当前位置: 首页>> 每周质量报告

智能手机黑洞

2017年04月21日 08:32 信息来源:http://www.aqsiq.gov.cn/ztlm/mzzlbg/201704/t20170420_486521.htm

正文:每天,神秘的力量制造超过五万个手机病毒,并广为散播。

同期:这个就是尝试获取追踪你的位置信息,这个是在获取我们的位置信息。这个是在后台进行的,如果没有相关提示的话,用户是完全不能察觉的。

正文:你以为你的手机是个人私密的通信工具,事实证明这只是你的以为。

同期:现在我们可以看到短信同步,还包括他的这些通话记录,包括这些联系人

演播室:共同打造高质量的生活,欢迎收看《每周质量报告》。今天早些时候,国家计算机病毒应急处理中心发布了一组触目惊心的数据,目前平均每天截获的智能手机新增恶意程序样本超过5万个。那么,这些恶意程序对我们几乎每个人每天都用的手机有什么危害,又是谁,出于什么目的大量生产制造这些恶意程序呢?来看今天的记者调查。

小标题一:我国每天截获针对智能手机恶意程序样本超五万个

正文:国家计算机病毒应急处理中心发布的最新一次全国信息网络安全状况暨计算机和移动终端病毒疫情调查结果显示,在移动终端的病毒感染比例呈上升趋势,一年当中智能手机新增恶意程序样本1800多万,平均每天截获新增恶意程序样本也高达51000多个。

同期:工信部电子五所质检中心技术总监李倩050223

在近两年安全事件的确呈一个下降的趋势,达到了20%多,但是在移动终端这一块,呈上升的趋势已经高达50%,甚至,相比前两年已经上升到18%左右。

小标题二:我国手机网民近七亿

正文:2017年初,中国互联网络信息中心最新的数据表明,目前我国手机网民已将近7亿,在这样一个数字面前,智能手机的信息安全不容忽视。而现实当中的数据显示,移动端频频爆发的恶意代码等威胁,却在日益严重地困扰着每一个手机用户的隐私和财产安全。那么,在手机越来越智能化的今天,是什么样的因素会影响着手机的信息安全呢?日前,国家质检总局组织了一次智能手机产品信息安全的专项风险监测,测试机型包括了市场上大部分高中低端的手机产品,共40批次。

正文:记者了解到,(动画字版)目前依据《移动智能终端安全能力技术要求》这个行业标准,进入市场的手机产品都要进行进网检测,检验手机产品能否保护通话记录、短信数据等用户数据,系统更新时是否安全,预置应用软件是否未经用户同意,收集、修改数据、读取隐私信息等。

同期:工信部电子五所质检中心安全工程师李乐言044817

目前现有的标准的话,对手机的一个操作系统,它的预置应用,内容安全,还有一些外围接口的安全都会进行的一些要求,

正文:在广州,工信部电子五所质检中心的工程师首先对这些进网必检项目进行了测试。记者了解到,按照进网标准要求,手机系统在遇到木马病毒或恶意程序读取用户数据时,应有一定的提示,提醒用户防范信息泄露。那么这些最新的智能手机,系统的安全性能会怎么样呢?工程师随后在多款智能手机上都安装了一个测试木马,检验这些手机对语音、通话、短信等数据的保护。

同期:工信部电子五所质检中心安全工程师 李乐言0317

现在我们有两款手机都安装了一个伪装成正常应用的一个木马,就是我们桌面上这个,现在我看一下左边这款手机,我们点开它的时候,你会看见木马正在读取我们的一些手机状态。我们再看下下面的,你看这个木马正在进行一个录音的操作。

记者:都会提示是吗

对,都会提示。然后我们看下右边这款手机,我们在点开时候完全没有任何提示内容。其实这个时候木马已经在读取我们的操作。

正文:测试发现,大多数手机在木马启动的时候,都会弹出提示框,但个别手机却毫无动静,任由测试木马暗中读取隐私数据。

正文:工程师透露,除了手机系统本身的安全防护要求,目前的进网标准还对预置软件提出了安全提示等要求。记者了解到,存在于手机当中的各类应用软件都会因功能需要,要求获取用户的相关权限。比如地图软件需要获取位置信息,聊天软件要求获取通话记录信息等等,按照要求,获取这些涉及用户隐私的这些信息必须要经过用户同意。

同期:工信部电子五所质检中心工程师李乐言032348

提示有文字图片或者一些按钮,都会有一些提示内容,比如弹出一个对话框,这个对话框会告知收集你的位置,或者是联系人,或者是图片信息,这样的一个提示内容,如果你不点确认的话,它是不会再收集你的信息的。

不符合的话是打开应用的时候,用户是看不到提示内容。

小标题三:发现九批次手机暗中收集用户私密信息

正文:工程师随后对所有手机样品进行了测试,在专门的测试软件监控下,总共40批次手机样品中,发现有9批次手机当中的相关软件在未提示用户的情况下,暗中收集手机用户私密信息。

