手机病毒:风险与日俱增

也许恶意软件开发者正在庆祝他们所获得的巨大成功。2011年3月安全专家在Android电子市场发现了超过50多个不安全的应用程序，仅在德国几天之内恶意软件就已经感染约20万的设备。这些恶意程序伪装成系统工具、游戏和色情程序，主要盗取用户个人资料，包括移动设备的国际移动用户识别码（IMEI/IMSI，通过这些信息攻击者可以假冒用户的身份，订购服务商提供的各种收费商品与服务）。一部分恶意程序不仅盗取用户信息，甚至还会操纵用户的手机发送信息，例如恶意程序AndroidOS/Fakeplayer.A，在侵入用户系统后将自动发送垃圾短信。而另一个恶意程序Android/Adrd.A与iPhone的一个蠕虫病毒iKee.B一样，在侵入用户的设备后，将连接僵尸网络的控制服务器，操纵手机在用户不知情的情况下发送垃圾邮件，并与其他僵尸网络的设备一起频繁连接指定的网络站点，发动拒绝服务攻击（DDos），并且在用户的设备上安装其他的恶意程序，例如键盘记录器，捕捉用户输入的信息，实现盗取网上银行信息等其他的目的。

这些恶意程序目前的破坏力还很有限，因为恶意程序的开发大多针对特定的系统，并且攻击方式大多利用系统特定版本的漏洞或者越狱后的设备，而如果用户使用其他系统的手机，即便是使用相关的不同版本的系统，很多时候也不具备感染的条件。不过，随着智能手机及其操作系统向某几个产品的集中，大规模爆发感染的情况未必不会发生。

攻击目标：

高市场占有率的系统

目前，移动设备的操作系统中BlackBerry的市场占有率在降低，而Symbian的智能手机数量也相当少，这些市场占有率较低的移动操作系统基本上对攻击者没有吸引力。而市场份额超过30%的Android是恶意程序开发者的首选目标，另外，苹果的iOS比较危险，一方面因为其市场占有率相对较高，另一方面则是因为系统频繁出现大的安全漏洞，例如隐藏在Safari浏览器PDF阅读器中的一个关键漏洞，将导致攻击者可以轻松访问iOS设备，通过这些漏洞我们可以越狱自己的设备，但恶意软件也同样能利用这些漏洞渗透进来。

一般来说，苹果公司会很快修复发现的漏洞，例如上面描述的漏洞在iOS4.3.4版本中已经被修复。另外，苹果和谷歌公司都会尽可能地想办法不让恶意程序开发者入侵iOS或Android，通过数字证书、权限管理和内核限制以及应用程序隔离等方法，在尽可能减少恶意程序的同时，让恶意程序即使已经安装到系统上，也只能够拥有极其有限的权限。不过，虽然两家公司采用的方法相似，但由于实施方式不同，所以实际效果有很大差异（参考本文色块中的介绍）。

数字证书：Android毫无用处

对于iOS这个饱受谴责的封闭系统来说，恶意程序侵入的难度较大。对于没有越狱的iOS设备，所有的应用程序只能够从官方的App Store获得，由于App Store只接受已经注册并交纳100美元费用的开发项目，并且苹果公司会对所有的开发项目进行检查，通过为应用程序添加数字证书，苹果公司可以为程序附加开发商信息并确保程序在安装到用户的系统中之前不会被第三方篡改，因此恶意程序混入App Store的机会比较小。另外，即使真有恶意程序通过了苹果的程序验证，并成功地在App Store上线，事后苹果公司也能够远程访问被感染的设备并删除恶意程序。

不过，数字证书对于Android来说无法提供足够的安全性，因为谷歌并不强制所有的开发商申请谷歌的数字证书，相反，开发商可以自己生成电子证书。虽然谷歌要求Android电子市场中的应用程序要加入数字证书，但是Android用户获得应用程序的渠道很多，并不是所有的开发者都将应用程序发布在Android电子市场，在不控制应用程序来源的情况下，这一保护措施有效性非常低，我们会发现在互联网上到处都是打着别人旗号的恶意程序，通过数字证书根本无法分辨。

