“兵臨城下”的手機(jī)惡意軟件

手機(jī)惡意軟件分類(lèi)

加州大學(xué)伯克利分校的研究團(tuán)隊(duì)將手機(jī)惡意軟件分成了三個(gè)大類(lèi)。這三類(lèi)軟件的行為有所不同，所以我們?cè)谔釂?wèn)前首先了解一下這三個(gè)分類(lèi)的具體特征：

惡意軟件: 以盜竊數(shù)據(jù)、毀壞設(shè)備或騷擾用戶(hù)為目的植入手機(jī)中。攻擊者通過(guò)欺騙的方式誘使用戶(hù)安裝惡意程序或利用手機(jī)漏洞遠(yuǎn)程下載并安裝惡意程序。惡意軟件不會(huì)合法的告知受影響的手機(jī)用戶(hù)。

此類(lèi)軟件包括木馬、蠕蟲(chóng)、僵尸網(wǎng)絡(luò)以及病毒。包括美國(guó)在內(nèi)的很多國(guó)家，都認(rèn)定惡意軟件是非法的，發(fā)布和傳播此類(lèi)軟件將被判刑。

個(gè)人間諜軟件: 收集用戶(hù)個(gè)人信息，比如定位信息或一定時(shí)間內(nèi)的文本短信息內(nèi)容等。攻擊者會(huì)接觸到用戶(hù)的手機(jī)并在用戶(hù)不知情的情況下安裝個(gè)人間諜軟件。

個(gè)人間諜軟件會(huì)將受害人的信息發(fā)送給安裝軟件的攻擊者，而不是發(fā)送給軟件的制造者。比如老公可以將該軟件安裝在老婆的手機(jī)中。在美國(guó)，這類(lèi)軟件是合法的，因?yàn)樗⒉淮嬖谄墼p用戶(hù)的行為。

個(gè)人間諜軟件忠實(shí)的旅行了自己的義務(wù)，并且完全符合購(gòu)買(mǎi)者購(gòu)買(mǎi)此軟件的真實(shí)意圖。但是，在手機(jī)用戶(hù)不知情的情況下，將此類(lèi)軟件植入用戶(hù)手機(jī)中，有可能涉嫌違法。

灰色軟件: 此類(lèi)軟件屬于合法軟件，它收集用戶(hù)的數(shù)據(jù)用于市場(chǎng)分析或改善用戶(hù)體驗(yàn)。灰色軟件會(huì)收集用戶(hù)的數(shù)據(jù)，但是軟件的開(kāi)發(fā)商這樣做并不是出于惡意。有些灰色軟件的功能相當(dāng)實(shí)用，也確實(shí)受到不少手機(jī)用戶(hù)的喜愛(ài)。

灰色軟件的開(kāi)發(fā)廠商可能會(huì)再隱私策略條款中解釋這種數(shù)據(jù)收集行為，但不一定足夠清晰明確。因此灰色軟件實(shí)際上是游走在法律邊緣的一類(lèi)軟件，是否合法完全依賴(lài)用戶(hù)是否對(duì)其提起訴訟或投訴，以及軟件的隱私策略條款是否嚴(yán)謹(jǐn)。與惡意軟件或個(gè)人間諜軟件不同，灰色軟件如果被判定非法，其開(kāi)發(fā)廠商會(huì)受到罰款的處理而不是針對(duì)個(gè)人追究法律責(zé)任。

但是，就算一些流行的灰色軟件是合法的，一旦用戶(hù)知道這些軟件在收集用戶(hù)數(shù)據(jù)，也會(huì)有反抗情緒。因此手機(jī)應(yīng)用軟件市場(chǎng)對(duì)于灰色軟件的態(tài)度，只能是具體問(wèn)題具體分析。

