近日,百度安全实验室发布了《2014年第二季度移动安全报告》。报告显示,中国手机用户面临的手机安全威胁依然严峻,一方面,恶意软件持续高速增长,数量是去年同期数量的三倍,其中隐私窃取类恶意软件呈爆发增长之势;另一方面,手机网银、安卓系统等存在安全漏洞,让不法分子有机可乘。
总体来看,今年第二季度,与支付类、网银类应用相关的安全问题最为突出,手机支付安全成为用户面临的最为紧迫的手机安全难题。
支付类隐私信息成恶意软件最大目标
随着手机上的金融,购物,社交等功能逐渐成为人们生活中不可缺少的部分,人们的手机上也承载了越来越多的隐私信息。其中很多隐私信息与金钱利益直接或间接相关,因而很自然地成为了恶意软件开发者的目标。
据百度《2014年第二季度移动安全报告》显示,和上一季度相比,隐私窃取类恶意软件的比例上涨达到了17.9%,上涨幅度达到了57%。其中恶意软件种类繁多,例如针对一种手机银行恶意软件就多达几十款;而且大部分恶意软件开始对用户一种或者几种隐私信息进行针对性地窃取,相比于单纯窃取短信、联系人等行为隐蔽性更强,更难以被轻易检测到。
根据百度实验室的安全专家分析,隐私窃取类恶意软件主要有三大特征。其一,冒充网银、支付、购物、社交等应用。数据显示,今年第二季度光是各种网银应用的山寨版本就超过了500款,由于这类山寨应用的开发门槛极低,且欺骗性很强,已成为对用户隐私的最大威胁之一。此前百度安全实验室截获的“微信支付大盗”就是一个典型案例,山寨微信“以假乱真”,试图获取用户输入的手机号、身份证号、银行账号等信息。
“微信支付大盗”伪装微信支付界面骗取用户银行卡卡号
其二,恶意软件开发者的技术能力增长,开始采用进程注入的方式来窃取用户敏感信息。这类技术同样可以使用在网银、支付等应用中,root后的手机极易中招。“聊天剽窃手”病毒便是百度目前发现的首款通过ptrace进程注入方式进行恶意窃取私密资料的病毒,它能够实时监控手机QQ、微信的聊天内容及联系人信息,带来严重的安全威胁。
百度手机卫士拦截查杀的“聊天剽窃手”病毒程序
其三,电信诈骗和支付类病毒应用等多种诈骗手段的结合。为了突破银行、运营商、支付机构使用的“手机验证码+密码”的双重认证机制,一些恶意软件中集成了网页钓鱼及监听手机短信等技术,一方面通过钓鱼网站或者页面窃取用户的密码信息,一方面通过监听用户短信来窃取手机验证码信息。日前,百度安全实验室拦截的病毒“伪中国移动客户端”便是采用“伪基站”诈骗短信发送技术,发送虚假10086的短信,诱导用户点击钓鱼网站链接;并在钓鱼页面诱导用户输入网银账号、网银密码、下载安装“伪中国移动客户端”病毒,拦截银行验证短信,进而窃取用户银行账户资金。
诈骗短信、钓鱼网站与“伪移动客户端”病毒应用结合诱骗用户
网银漏洞和安卓系统漏洞威胁支付安全
除了恶意病毒软件以外,银行APP本身的漏洞也成为支付安全一大威胁。百度安全实验室近期发现,包括邮储银行,兴业银行,交通银行,广发银行,华夏银行,光大银行等在内的近20家手机银行软件都使用了或者曾经使用过同一款数字证书签名。而且该签名甚至还用来签发了很多个人开发者的应用,存在着巨大的安全风险。
据了解,Android系统中证书是用来建立应用程序与其所有者之间的信任关系,是Android安全机制中的重要组成部分。银行作为独立的公司实体,且与用户财产密切相关,理应使用独有的签名证书来标识其客户端的唯一性,并且严格管理此证书确保不会外泄。即使程序是由其他公司负责开发,证书也应该由银行自身来进行独立管理。否则基于Android系统中使用相同证书的应用可以利用的一些规则和权限,一旦证书被不法开发者用来制造恶意程序,就会给使用这些网银的用户带来极大的安全威胁。
除此之外,近日Curesec团队公开了其之前发现的Android系统漏洞CVE-2013-6272的技术细节。该漏洞存在于Android系统的电话模块中,恶意程序可以利用该漏洞,在无需申请拨打电话权限的情况下,在后台拨打任意电话(包括付费电话),给用户造成资费消耗;也可以挂断当前正在进行的通话,对用户造成严重的干扰。百度手机卫士安全专家提醒广大用户,该漏洞的影响面很广,从Android 4.1.1版本开始就已经存在,建议用户升级到4.4.3版本进行修复。
针对日益复杂的支付环境,百度移动安全总经理张磊近日在“互联网金融和移动支付安全”专家研讨会上曾表示,移动支付作为一个新兴的领域,爆发的安全问题对于移动安全厂商来说也是全新的挑战。安全是互联网金融发展的基石,保障移动金融安全,要从技术攻关、用户体验、行业合作三方面共同努力,“三位一体”才能构建移动金融安全健康的生态体系。而除了继续对手机应用从底层技术上进行保护,持续通过“安全支付亿元保赔”计划为用户提供支付安全“双保险”以外,张磊表示,未来百度还将继续把自身的安全能力开放给更多的第三方支付机构、银行等,努力打造一个开放的安全平台,与行业各方一起共建良好的移动安全生态体系。
详细内容请点击报告原文:
http://safe.baidu.com/2014-07/q2_mobile_security_report.html
