手機安全問題日益突出 用智能手機要加裝"安全鎖"

日前，中國人大網公布《網絡安全法（草案）》，面向全社會征集意見。隨著移動互聯網快速發展，手機安全問題日益突出。獵豹移動安全實驗室《2015年上半年移動安全報告》顯示，2015年上半年全球受病毒感染的手機達6.1億台次，惡意應用數量已達451萬，一年內新增手機病毒達過去數年的總和。

另據北京網絡安全反詐騙聯盟透露，2015年1—3月接到手機用戶報案1147例，報案總金額為831.8萬元，人均損失7252元。

專家分析，支付風險、社交隱患、資費陷阱等威脅，已成為手機安全“重災區”，亟待加強風險防范、提升安全應對。

威脅一

制造病毒、偽裝終端，手機支付藏風險

央行發布的《2014年支付體系運行總體情況》報告顯示，2014年全國共發生電子支付業務333.33億筆。其中，移動支付業務45.24億筆，金額22.59萬億元。

移動支付用戶快速增長的同時， 支付安全也成為手機安全重災區。《2015年上半年移動安全報告》顯示，在所有種類的病毒中，移動支付類病毒比例高達68%。從全球來看，中國是受移動支付類病毒影響最嚴重的幾個國家之一，如果將“感染量”作為衡量標准，中國、俄羅斯、印度、馬來西亞和美國排在前五位。

獵豹數據顯示，2015年上半年，共截獲156萬個釣魚網站，其中62%騙取手機支付信息。與傳統釣魚網站騙取網絡賬號、QQ號等不同，現在的惡意網站直接騙取與手機綁定的銀行卡賬號密碼，危害更大。

此外，移動交易終端成為犯罪分子重點攻擊目標。一些黑客利用偽基站、惡意WiFi網絡端等渠道獲取用戶銀行卡等信息，借機發起惡意攻擊。

6月1日，《我國公眾網絡安全意識調查報告（2015）》正式發布。報告顯示，我國約83%網民的網上支付行為存在安全隱患。

幾個數據可以印証：我國網民多賬戶使用同一密碼的情況高達75.93%﹔隨意鏈接公共免費WiFi的比例高達80.21%﹔支付時不仔細辨認支付頁面網址真偽，在被調查者中佔比接近35%。

可以確定的是，這些行為都可能導致支付密碼泄露、支付賬號被盜用等現象，從而造成用戶經濟損失。

威脅二

泄露隱私、竊取資金，手機社交有隱患

除了移動支付安全風險外，手機社交中的隱患同樣不得不防。隨著智能手機流行，移動社交呈現爆發式增長態勢，安全風險也相應增加。

先看看國外。2015年1月，俄羅斯約會交友網站Topface約2000萬賬戶名及電郵地址遭泄露，並被黑客放到在線論壇上拍賣，一時引發巨大恐慌。

再說國內。截至2015年5月，國內移動社交應用覆蓋設備規模已達10.41億部終端。北京網絡安全反詐騙聯盟發布《2015年網絡詐騙犯罪數據研究報告》顯示，僅2011年至2014年底，公開並被証實已經泄露的中國公民個人信息多達11.27億條，內容包括賬號密碼、電子郵件、電話號碼、通訊錄、家庭住址，甚至身份証號碼等信息。去年七夕，在全國范圍內爆發超級手機病毒“XX神奇”，超過500萬用戶收到該木馬程序群發出的詐騙短信，正是依托移動社交傳播的。

專家指出，無論手機社交網站，還是各種“朋友圈”，如有人不慎“中招”，病毒將成幾何式傳播。當下，基於社交網絡進行傳播的信息、產品層出不窮。很多人的通訊錄裡都有數百個號碼，組成了龐大的社交網。一個人的手機“中招”，往外發送病毒信息時便會以N次方速度擴散。

另外，微信、微博等互動社交應用也多與智能手機有綁定業務，手機號在成為各種服務的快捷登錄、支付賬號后，一旦出現安全漏洞，就有可能給用戶帶來極大損失。

威脅三

植入程序、惡意攻擊，資費陷阱花樣多

360公司日前發布《2014年中國手機安全狀況報告》顯示，2014年惡意程序樣本較上年增長近4倍，達到326萬個，全年感染惡意程序的安卓用戶達到3.2億人次，其中超七成為資費消耗類惡意程序，這其實已遠遠超過“隱私竊取”。