隔离：沙盘中的iOS应用

苹果应用程序相互独立、隔离设计为系统建立了一条安全带。iOS包含“root”和“mobile”两个用户级别，应用程序以权限有限的“mobile”用户身份运行，无法访问其他的应用程序，无法改变内核或启动需要高权限才能运行的进程。iOS开发人员使用的编程语言Objective C所创建的应用程序非常容易受到缓冲区溢出攻击或其他类似攻击方式的影响，为此，苹果使用了ARM的内存保护技术，借助处理器提供最强的安全防护功能。虽然这可能仍不足以为iOS提供完整的保护，但是却已经明显加大了恶意程序的攻击难度。

如果恶意程序成功地攻击了系统，那么它将能够接管几乎所有的应用程序接口。根据赛门铁克的研究，理论上iOS的应用程序都可以被访问，如网络连接、地址簿和日历、设备号（IMEI）、电话号码、照片、影片、音乐和浏览器历史记录，甚至还可以偷偷启动麦克风和摄像机。但是由于iOS在设计时已经考虑到了自动发送信息可能存在的隐患，所以当恶意程序发送短信、电子邮件和打电话时会需要用户进行确认，否则无法成功发送。不过，实际情况如何仍很难估计，因为应用程序能够做什么、不能够做什么，理论上只受到iOS的API限制，但是是否有突破限制的方法，目前仍无法断言，苹果公司也并没有提供足够的相关信息。

越狱：冒险的代价

只能够从App Store获取应用程序可以说是iOS的一道防火墙，但是越狱将突破这一限制，苹果的认证体系将被取消，沙盘模式的使用限制也被突破。越狱后用户可以使用所有来源的应用程序，包括各种第三方应用程序商店提供的不安全程序。并且病毒程序可以利用越狱的系统漏洞为所欲为，没有阻碍地侵入系统区域。因而，越狱有可能使iOS变得千疮百孔，iPhone蠕虫在攻击越狱设备时，将能够通过默认密码进入控制面板，然后通过无线局域网传播。

Android中的这种情况就完全不同，Android同样可以进行类似越狱的操作，这种操作通常称为ROOT，其目标是获取系统的“root”权限，但是它不会让系统变得千疮百孔。虽然用户获取了“root”权限，但是应用程序仍然以原有的模式运行，如果某个应用程序希望以更高的权限运行，那么系统将提示用户，只有在用户确认的情况下，应用程序才能够以更高的权限运行，或者存取系统区域的文件，这有点类似于新一代Windows的用户控制功能。因此，恶意软件虽然有可能在ROOT后侵入敏感的系统区域，但必须事先经过用户的许可。

授权：应用程序权限

Android的应用程序权限管理提供更好的保护功能：开发人员必须在“AndroidManifest.xml”文件中输入应用程序所需的权限，系统在安装时将调用该文件，列出所有需要的权限请求用户允许给予授权。作为用户必须注意，这当中也包括风险较高的发送短信等应用，因而，切不可简单地单击允许通过授权，要知道几乎所有的手机病毒都以一个普通的应用程序作为掩饰。Android的开放性是其快速发展的原因，但从安全方面来看，却可能是最大的缺点，而令人烦恼的是授权系统完全依赖用户，但是大部分用户未必能够清楚自己在做什么。因而，用户必须要费更大的力气去鉴别应用程序的善恶。

一旦Android恶意程序进入系统，通常只能够获得有限的权限，每一个应用程序都运行在一个隔离的环境中，并且拥有各自独立的虚拟机标识。因此，恶意程序无法进入Linux内核以Linux应用程序的方式运行。在这种隔离状态下，一个普通的Android木马实际上没有太多的机会，无法尝试获取银行应用程序数据之类的操作。不过，Android的机制使恶意程序有机会获得当前系统安装哪些应用程序的信息，以及发现这些应用程序进程的启动情况。因而，一个聪明的病毒可能在银行应用程序启动后，迅速地显示一个银行的登录界面，以诱骗的方式获取用户的数据。

