“兵臨城下”的手機惡意軟件

手機惡意軟件分類

加州大學(xué)伯克利分校的研究團隊將手機惡意軟件分成了三個大類。這三類軟件的行為有所不同，所以我們在提問前首先了解一下這三個分類的具體特征：

惡意軟件: 以盜竊數(shù)據(jù)、毀壞設(shè)備或騷擾用戶為目的植入手機中。攻擊者通過欺騙的方式誘使用戶安裝惡意程序或利用手機漏洞遠程下載并安裝惡意程序。惡意軟件不會合法的告知受影響的手機用戶。

此類軟件包括木馬、蠕蟲、僵尸網(wǎng)絡(luò)以及病毒。包括美國在內(nèi)的很多國家，都認定惡意軟件是非法的，發(fā)布和傳播此類軟件將被判刑。

個人間諜軟件: 收集用戶個人信息，比如定位信息或一定時間內(nèi)的文本短信息內(nèi)容等。攻擊者會接觸到用戶的手機并在用戶不知情的情況下安裝個人間諜軟件。

個人間諜軟件會將受害人的信息發(fā)送給安裝軟件的攻擊者，而不是發(fā)送給軟件的制造者。比如老公可以將該軟件安裝在老婆的手機中。在美國，這類軟件是合法的，因為它并不存在欺詐用戶的行為。

個人間諜軟件忠實的旅行了自己的義務(wù)，并且完全符合購買者購買此軟件的真實意圖。但是，在手機用戶不知情的情況下，將此類軟件植入用戶手機中，有可能涉嫌違法。

灰色軟件: 此類軟件屬于合法軟件，它收集用戶的數(shù)據(jù)用于市場分析或改善用戶體驗�；疑浖䲡占脩舻臄�(shù)據(jù)，但是軟件的開發(fā)商這樣做并不是出于惡意。有些灰色軟件的功能相當實用，也確實受到不少手機用戶的喜愛。

灰色軟件的開發(fā)廠商可能會再隱私策略條款中解釋這種數(shù)據(jù)收集行為，但不一定足夠清晰明確。因此灰色軟件實際上是游走在法律邊緣的一類軟件，是否合法完全依賴用戶是否對其提起訴訟或投訴，以及軟件的隱私策略條款是否嚴謹。與惡意軟件或個人間諜軟件不同，灰色軟件如果被判定非法，其開發(fā)廠商會受到罰款的處理而不是針對個人追究法律責(zé)任。

但是，就算一些流行的灰色軟件是合法的，一旦用戶知道這些軟件在收集用戶數(shù)據(jù)，也會有反抗情緒。因此手機應(yīng)用軟件市場對于灰色軟件的態(tài)度，只能是具體問題具體分析。

問題

作者: William 和我討論了論文中有關(guān)惡意軟件分類的問題。我們覺得這種分類方法好像并不太符合技術(shù)風(fēng)格。因此我們決定讓Adrienne 來解釋這個問題。

Porter Felt: 我們之所以采用這種分類方式，是因為這三類軟件需要不同的處理方式。

·惡意軟件可以通過反病毒軟件查殺，或軟件市場安全評論以及許可證等方式進行提示和限制。

·美國聯(lián)邦貿(mào)易委員會 FTC會通過法律手段阻止合法的軟件廠商在沒有足夠比例的客戶贊同的情況下私自進行搜集用戶數(shù)據(jù)的行為，也就阻止了灰色軟件的產(chǎn)生。

·而對于個人間諜軟件，由于關(guān)鍵一步是“攻擊者”接觸到了手機并安裝間諜軟件，因此用戶要通過鎖定屏幕或者手機不離身等方式確保不會有人將軟件安裝到手機中。

我們的關(guān)注重點是其中的惡意軟件分類，因為這類威脅可以通過純技術(shù)手段實現(xiàn)，也是我們所擅長的專業(yè)領(lǐng)域。

作者: 在這里我還要提一句，上次在撰寫有關(guān)安卓手機安全軟件的文章時，我和William 就通過Adrienne搞到了一些安卓系統(tǒng)的惡意軟件樣本。那時候我才知道他們的研究小組在收集手機惡意軟件。

我請他們幫我對惡意軟件樣本進行了逆向工程。他們不但熱心的幫助了我，還對捕獲的惡意軟件樣本根據(jù)其行為進行了分類：

·泄露用戶信息: 28

·增加電話費或短信費: 24

·發(fā)送垃圾短信: 8

·愚弄用戶: 6

·泄露用戶證書: 4

·搜索引擎優(yōu)化: 1

·要求用戶花錢才能自動卸載: 1

William 和我認為“泄露用戶證書”的危險等級應(yīng)該提高。出于好奇，我問Adrienne這個結(jié)果是否是他們所期待的。

Porter Felt: 我們本以為會看到更多的釣魚攻擊。不過我們相信未來這類攻擊的數(shù)量會更多。該統(tǒng)計是我們在今年夏天進行研究時做的，在那之后我們又發(fā)現(xiàn)了至少一個新的泄露用戶證書的惡意軟件，即一個Netflix的釣魚程序。