問(wèn)題

作者: William 和我討論了論文中有關(guān)惡意軟件分類(lèi)的問(wèn)題。我們覺(jué)得這種分類(lèi)方法好像并不太符合技術(shù)風(fēng)格。因此我們決定讓Adrienne 來(lái)解釋這個(gè)問(wèn)題。

Porter Felt: 我們之所以采用這種分類(lèi)方式，是因?yàn)檫@三類(lèi)軟件需要不同的處理方式。

·惡意軟件可以通過(guò)反病毒軟件查殺，或軟件市場(chǎng)安全評(píng)論以及許可證等方式進(jìn)行提示和限制。

·美國(guó)聯(lián)邦貿(mào)易委員會(huì) FTC會(huì)通過(guò)法律手段阻止合法的軟件廠商在沒(méi)有足夠比例的客戶(hù)贊同的情況下私自進(jìn)行搜集用戶(hù)數(shù)據(jù)的行為，也就阻止了灰色軟件的產(chǎn)生。

·而對(duì)于個(gè)人間諜軟件，由于關(guān)鍵一步是“攻擊者”接觸到了手機(jī)并安裝間諜軟件，因此用戶(hù)要通過(guò)鎖定屏幕或者手機(jī)不離身等方式確保不會(huì)有人將軟件安裝到手機(jī)中。

我們的關(guān)注重點(diǎn)是其中的惡意軟件分類(lèi)，因?yàn)檫@類(lèi)威脅可以通過(guò)純技術(shù)手段實(shí)現(xiàn)，也是我們所擅長(zhǎng)的專(zhuān)業(yè)領(lǐng)域。

作者: 在這里我還要提一句，上次在撰寫(xiě)有關(guān)安卓手機(jī)安全軟件的文章時(shí)，我和William 就通過(guò)Adrienne搞到了一些安卓系統(tǒng)的惡意軟件樣本。那時(shí)候我才知道他們的研究小組在收集手機(jī)惡意軟件。

我請(qǐng)他們幫我對(duì)惡意軟件樣本進(jìn)行了逆向工程。他們不但熱心的幫助了我，還對(duì)捕獲的惡意軟件樣本根據(jù)其行為進(jìn)行了分類(lèi)：

·泄露用戶(hù)信息: 28

·增加電話(huà)費(fèi)或短信費(fèi): 24

·發(fā)送垃圾短信: 8

·愚弄用戶(hù): 6

·泄露用戶(hù)證書(shū): 4

·搜索引擎優(yōu)化: 1

·要求用戶(hù)花錢(qián)才能自動(dòng)卸載: 1

William 和我認(rèn)為“泄露用戶(hù)證書(shū)”的危險(xiǎn)等級(jí)應(yīng)該提高。出于好奇，我問(wèn)Adrienne這個(gè)結(jié)果是否是他們所期待的。

Porter Felt: 我們本以為會(huì)看到更多的釣魚(yú)攻擊。不過(guò)我們相信未來(lái)這類(lèi)攻擊的數(shù)量會(huì)更多。該統(tǒng)計(jì)是我們?cè)诮衲晗奶爝M(jìn)行研究時(shí)做的，在那之后我們又發(fā)現(xiàn)了至少一個(gè)新的泄露用戶(hù)證書(shū)的惡意軟件，即一個(gè)Netflix的釣魚(yú)程序。

我當(dāng)時(shí)還預(yù)計(jì)會(huì)有更多的搜索引擎優(yōu)化類(lèi)惡意軟件，但實(shí)際上并沒(méi)有我們想象的那么多，可能是因?yàn)榇祟?lèi)惡意軟件不能直接給用戶(hù)帶來(lái)傷害，因此被報(bào)告的幾率較小。

作者: 我重新閱讀過(guò)報(bào)告中有關(guān)兜售用戶(hù)信息的利益分析，看上去是錢(qián)說(shuō)了算：

“帶有廣告的合法手機(jī)軟件每月可以從每個(gè)用戶(hù)那里賺得1.90到9.50美元，這包括收集用戶(hù)位置數(shù)據(jù)所帶來(lái)的收益，以及播放廣告的收益。”

