行App。結(jié)果顯示這些APP幾乎都未實施基本的安全保護措施,安全漏洞隨時可能出現(xiàn)。
2015年07月,安全專家Vulnerability Lab的安全研究員Benjamin Kunz Mejri在蘋果公司的App Store和iTunes發(fā)票系統(tǒng)中發(fā)現(xiàn)了一個重大安全漏洞:公會這可以通過漏洞來發(fā)出指令、操控發(fā)票。據(jù)稱:該重大的注入缺陷是應用程序端輸入驗證web漏洞。
Android
Android系統(tǒng)下的安全漏洞現(xiàn)狀更是不容樂觀,去年10月阿里巴巴就曾對Android 系統(tǒng)下的APP進行過檢測,結(jié)果顯示:近97%的APP都存在漏洞問題,每個APP上的漏洞竟高達40個。
下面是阿里巴巴的分析報告:
今年的7月份,360手機安全研究團隊vulpeckerteam曾提交過一個安卓APP新型安全漏洞:“寄生獸”。超過千萬的APP將受到影響。
據(jù)稱,“利用該漏洞,攻擊者可以直接在用戶手機中植入木馬,盜取用戶的短信照片等個人隱私,甚至盜取銀行、支付寶等賬號密碼等。特別是常用的輸入法類、地圖類、瀏覽器類應用都在,也包括百度、騰訊、阿里等眾多廠商的產(chǎn)品,如搜狗輸入法、百度輸入法等”。
9月13日,國家計算機病毒應急處理中心通過對互聯(lián)網(wǎng)監(jiān)測發(fā)現(xiàn)一種感染安卓手機的新病毒Android/SmsSpy.ccr。
據(jù)報道,該病毒可以獲取以下權(quán)限,“讀取手機狀態(tài);接收、讀取、發(fā)送短信內(nèi)容;訪問網(wǎng)絡(luò)連接;運行程序讀取或?qū)懭胂到y(tǒng)設(shè)置;讀寫內(nèi)置SD卡;自動編寫短信和訪問聯(lián)系人信息;使程序開機自動運行并獲取當前最近運行任務的有關(guān)信息;允許用戶喚醒機器、程序修改全局音頻設(shè)置;允許程序訪問有關(guān)GSM網(wǎng)絡(luò)信息和WIFI網(wǎng)絡(luò)狀態(tài)信息等”。
目前市場上智能手機占據(jù)著強有力的一個地位,而這些智能手機中,要數(shù)安卓機占據(jù)的市場份額最多。
市場上,許多手機生產(chǎn)商用的都是安卓系統(tǒng),包括小米、酷派、華為等如此一來,安卓系統(tǒng)的開源性就導致很多的手機廠商可以任意修改個別設(shè)置和自由安裝,那么這就很容易導致安卓手機的安全性得不到保證,危險也就增多。
據(jù)統(tǒng)計,目前市場上出現(xiàn)的APP安全漏洞主要是安卓系統(tǒng)上的,看來,安卓系統(tǒng)的安全漏洞確實較之蘋果的IOS系統(tǒng)更勝一籌。
那么這些APP的背后,究竟是誰在操縱著這一切呢?
安全漏洞的幕后
這是一個復雜的黑色生產(chǎn)鏈,其中涉及到的操縱者包括:APP開發(fā)商、移動平臺廣告商、手機生產(chǎn)商、某些不法創(chuàng)業(yè)團體等。而這一切的來源就是所謂的:利益驅(qū)動。
利益是人們開發(fā)如此多APP的最大動力,也是安全隱患產(chǎn)生的最根本的原因。
一、APP開發(fā)商
很多的APP上的漏洞都是由一些簡單的錯誤編碼或參數(shù)使用不當所導致,開發(fā)者寫錯一個編碼或是將參數(shù)稍微的變動一下,那么APP上的關(guān)鍵數(shù)據(jù)就很有可能被暴露從而帶來安全問題。
再加上有些開發(fā)商在后期檢測中不會主動去注意這些看似相對較小的細節(jié)問題,沒有對APP進行重新的改進,安全問題就很容易出現(xiàn)。
對于許多的APP開發(fā)者(尤其是那些違規(guī)的APP生產(chǎn)商)而言,他們的目的就是要創(chuàng)造出更多、更吸引人購買的APP應用程序。這種相對功利性或者說是任務性的工作意識讓他們在開發(fā)這些APP時往往忽略掉一些安全性方面的考慮。
而且在推廣這些APP時或許也沒有進行反復的考量和檢測,就匆匆的上市發(fā)布,這樣出來的產(chǎn)品或許會賣得好價錢,但是對于用戶而言,或許后期的損失可能比這個價錢還要多。
對于那些急功近利的違規(guī)APP生產(chǎn)商,利益的驅(qū)動也許會讓他們鋌而走險,在APP中直接嵌入某些病毒和惡意程序,如果這有這樣的事情發(fā)生,那么后果更是不敢想象。
二、移動平臺廣告商