同期:032046工信部电子五所质检中心安全工程师 李乐言

我们再看一款刚才的那款应用,看,这个时候我们的监控软件就会监控到获取一些信息,

记者:什么信息呢

这个就是尝试获取追踪你的位置信息,这个是在获取我们的位置信息。这个是在后台进行的,如果没有相关提示的话,用户是完全不能察觉的。

小标题三:知名预置软件读取地理位置不提示

正文:工程师告诉记者,目前测试到的一些有风险的预置应用,主要是游戏类、社交类、服务类以及工具类的软件,其中也不乏知名的预置应用软件。记者看到的这款生活服务类软件,就在启动时没有读取地理位置的提示。

正文:经过对手机系统安全和预置应用安全的相关测试,工程师都发现了存在风险的手机产品。而在随后进行的智能手机后端信息系统的安全测试中,工程师发现,智能手机存在的安全风险,要大得多。

小标题四:云平台成信息泄露重要途径

正文:工程师告诉记者,智能手机的后端信息系统,也就是人们所说的云平台。随着手机智能化的提升,目前手机都能够连接后端的云平台,实现通讯录、短信、照片等数据备份功能,以及在丢失的特定情况下定位找回、数据清除等功能。但是如果手机云平台存在安全漏洞,也就意味着智能手机不仅没能提供存储便利,反倒增加了信息泄露的途径。

同期:工信部电子五所质检中心技术总监 李倩045318

这样一个与平台连接了大量的智能手机,如果这样一个云平台出现问题,你这些手机存储在云平台的数据,或者和云平台建立的连接如果被恶意分子利用,+这块儿会将导致大面积的信息泄露

正文:那么,目前智能手机云平台会存在什么样的安全漏洞呢?记者了解到,守护智能手机云平台安全门槛的,首当其冲的一个要素就是身份鉴别,也就是云平台对密码强度的要求。

同期:工信部电子五所质检中心安全工程师 李乐言内032905

成熟的一个后端信息系统的话,针对这个密码强度的要求,一般是会要求一些大小写,或者是数字和字母的组合,还有一些可能会加上一些特殊字符,还会对密码长度进行要求,

正文:工程师告诉记者,符合测试要求的智能手机会在云平台注册时,提示不能使用简单或连续的数字作为密码。随即进行的测试显示,工程师使用123456作为密码注册时,部分智能手机立即弹出提示框,提示密码不能使用连续的字符。但是部分智能手机却没有提示密码强度,工程师用记者的手机号码在一个云平台注册时,用简单的密码就通过了身份验证。

同期:工信部电子五所质检中心安全工程师李乐言034153

好我们现在输入一个简单的密码,123456,再输入,确认我的密码,123456,点一下注册,现在是完全没有提示,然后我们注册成功。

小标题五:简单密码更容易被破解

正文:记者发现,用简单的连续数字,或者用666888等重复性数字测试时,多款智能手机的云平台都能够注册成功。工程师透露,用这样的简单密码面临最大的风险,就是容易被黑客破解,造成个人隐私的泄露。工程师随后用暴力破解软件对10余位志愿者的手机号进行了密码分析,发现有3个志愿者都使用了简单的123456的云平台密码,导致其存储在云平台的个人信息,轻易地就被工程师获取到。

同期:工信部电子五所质检中心安全工程师 李乐言035045

现在我们可以看到短信同步,还包括他的这些通话记录,包括这些联系人

正文:记者了解到,智能手机云平台密码强度要求不严,带来危害远不止个人信息泄露,云平台密码被破解的智能手机,还可能被黑客远程操控。国内发生的一些案例显示,黑客破解了云平台的简单密码后对手机进行了远程锁屏,导致手机不能使用,黑客进而勒索手机用户出钱才能解锁。

小标题六:九批次手机云平台存安全漏洞

正文:经过对智能手机云平台的安全测试,记者发现40批样品中,多达9批次云平台都存在身份鉴别方面的安全漏洞,暴露出密码强度验证不足的问题。工程师通过测试还发现,存在安全漏洞的云平台没有限制非法登录和验证码错误次数,使测试者可以无限次地尝试登录其它手机的云平台,留下极大的安全隐患。

正文:工程师告诉记者,关乎智能手机云平台安全的,除了身份鉴别的因素,还有一个重要因素,就是权限控制。

同期:工信部电子五所质检中心安全工程师 李乐言内033803

云平台正常的一个权限控制的话,实际上是应该达到一个权限分离,也就是说+用户和用户之间是不能相互查看对方的数据,是有一个权限的一个隔离,

小标题七:通过云平台可以轻易获得手机使用者位置

正文:工程师告诉记者,一个云平台如果能够做到控制权限,会对所有手机用户的权限请求进行验证,并会发送验证码到手机上,验证是否为本人操作,以保护用户的各种私密信息。而在测试中记者发现,在工程师尝试通过数据包获取一个志愿者的位置信息时,部分智能手机的云平台竟然没有向志愿者手机发送验证,轻易地就允许了陌生用户的请求。而工程师也就轻而易举地掌握了志愿者的地理位置。