請(qǐng)問(wèn)這是每個(gè)月的收益?這是不是能夠解釋?zhuān)瑸楹尾徽撌巧埔膺�是惡意的軟件開(kāi)發(fā)人員，都愿意開(kāi)發(fā)一些免費(fèi)的帶有廣告的手機(jī)軟件?他們希望每月都能獲得收入，而不再指望通過(guò)用戶(hù)一次性購(gòu)買(mǎi)軟件來(lái)發(fā)財(cái)。

Porter Felt: 更準(zhǔn)確的說(shuō)，合法的程序可以采用這種方式每月從用戶(hù)的使用行為中獲得收益。如果開(kāi)發(fā)者能寫(xiě)出一個(gè)讓用戶(hù)經(jīng)常使用的軟件，那么他可以通過(guò)廣告的方式獲得比兜售軟件更多的收入。

但是更多的情況是，大部分手機(jī)軟件在安裝后使用一兩次，就不再被用戶(hù)使用了。因此合法的軟件開(kāi)發(fā)者必須了解他所開(kāi)發(fā)的軟件“粘性”(或稱(chēng)為上癮性)有多高。而惡意軟件則采用了不道德的手段，就算用戶(hù)不想用這個(gè)程序，它也會(huì)自動(dòng)運(yùn)行。

作者: 我注意到“愚弄用戶(hù)”類(lèi)型的惡意軟件數(shù)量比我想象的要多，這是為什么呢?

Porter Felt: 當(dāng)有些人看到橡皮泥，就會(huì)忍不住去捏個(gè)形狀出來(lái)。面對(duì)手機(jī)系統(tǒng)或電腦系統(tǒng)，也是一樣的。有些程序員無(wú)法抵抗研究新系統(tǒng)并從中發(fā)現(xiàn)漏洞所帶來(lái)的快樂(lè)，他們根據(jù)系統(tǒng)可利用的漏洞或功能編寫(xiě)一些愚弄用戶(hù)的程序，只是為了娛樂(lè)。

作者: 由于軟件商店中可以提供大量的手機(jī)程序，你們的報(bào)告中將很多責(zé)任推給了軟件商店。你是不是認(rèn)為軟件商店有責(zé)任確保其所分發(fā)的軟件都不包含惡意代碼?

Porter Felt: Apple的軟件商店有一套檢驗(yàn)流程，可以高效的檢測(cè)每個(gè)軟件是否含有惡意代碼。但是我覺(jué)得對(duì)于手機(jī)惡意軟件來(lái)說(shuō)，這個(gè)方法可能沒(méi)有長(zhǎng)期效果。因?yàn)槲矣X(jué)得未來(lái)一個(gè)軟件商店要檢驗(yàn)上百萬(wàn)個(gè)軟件是否安全，是很難的。雖然現(xiàn)在它們的效果不錯(cuò)，但未來(lái)這個(gè)方案肯定是需要改進(jìn)的。

作者的同事Francis: 報(bào)告中花了不少篇幅用來(lái)解釋手機(jī)下載程序市場(chǎng)的概念，以及不同的市場(chǎng)是否對(duì)軟件有審查過(guò)程。

但是我沒(méi)有看到關(guān)于到底有多少安卓惡意軟件被放在官方下載市場(chǎng)的具體數(shù)字，以及這些惡意軟件在上市多久后才被下架。我覺(jué)得這個(gè)數(shù)據(jù)會(huì)很重要，因?yàn)榫退阄抑皇菑墓俜骄W(wǎng)站下載手機(jī)軟件，如果下載到一個(gè)帶有惡意代碼的軟件，我的手機(jī)系統(tǒng)所面臨的安全風(fēng)險(xiǎn)還是會(huì)戲劇性的增加。