據(jù)最新的中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)發(fā)布的第36次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》顯示:截至2015年6月,中國網(wǎng)民規(guī)模達6.68億,互聯(lián)網(wǎng)普及率為48.8%;中國手機網(wǎng)民規(guī)模達5.94億,占比提升至88.9%。
中國已經(jīng)進入移動互聯(lián)網(wǎng)全民時代,大數(shù)據(jù)的優(yōu)勢對于生產(chǎn)商來言逐漸變得重要而必要。
因此,許多廣告商都在試圖去搜集大數(shù)據(jù),以期為自己所用。而移動應用平臺的快速發(fā)展更是給這些商家提供了更加便利的途徑。
下面是艾瑞咨詢“中國移動應用廣告平臺市場規(guī)模研究報告”
如此龐大的市場前景,必然也會出現(xiàn)魚龍混雜的情況。
無論是手機還是手機號碼而言,這都是相對穩(wěn)定性的因素。通過APP預先設(shè)定的程序收集設(shè)備識別信息、地理位置等必要的信息可以幫著廣告商適時而又準確的將廣告投放到對應的用戶中(廣告商利用APP的“針對性”將廣告嵌在應用程序中,待用戶啟動APP時就自動彈出或顯示),而APP的開發(fā)者當然也會因此而獲得相應的利益分紅。
對于非正規(guī)的廣告商和APP的開發(fā)者而言,這種方法的選擇等于是一舉兩得,即節(jié)省了廣告商在發(fā)布廣告時所產(chǎn)生的中間費用又能夠有效的控制廣告目標用戶的準確性,保證廣告的有效性。
對于APP開發(fā)者而言,這樣的交易對于它們來說等于是只賺不賠,何樂而不為?
三、不法手機生產(chǎn)商和創(chuàng)業(yè)團體
手機作為APP的移動終端設(shè)備,它們的存在就是給這些品種繁多的APP們使用。一般情況下,手機中并不會搭配APP進行出售,除非是客戶提出要求。但是也會有些手機生產(chǎn)商(這里就不得不提到中國的山寨手機和水貨手機)通過在手機中安裝APP來達到獲取用戶信息以及發(fā)布信息賺取利益的目的。
一些違規(guī)的手機生產(chǎn)商或創(chuàng)業(yè)團體(如那一批批的水貨軍和行貨軍)甚至為達目的向用戶出售已經(jīng)安裝過某些特定APP的手機,將惡意軟件或廣告嵌在手機中,依次來達到惡意扣費或是強制宣傳推廣等目的。
例如:據(jù)相關(guān)媒體爆料:一些走私版HTC智能手機在出廠時就曾內(nèi)置過MobileReader的看書軟件,這些軟件會收費,稍不注意,就會向用戶收取高額的增值稅。
三星i9200智能手機也曾被爆料稱:正品行貨手機開機后已經(jīng)內(nèi)置了360手機安全衛(wèi)士、youni短信等眾多軟件,雖然無害但是依舊會影響用戶的正常生活。不過后經(jīng)證實,這些APP是通過一些專門的“一鍵刷機”軟件刷入手機之中,并非三星官方安裝。
在生活中,我們還可以經(jīng)??吹较旅孢@類的APP安全隱患。
例如:廣告中、活動現(xiàn)場等經(jīng)??吹?ldquo;買某某送手機”、“參與抽獎送手機”等等企業(yè)宣傳推廣的案例。
這些類似的營銷模式下,廠商抓住消費者“貪便宜”的心理將攜帶有惡意目的APP裝在手機中來進行自己的違法宣傳推廣活動。
結(jié)語:
在信息全球化的今天,我們每個人都在享受著便捷帶給我們的實惠,但是在這些便捷之后,請記?。阂搽[藏著危險!
垃圾短信、WAP網(wǎng)站、流氓軟件、木馬病毒軟件等時時刻刻都在威脅著人們的信息安全。有一天,突然一覺醒來,你是否會注意到自己的話費被扣、自己的銀行卡被盜刷、手機內(nèi)的信息被泄露等等APP安全漏洞問題。
APP安全問題的復雜以及其幕后形式的狀況凸顯了我們APP市場的龐大和形勢的嚴峻。
每一個新的行業(yè)的興起就必然會出現(xiàn)某些傷害用戶利益的事情存在,監(jiān)管部門的“沒有及時發(fā)現(xiàn)和解決”就往往給了這種邪惡勢力繼續(xù)下去的機會,這何嘗不是另一種意義上的漏洞呢?
雖然近年來,關(guān)于APP方面的政策也時有提出:如:2012年6月,工信部就出臺了《關(guān)于加強移動智能終端進網(wǎng)管理的通知》(征求意見稿);2013年11月,工信部發(fā)布《關(guān)于加強移動智能終端進網(wǎng)管理的通知》;以及北京市出臺的《北京市APP應用程序公眾信息服務發(fā)展管理暫行辦法》、《北京市即時通信工具公眾信息服務發(fā)展管理暫時規(guī)定實施細則》、《北京市互聯(lián)網(wǎng)新技術(shù)新業(yè)務審批暫行辦法》等等。
但是由于APP行業(yè)的復雜,監(jiān)管始終收效甚微。
希望APP安全問題盡快得到解決,以保證APP行業(yè)的健康發(fā)展。