我當時還預(yù)計會有更多的搜索引擎優(yōu)化類惡意軟件，但實際上并沒有我們想象的那么多，可能是因為此類惡意軟件不能直接給用戶帶來傷害，因此被報告的幾率較小。

作者: 我重新閱讀過報告中有關(guān)兜售用戶信息的利益分析，看上去是錢說了算：

“帶有廣告的合法手機軟件每月可以從每個用戶那里賺得1.90到9.50美元，這包括收集用戶位置數(shù)據(jù)所帶來的收益，以及播放廣告的收益。”

請問這是每個月的收益?這是不是能夠解釋，為何不論是善意還是惡意的軟件開發(fā)人員，都愿意開發(fā)一些免費的帶有廣告的手機軟件?他們希望每月都能獲得收入，而不再指望通過用戶一次性購買軟件來發(fā)財。

Porter Felt: 更準確的說，合法的程序可以采用這種方式每月從用戶的使用行為中獲得收益。如果開發(fā)者能寫出一個讓用戶經(jīng)常使用的軟件，那么他可以通過廣告的方式獲得比兜售軟件更多的收入。

但是更多的情況是，大部分手機軟件在安裝后使用一兩次，就不再被用戶使用了。因此合法的軟件開發(fā)者必須了解他所開發(fā)的軟件“粘性”(或稱為上癮性)有多高。而惡意軟件則采用了不道德的手段，就算用戶不想用這個程序，它也會自動運行。

作者: 我注意到“愚弄用戶”類型的惡意軟件數(shù)量比我想象的要多，這是為什么呢?

Porter Felt: 當有些人看到橡皮泥，就會忍不住去捏個形狀出來。面對手機系統(tǒng)或電腦系統(tǒng)，也是一樣的。有些程序員無法抵抗研究新系統(tǒng)并從中發(fā)現(xiàn)漏洞所帶來的快樂，他們根據(jù)系統(tǒng)可利用的漏洞或功能編寫一些愚弄用戶的程序，只是為了娛樂。

作者: 由于軟件商店中可以提供大量的手機程序，你們的報告中將很多責(zé)任推給了軟件商店。你是不是認為軟件商店有責(zé)任確保其所分發(fā)的軟件都不包含惡意代碼?

Porter Felt: Apple的軟件商店有一套檢驗流程，可以高效的檢測每個軟件是否含有惡意代碼。但是我覺得對于手機惡意軟件來說，這個方法可能沒有長期效果。因為我覺得未來一個軟件商店要檢驗上百萬個軟件是否安全，是很難的。雖然現(xiàn)在它們的效果不錯，但未來這個方案肯定是需要改進的。

作者的同事Francis: 報告中花了不少篇幅用來解釋手機下載程序市場的概念，以及不同的市場是否對軟件有審查過程。

但是我沒有看到關(guān)于到底有多少安卓惡意軟件被放在官方下載市場的具體數(shù)字，以及這些惡意軟件在上市多久后才被下架。我覺得這個數(shù)據(jù)會很重要，因為就算我只是從官方網(wǎng)站下載手機軟件，如果下載到一個帶有惡意代碼的軟件，我的手機系統(tǒng)所面臨的安全風(fēng)險還是會戲劇性的增加。

Porter Felt: 我同意你的觀點。在我們的調(diào)查數(shù)據(jù)中，只有四個惡意軟件曾經(jīng)出現(xiàn)在安卓的官方下載中，而安卓的系統(tǒng)安全團隊在發(fā)現(xiàn)這個問題后都是立即將惡意軟件移出了官方市場。不過在其它非官方下載市場，這些惡意軟件可能還是存在的。

而且很不幸，我也無法確切的知道每個惡意軟件在被發(fā)現(xiàn)并下架前，到底在安卓官方下載市場上存在了多久。

作者: 你們在論文中還預(yù)測了未來手機惡意軟件的發(fā)展方向，這一點我和William 都印象深刻，比如你們預(yù)測未來主要的威脅類型包括：

·廣告點擊欺詐

·攻擊型廣告

·程序內(nèi)的賬單欺詐

·涉及政府

·垃圾郵件

·分布式拒絕服務(wù)攻擊

·涉及近場通信和信用卡

其中兩個預(yù)測很吸引我，一個很有創(chuàng)新，另一個讓人覺得恐懼。首先，程序內(nèi)的賬單欺詐是如何工作的?其次，為什么政府也會被牽涉到手機惡意軟件這個問題里呢?