Porter Felt: 我同意你的觀點(diǎn)。在我們的調(diào)查數(shù)據(jù)中，只有四個(gè)惡意軟件曾經(jīng)出現(xiàn)在安卓的官方下載中，而安卓的系統(tǒng)安全團(tuán)隊(duì)在發(fā)現(xiàn)這個(gè)問(wèn)題后都是立即將惡意軟件移出了官方市場(chǎng)。不過(guò)在其它非官方下載市場(chǎng)，這些惡意軟件可能還是存在的。

而且很不幸，我也無(wú)法確切的知道每個(gè)惡意軟件在被發(fā)現(xiàn)并下架前，到底在安卓官方下載市場(chǎng)上存在了多久。

作者: 你們?cè)谡撐闹羞�預(yù)測(cè)了未來(lái)手機(jī)惡意軟件的發(fā)展方向，這一點(diǎn)我和William 都印象深刻，比如你們預(yù)測(cè)未來(lái)主要的威脅類(lèi)型包括：

·廣告點(diǎn)擊欺詐

·攻擊型廣告

·程序內(nèi)的賬單欺詐

·涉及政府

·垃圾郵件

·分布式拒絕服務(wù)攻擊

·涉及近場(chǎng)通信和信用卡

其中兩個(gè)預(yù)測(cè)很吸引我，一個(gè)很有創(chuàng)新，另一個(gè)讓人覺(jué)得恐懼。首先，程序內(nèi)的賬單欺詐是如何工作的?其次，為什么政府也會(huì)被牽涉到手機(jī)惡意軟件這個(gè)問(wèn)題里呢?

Porter Felt: 程序內(nèi)的賬單欺詐可以通過(guò)多種方式來(lái)實(shí)現(xiàn)。其中之一是釣魚(yú)。比如一個(gè)用戶(hù)嘗試用手機(jī)進(jìn)行網(wǎng)絡(luò)購(gòu)物，他看到了一個(gè)偽造的“輸入密碼”的頁(yè)面，接下來(lái)就不用我解釋了。另一種潛在的攻擊方式是那些具有支付功能的程序(比如手機(jī)的軟件店)。如果軟件店存在漏洞，可能會(huì)被某個(gè)程序利用，以手機(jī)用戶(hù)的名義欺騙軟件店購(gòu)買(mǎi)各種軟件，給手機(jī)用戶(hù)帶來(lái)?yè)p失。

至于政府所涉及的安全問(wèn)題方面，有些政府出于政治或國(guó)家安全角度的考慮，會(huì)通過(guò)一些手段來(lái)監(jiān)控居民的通信。比如阿拉伯聯(lián)合酋長(zhǎng)國(guó)就曾經(jīng)秘密命令當(dāng)?shù)豂SP發(fā)布一條虛假的黑莓手機(jī)升級(jí)補(bǔ)丁，實(shí)際上該補(bǔ)丁會(huì)獲取黑莓手機(jī)用戶(hù)的電子郵件。

作者: 你們的研究報(bào)告顯示，不論是惡意軟件開(kāi)發(fā)人員還是手機(jī)用戶(hù)，都傾向于對(duì)智能手機(jī)進(jìn)行“越獄”。前者希望通過(guò)這種方式繞過(guò)安全機(jī)制，后者則希望通過(guò)越獄讓自己的手機(jī)更個(gè)性化。

為了證明這個(gè)結(jié)論，研究團(tuán)隊(duì)將收集的數(shù)據(jù)根據(jù)時(shí)間進(jìn)行了整理，如下表所示：

該研究結(jié)果顯示，越獄是不可避免的，而且在手機(jī)或新固件發(fā)布后不久，對(duì)應(yīng)的越獄方案就會(huì)出現(xiàn)。就連蘋(píng)果的iOS4 系統(tǒng)也無(wú)法避免越獄，在發(fā)布后兩天，iOS4的越獄方案就出現(xiàn)在互聯(lián)網(wǎng)上了。

