“云和管”为移动互联网安全薄弱环节令人堪忧

近日,复旦大学计算机学院院长王晓阳以及系统安全研究专家杨珉发布了一项“安卓智能手机用户隐私泄露情况”报告,报告对7个国内安卓应用商城的330项热门手机应用程序进行了调查,发现手机用户的总体信息泄露率近6成,同时其它平台的智能手机也存在不同程度的个人隐私泄露隐患。


事实上,不仅隐私泄露,随着3G进入快速发展期,移动互联网遭到攻击的可能性正不断增加。据某安全公司统计,2011年手机恶意软件高达20000余款,同比增长超200%。“目前,移动互联网安全威胁已进入集中爆发期,值得产业各方重视与积极应对。”中国移动通信研究院安全所相关专家表示。
与2G时代相比,移动互联网的安全形势更加严峻。
首先,移动互联网业务的个人属性导致更多的用户信息容易遭受攻击。“与2G的语音和短信业务相比,移动互联网应用较多带有强烈的个人标记,每一项应用都或多或少涉及到用户的数据和信息安全问题。”中国移动通信研究院安全所相关专家表示。
丰富的移动互联网应用使得安全攻击更加多样化。传统的通信网络中用户可使用的业务较少,因此面临的安全威胁也主要围绕语音与短信业务,而现阶段,用户可以将通讯录保存在网络中,可以根据位置信息获取附近的酒店等信息,可以利用开心网等社交平台扩展自己的社会关系……随着用户与网络的交互方式越来越复杂,也带来了通讯录外泄、位置暴露、个人身份信息与社会网络关系曝光等相关安全问题。
其次,移动互联网业务的开放性导致攻击更加容易。“2G时代用户与Internet发生的交互较少,而移动互联网时代用户则更加侧重于与Internet的连接,并且用户访问Internet的频率越频繁,遭到安全攻击的概率也越大。”某安全专家指出。
再次,费用支出渠道的扩大也将导致用户遭受更大的经济损失。2G网络中,用户的费用主要产生于语音、短信和浏览网页的费用,用户比较容易控制费用的支出情况。而移动互联网中用户则可能因为订购业务、下载应用等产生费用,而攻击者通常利用这些渠道对用户发起攻击获取利益,使用户遭受经济上的损失。同时,随着移动支付的逐步普及,用户的费用支出又增加了额外的途径,未来用户遭受的潜在经济损失也将进一步增强。
防护现状令人堪忧
移动互联网的特点之一是用户业务数据与信息保存在业务平台上,用户通过网络远程访问业务数据。因此,要保证移动互联网的安全,需要从“云、管、端”即终端、传输通道以及业务提供平台三方面共同打造安全体系。“目前,移动互联网安全体系搭建尚处初始阶段,仍面临多方面的困境。”受访业内安全专家表示。
在终端侧,安全防护能力相对充足。安全厂商如360、网秦等均可以提供终端本地安全解决方案,提供恶意病毒检测、木马防护、网站地址扫描等安全保护手段,从而保证终端能够抵御来自网络的恶意攻击。
但是这些解决方案也仅限于提供本地安全解决方案,没有对传输通道和业务提供平台提供安全防护。“这类安全防护手段面向最终用户而不是运营商和业务提供者,因此只能提供部分移动终端本地的安全防护能力,无法提供数据传输以及业务平台领域的安全防护。”分析人士指出。
传输通道上,运营商缺乏对传输信息中恶意攻击的识别能力与限制能力。“受限于现有技术能力,运营商一旦需要从所有传输消息中识别出恶意攻击信息,将极大降低通道的传输效率。据测算,如果对传输信息提供安全过滤,需要对所有传输的信息进行深度检测,将会导致网络信息传输效率降低至正常的15%左右,极大地影响了用户的使用感受。”中国移动通信研究院安全所相关专家表示。
并且,由于传输数据与用户个人信息相关,受政策限制,运营商不能随意检查,这也进一步给运营商识别恶意攻击设置了障碍。
而对于业务提供者,通常缺乏为用户提供安全防护的意愿。由于进行安全防护将会给应用平台带来额外的检测支出,而且并不会为应用平台带来利润,因此应用平台通常不会对用户的信息提供良好保护。
用户需控制渠道风险
目前,移动互联网安全问题正逐步凸显,这需要政府监管部门、业务提供者、运营商、终端用户等产业各方提高重视,协同合作以实现全方位的安全防护。
首先,作为移动互联网的主管部门之一,工信部应牵头制定相关标准。“只有工信部制定了相关标准,规定了产业各方的权利和义务,运营商和业务提供商才能‘照章办事’,并将安全责任落实到位。”分析人士指出。
目前工信部已根据移动互联网的发展出台了《移动互联网恶意程序监测与处置机制》、《关于加强移动智能终端进网管理的通知》等规定,为解决移动互联网安全问题提出了要求。但仅有规定是不够的,工信部需要加强对业务平台、运营商以及终端生产商的监管,确保规定和要求得到贯彻执行,如此才能真正保障用户的安全。
其次,运营商作为传输管道,在一如既往地加强对扣费行为的监督和管控之外,还应在条件允许的情况下,通过包检测等技术对通信网络内传输的信息进行分析,鉴别出恶意攻击并拦截,从而防止攻击者利用网络对用户发起攻击。
再次,业务平台也应当加强自律,禁止私自收集用户信息侵犯用户安全,并且应根据工信部和国家相关部门的规定,对业务服务器提供安全防护能力,并对用户信息的访问进行限制,确保只有用户授权的情况下才能访问用户信息,从而防止用户信息从业务平台外泄。
最后,用户也应当提高安全意识,积极利用安全软件提升手机本地安全防护级别,并且尽量从正规渠道下载更新应用,并对可疑应用和操作要求提高警惕,从而防止因误操作导致恶意攻击成功。

移动信息化交流QQ群:一号群:211029692 二号群:344692795 CIO交流群:316076815(需认证)