Porter Felt: 程序內(nèi)的賬單欺詐可以通過多種方式來實現(xiàn)。其中之一是釣魚。比如一個用戶嘗試用手機進行網(wǎng)絡(luò)購物，他看到了一個偽造的“輸入密碼”的頁面，接下來就不用我解釋了。另一種潛在的攻擊方式是那些具有支付功能的程序(比如手機的軟件店)。如果軟件店存在漏洞，可能會被某個程序利用，以手機用戶的名義欺騙軟件店購買各種軟件，給手機用戶帶來損失。

至于政府所涉及的安全問題方面，有些政府出于政治或國家安全角度的考慮，會通過一些手段來監(jiān)控居民的通信。比如阿拉伯聯(lián)合酋長國就曾經(jīng)秘密命令當?shù)豂SP發(fā)布一條虛假的黑莓手機升級補丁，實際上該補丁會獲取黑莓手機用戶的電子郵件。

作者: 你們的研究報告顯示，不論是惡意軟件開發(fā)人員還是手機用戶，都傾向于對智能手機進行“越獄”。前者希望通過這種方式繞過安全機制，后者則希望通過越獄讓自己的手機更個性化。

為了證明這個結(jié)論，研究團隊將收集的數(shù)據(jù)根據(jù)時間進行了整理，如下表所示：

該研究結(jié)果顯示，越獄是不可避免的，而且在手機或新固件發(fā)布后不久，對應(yīng)的越獄方案就會出現(xiàn)。就連蘋果的iOS4 系統(tǒng)也無法避免越獄，在發(fā)布后兩天，iOS4的越獄方案就出現(xiàn)在互聯(lián)網(wǎng)上了。

在論文中，我還被一個相當前衛(wèi)的結(jié)論所吸引。這個結(jié)論是有關(guān)于如何消除越獄現(xiàn)象的。下面就是Adrienne 對此的解釋：

Porter Felt: 目前，手機設(shè)備制造商和網(wǎng)絡(luò)運營商通過銷售“加鎖”的智能手機，間接的幫助了惡意軟件制造者。而市場上對于非加鎖智能手機的需求相當強烈，因此專業(yè)人士才開始想辦法進行越獄。

我們認為，手機制造商和網(wǎng)絡(luò)運營商應(yīng)該提供一種簡便的解鎖方法，能夠讓手機用戶自己操作進行解鎖，而不是采用不法手段進行越獄。這種方法將徹底打消技術(shù)愛好者對于手機越獄的熱情。

作者的同事Francis: 網(wǎng)上有很多關(guān)于root exploits的討論，尤其是針對安卓系統(tǒng)的。我想知道，除了建議非加鎖的boot loader以外，對于開源項目對手機安全的影響您是持什么態(tài)度呢?

Porter Felt: 就我所知，安卓開源項目還沒有被發(fā)現(xiàn)存在安卓系統(tǒng)權(quán)限方面的漏洞。而安全專家在一些軟件中確實發(fā)現(xiàn)了此類漏洞，不論這個軟件是否是開源的。實際上，缺乏軟件源代碼并不會給經(jīng)驗豐富的黑客尋找軟件漏洞帶來多大的麻煩。正如我剛才提到的，連 iOS這樣的系統(tǒng)也在兩天內(nèi)就被破解了。

作者: 貌似以往出現(xiàn)在臺式機上的惡意軟件問題以及硬件設(shè)備的競賽等現(xiàn)象都開始在手持設(shè)備上出現(xiàn)了。從其他因素上，您是如何評價智能手機設(shè)備的硬件和軟件的?

Porter Felt: 智能手機安全的發(fā)展方向是正確的。智能手機操作系統(tǒng)廠商可以從以往臺式機操作系統(tǒng)和軟件的發(fā)展經(jīng)歷中吸取經(jīng)驗教訓(xùn)。因此目前的智能手機才有了保護消費者的各種工具，比如權(quán)限許可以及對官方軟件店的安全審查過程。

而且，成功的智能手機技術(shù)現(xiàn)在正在移植到桌面設(shè)備。蘋果的Apple App Store for OS X就是個很好的例子。我認為未來桌面瀏覽器會更多的融入智能手機平臺上的元素。

總結(jié)

加州大學(xué)伯克利分校的研究團隊經(jīng)過長期努力，對現(xiàn)有的手機惡意軟件進行了分類，并對未來的手機安全威脅進行了預(yù)測。貌似現(xiàn)在的數(shù)字犯罪份子比以往更加關(guān)注手機市場了。

服務(wù)器租用/服務(wù)器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]