在論文中，我還被一個(gè)相當(dāng)前衛(wèi)的結(jié)論所吸引。這個(gè)結(jié)論是有關(guān)于如何消除越獄現(xiàn)象的。下面就是Adrienne 對(duì)此的解釋?zhuān)?/p>

Porter Felt: 目前，手機(jī)設(shè)備制造商和網(wǎng)絡(luò)運(yùn)營(yíng)商通過(guò)銷(xiāo)售“加鎖”的智能手機(jī)，間接的幫助了惡意軟件制造者。而市場(chǎng)上對(duì)于非加鎖智能手機(jī)的需求相當(dāng)強(qiáng)烈，因此專(zhuān)業(yè)人士才開(kāi)始想辦法進(jìn)行越獄。

我們認(rèn)為，手機(jī)制造商和網(wǎng)絡(luò)運(yùn)營(yíng)商應(yīng)該提供一種簡(jiǎn)便的解鎖方法，能夠讓手機(jī)用戶(hù)自己操作進(jìn)行解鎖，而不是采用不法手段進(jìn)行越獄。這種方法將徹底打消技術(shù)愛(ài)好者對(duì)于手機(jī)越獄的熱情。

作者的同事Francis: 網(wǎng)上有很多關(guān)于root exploits的討論，尤其是針對(duì)安卓系統(tǒng)的。我想知道，除了建議非加鎖的boot loader以外，對(duì)于開(kāi)源項(xiàng)目對(duì)手機(jī)安全的影響您是持什么態(tài)度呢?

Porter Felt: 就我所知，安卓開(kāi)源項(xiàng)目還沒(méi)有被發(fā)現(xiàn)存在安卓系統(tǒng)權(quán)限方面的漏洞。而安全專(zhuān)家在一些軟件中確實(shí)發(fā)現(xiàn)了此類(lèi)漏洞，不論這個(gè)軟件是否是開(kāi)源的。實(shí)際上，缺乏軟件源代碼并不會(huì)給經(jīng)驗(yàn)豐富的黑客尋找軟件漏洞帶來(lái)多大的麻煩。正如我剛才提到的，連 iOS這樣的系統(tǒng)也在兩天內(nèi)就被破解了。

作者: 貌似以往出現(xiàn)在臺(tái)式機(jī)上的惡意軟件問(wèn)題以及硬件設(shè)備的競(jìng)賽等現(xiàn)象都開(kāi)始在手持設(shè)備上出現(xiàn)了。從其他因素上，您是如何評(píng)價(jià)智能手機(jī)設(shè)備的硬件和軟件的?

Porter Felt: 智能手機(jī)安全的發(fā)展方向是正確的。智能手機(jī)操作系統(tǒng)廠商可以從以往臺(tái)式機(jī)操作系統(tǒng)和軟件的發(fā)展經(jīng)歷中吸取經(jīng)驗(yàn)教訓(xùn)。因此目前的智能手機(jī)才有了保護(hù)消費(fèi)者的各種工具，比如權(quán)限許可以及對(duì)官方軟件店的安全審查過(guò)程。

而且，成功的智能手機(jī)技術(shù)現(xiàn)在正在移植到桌面設(shè)備。蘋(píng)果的Apple App Store for OS X就是個(gè)很好的例子。我認(rèn)為未來(lái)桌面瀏覽器會(huì)更多的融入智能手機(jī)平臺(tái)上的元素。

總結(jié)

加州大學(xué)伯克利分校的研究團(tuán)隊(duì)經(jīng)過(guò)長(zhǎng)期努力，對(duì)現(xiàn)有的手機(jī)惡意軟件進(jìn)行了分類(lèi)，并對(duì)未來(lái)的手機(jī)安全威脅進(jìn)行了預(yù)測(cè)。貌似現(xiàn)在的數(shù)字犯罪份子比以往更加關(guān)注手機(jī)市場(chǎng)了。

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]