类似的情况在iOS中不会出现，因为在iOS中应用程序无法看到其他应用程序在做什么，而且这种攻击方式暂时也只是在理论上存在。当然，就目前移动通讯的安全情况而言，不使用智能手机进行网上银行汇款之类的操作，仍然是明智之举。

在Android中发现恶意程序，我们只需要卸载它就可以了，与电脑病毒能够深入系统的各个地方不同，在Android的隔离运行机制下，这些病毒无法自行传播。此外，谷歌也能够在将恶意程序从电子市场删除的同时，远程删除用户设备上的恶意程序。不过，也有一些恶意软件是比较危险的，这些恶意程序利用了系统的安全漏洞，例如木马DroidDream，该木马程序在50多个官方Android电子市场的应用程序中被发现，它同时使用“exploid”和“rageagainstthecage”两个ROOT漏洞来获取系统管理员权限，因此，这些恶意程序不需要申请获取足够的授权。在安装后，DroidDream将复制一个ROOT控制器到系统目录，通过它可以安装其他的恶意程序。目前，谷歌已经修复了Android 2.3的这两个安全漏洞，但是此前的版本则仍然没有得到保护。

安全：手机安全套件

在Android分隔应用程序独立运行机制之下，恶意程序的作为有限，但与此同时，安全软件的功用也同样大打折扣。因为安全工具也只能够作为单独的服务运行，运行环境同样受到限制。不过，安全套件可以干扰和发现已知病毒。因此，安全软件需要像在电脑上一样，检查包含已知恶意代码的应用程序。

虽然主动防御的方法难以实现，但是F-Secure和赛门铁克等少数开发商仍努力地尝试提供预防性的保护。根据赛门铁克的安全专家斯特凡所说，为了更快地发现恶意程序，赛门铁克会检查Android电子市场中所有的免费软件。另外，还有一些安全套件提供病毒扫描功能以外的其他功能，例如数据保护功能除了备份和恢复数据功能外，某些安全套件甚至可以在智能手机丢失或被盗后，定位或锁定手机，以及删除数据。

iOS的安全软件很少，因为它被认为是安全的，并且苹果公司负责彻底地测试和维护App Store中所有的应用程序。当然，我们仍可以在App Store找到类似趋势科技（Trend Micro）Smart Surfing这样的安全工具，它可以更好地过滤恶意网页和钓鱼网站。而对于Android，谷歌公司先清除Android电子市场中的恶意软件才是关键，作为用户可以做的不多，只有在安装前仔细地检查应用程序申请的授权即可。

Android的安全套件

恶意程序防御软件不适用于iOS，因为它被认为是安全的，苹果公司会检查App Stores的所有应用程序。而对于Android来说，除了防御恶意软件以外，AVG anti-virus Pro等软件也提供数据保护等功能。

“如有疑问，请拒绝”AV-Test安德烈亚斯·马克思

智能手机的恶意程序问题目前有多严重，什么平台的问题最严重？

相对于Windows每天出现超过55000个新病毒和恶意软件的庞大数字，Android和iOS每天顶多只有2到3个。风险是有的，但是Windows系统目前仍然是风险最高的，因为目前开发Windows恶意程序有利可图。不过，犯罪分子也开始加紧开发智能手机的市场。

安全套件是否能够提供有效的保障？

智能手机的安全套件都是新的，仍然处于起步阶段。使用它们可能是一个明智之举，虽然它们不一定能彻底屏蔽风险，但是却可以发挥一些关键作用，例如保护数据不会外泄等。

智能手机的安全应用程序目前是否仍然不是太重要？

目前，没有任何有说服力的理由让我们非得安装这些保护程序，我们推荐以下的安全防范措施。

1. 及时更新操作系统。

2. 小心谨慎地处理输入数据。

3. 严格检查Android应用程序申请的权限需求，如有疑问一概拒绝。

推荐访问:与日俱增 风险 病毒 手机