2014年大部分惡意程序瞄准了手機中的流量資費，並已形成一條“灰色產業鏈”。在360公司公布的“2014年第三季度感染量最高的十大惡意程序”中，一款名為“Bubble X Slice”的程序，感染量達398142人次，其主要危害就是在軟件打開后，隱瞞用戶自動發送短信，造成用戶手機資費消耗。

更令人擔憂的是，惡意軟件往往含有兩種或兩種以上惡意行為，扣費之外還附加隱私竊取等行為，多重危害讓手機安全面臨更大威脅。

比如， “2014年第三季度感染量最高的十大惡意程序”中，提到一個名為“植物大戰僵尸王2（仿冒版）”的惡意程序，常常悄然植入用戶手機，感染量為223769人次。該程序打開后，會在用戶不知情的情況下自動發送短信，導致資費損失、隱私泄露。

應對

用戶、廠商、監管三方攜手，織密安全保護網

專家認為，智能手機已進入千家萬戶，棄之不用不太現實。當務之急是提升安全防范，需用戶自身、手機軟硬件提供商和監管部門攜手，一起採取有效行動。

令人欣慰的是，網民的安全風險意識正在提高。比如，7月8日，支付寶9.0新版本全面更新上線后，關閉手勢密碼引發了網友對其安全性的質疑：系統隻要檢測到用戶是在常用的設備登陸，就可以直接修改支付密碼，無需提供証明。雖然支付寶方面表示，將會根據用戶的使用習慣記錄下大數據，確保賬戶的安全，但仍未打消網友疑慮。

如何從技術上、源頭上防止手機安全風險？這需要手機軟硬件提供商“先下手為強”，包括安全軟件廠商、電信運營商、手機廠商、芯片廠商、操作系統廠商等，積極主動在手機軟硬件源頭上下功夫，不斷升級手機安全保護網，將惡意軟件、木馬程序等有效阻斷在入侵前的“最先一公裡”、得手前的“最后一公裡”。

另外，政府監管也要“發力”。從現實來看，目前的監管有點“力不從心”。以手機支付產業為例，我國移動支付產業監管立法仍處於相對滯后狀態。

雖然我國已有關於移動支付的法規，包括《電子支付指引（第一號）》《非金融機構支付服務管理辦法》《電子銀行業務管理辦法》等，但應看到，現有規定大多以部門規章為主，如何執法、怎麼監管、雙方權益如何劃定都很模糊。市場發展快，立法要跟得上，監管才能更有力。

專家指出，用戶提高風險意識，運營商、手機軟硬件提供商構建 “技術牆”，政府部門提速監管，我們才能織密手機安全“保護網”，防范風險、確保安全。

鏈 接

案例一：“iCloud釣魚攻擊”，獵豹移動安全實驗室的安全報告將其評為2015年上半年重大安全事件之一。

使用蘋果手機的人都知道，蘋果手機Find My iPhone中的“丟失模式”（Lost Mode）是一個實用的功能，它允許失主在iCloud上直接發一段文字到手機——例如：“你好，我的iPhone丟了，請聯系185********，感謝萬分！”

這本來是為了幫助失主找回手機，但可怕的是，目前該功能卻被黑客利用。黑客會發送一條包含網址的短信，點擊進入該網址后是個偽造的iCloud頁面，黑客借此來騙取用戶的蘋果賬戶名和密碼，對被偷的手機進行解鎖，將其據為己有。據了解，2015年上半年，國內外均出現利用該功能釣魚的案例，在這個過程中不斷有用戶受害、黑客得利。

案例二：近日，網友“公交姬”發微博稱，因為手機被惡意開啟短信保管箱業務導致銀行卡資金被“洗劫”。

“短信保管箱”是電信運營商提供的一種增值服務，其功能是在運營商的服務器上保存用戶的手機短信。

“公交姬”先是收到短信，被告知開通短信保管箱業務。發現問題后，其聯絡10086客服關閉了此業務，並修改了網上營業廳的登錄密碼。但是，盜竊者仍然重置了登錄密碼，最終通過第三方支付關聯其銀行卡，從而盜竊得手。

業內安全專家推測，“公交姬”修改密碼后很快又被不法分子重置，並且盜竊者手裡還掌握了其銀行卡信息，可見其個人信息泄露比較嚴重。（記者 朱 利）