正文:记者了解到,同一个云平台的智能手机成千上万,在云平台存在权限管理不严的情况下,同一云平台所有的手机信息被泄露的可能性极大。工程师在全国范围内征集了十余名使用相同手机云平台的志愿者,在获取地理位置的测试中,一一输入了这些志愿者的手机号码,记者看到,仅仅一秒钟之后,测试工具就将这些志愿者的所在区域以明文形式显示出来。

同期:工信部电子五所质检中心安全工程师 李乐言035837

我们看一下第一个,这是南昌市的一个志愿者,他现在是在南昌市西湖区新洲路这个地方,我们再看下一个志愿者的位置信息,下一个志愿者在北京市十八里店这个位置,好我们再看下一个,石家庄的。

正文:工程师告诉记者,云平台权限控制的漏洞所导致的越权操作,影响的绝不仅仅是一两个手机用户的个人隐私,还存在着私密信息的集体泄露危险,关系到公共信息安全。

小标题八:45%手机存在信息安全风险

正文:经过大量测试,总共40批次智能手机当中,共发现18批次的产品存在不符合项,占比高达45%。其中有1000块钱左右的低端手机,也有3000块钱以上的高端智能手机,也不乏国外名牌产品。涉及的项目包括智能手机的后端信息系统、预置应用软件安全等。最后,经过20名风险评估专家的分析和打分,此次智能手机的信息安全风险等级被评估为中等风险。

同期:工信部电子五所质检中心安全工程师 李乐言

可换国家质检总局风险管理中心(待采)045506

中等风险就意味着只能手机这款产品的话,是目前信息安全存在一定问题,但是也不是说存在非常严重的问题,也就是说目前也进行了一些把关一些监控,有一些现行的标准,但是也会出现一些标准之外的一些安全问题,这块儿是没有进行一个限制。

演播室:专家告诉我们,不法人员和机构窃取个人信息主要目的就是为了以各种方式经营或直接实施犯罪,所以当消费者的实时位置,个人帐户等信息可以被不法分子如此轻易的拿到的时候,恐惧就成了使用智能手机时如影随行的赠品,可谓挥之不去。

小标题九:手机云平台安全方面无标准

正文:采访中记者了解到,目前关于智能手机信息安全的相关标准,主要是通信行业推荐性标准,以及部分国家推荐性标准。而问题频出的智能手机云平台,更是缺乏针对性的安全技术要求,导致手机生产厂家在云平台的安全建设上,无标准可依。

同期:工信部电子五所质检中心技术总监 李倩050632内

那我们可能主要是一个标准这一块不够完善,或者是更多的标准是一些行业性的标准,尤其是在标准的内容中可能也有内容的一些缺失,比如说我们这次,问题比较多的就是后台的信息系统安全的一些漏洞,移动智能终端的后台信息安全的一些漏洞,其实这在标准钟都没有体现出来,尤其是一些云平台方面的,也没有体现出来相应的检测方法,和测试标准。

正文:记者发现,没有标准和规范要求的云平台信息安全,暴露出的安全漏洞明显要多于其它项目,在不符合监测要求的18批次智能手机中,12批次问题集中在云平台。其中9批次暴露出身份鉴别漏洞,3批次在权限控制方面存在安全风险。

正文:随着智能手机越来越频繁的应用,其信息安全的重要性不言而喻。风险评估专家认为,在做好预置应用安全、手机系统安全等手机进网必检项目的同时,针对智能手机这种技术更新迅速产品的标准建设也要加快日程,以此促进智能手机的信息安全。

同期:工信部电子五所质检中心技术总监 李倩0507

我们希望国家来完善这一套标准体系,那比如说我们要跟踪一些新的技术,然后对整个标准的内容进行了一个扩充,比如送说我们以前那些行业标准上升到一些国家标准,然后标准的内容扩充到比如说有硬件的安全,还有应用软件的安全,还有内容的安全,云平台的安全等等。

演播室:

专家告诉我们,智能手机,通俗的说就是能上网的手机,所以所谓智能手机的安全问题本质上就是网络安全问题,而网络安全问题之所以总是很突出,重要的根源之一就是相当一部分互联网相关从业人员总是认为网络是另一个世界,不受现实世界的道理伦理和法律法规约束,甚至制造出,网络上卖的不合格产品不属于假冒伪劣产品而应该叫网货一类荒诞不经的说法,其实,网络的背后就是人,网络世界里追逐的也是现实利益,网络世界里窃取个人信息也是伤害受害人现实的利益,一句话,互联网不是法外之地,用更现实更严厉的手段使互联网及其从业人员回归法制,是紧迫而又重要的任务。好,感谢收看我们的节目,下周同一时间再见。

返回

Baidu
map