移动网络的安全性反思

本文作者：王鹤鸣

20世纪90年代末，一个新的名词——互联网进入了人们的视野。仿佛一夜之间，腾讯、搜狐、新浪、网易迅速发展，不断壮大。如今，新闻、娱乐、游戏、广告、聊天、论坛……他们无孔不入。走到今天，已是2012年，而未来的发展又是什么？现在看来答案已经越来越清晰——移动互联网。从全球到中国，从设备商到运营商，从专业人士到普通大众，无人无处不感受到它的魔力，无时无刻不感受到它的神奇。

3G网络的大规模建设及智能终端的迅速普及，移动互联网技术迅猛发展、业务种类层出不穷、用户规模不断扩大……注定了移动互联网将是一座硕大的金矿。不可否认，正如20世纪90年代末的互联网浪潮一样，移动互联网也正逐步改变我们的生活，甚至来得更加猛烈。它正逐步显现出耀眼的光芒，点亮商机，惠及民生。但蜕变的过程难免伴随着阵痛。移动互联网的流行和相对滞后的移动互联网安全保障让移动网络上的安全问题日益凸显。移动互联网的爆炸性增长以及其带来的巨大经济效益也正在诱惑着黑色产业链的不断入侵……

移动互联网安全，发展的大势所趋

移动互联网正在呈现爆发性的增长已经是无可争辩的趋势，但提及安全问题却让人如鲠在喉。一方面，互联网上原有的恶意程序传播、远程控制、网络攻击等非传统网络安全威胁向移动互联网快速蔓延。另一方面，由于移动互联网终端和业务与用户利益密切相关，各种吸费、信息窃取、诱骗欺诈等恶意行为的影响和危害更加突出。

当人们把越来越多有价值的东西都放到云端的时候，内心是否会担忧信息的安全是否真的如人们所想的那样呢？是的，层出不穷的数据安全威胁和灾难，已经让每一个人胆战心惊，各种泄密事件不断挑动着我们紧绷的神经。现实生活中，恶意扣费或者通过假冒网站截取你的银行支付信息、窃取手机内的资料、照片等不断涌现，这些威胁远比传统电脑病毒来得更为直接。我们在享受移动互联网带来便捷的同时，心中却愈加忧虑——移动互联网时代，我们的信息安全吗？答案喜忧参半。相关数据表明，目前手机病毒日感染量已突破20万，同时，通过感染手机窃取话费、盗得数据，让用户遭受重大损失，手机病毒对用户攻击的目的更加清晰。

有人说，移动互联网安全并非想象的那么严重，理由是移动终端平台太多，要统一爆发病毒，很难实现，因而移动互联网安全迫在眉睫似乎有些耸人听闻。但笔者认为，切不可对移动互联网安全等闲视之。甚至可以说，移动互联网安全比传统互联网来得更加迅猛，威胁更加严重，也更加迫切。试想，移动终端一旦被远程控制，就会像一颗无声无息的炸弹，持续对信息安全甚至是人身安全产生威胁。众所周知，移动互联网具有网络融合化、终端智能化、应用多样化、平台开放化等特点，它强调随时随地的接入，特别是移动地接入，并不是简单把电信网和互联网做一个结合。从安全上来看，它的安全隐患、威胁可能会是史无前例的。

此外，从用户的角度，移动终端承载着更多的用户实名信息和有效信息，因而会衍生出一系列新的问题，包括对手机端的窃听、对手机位置的监控、恶意扣费、窃取用户个人及其联系人的信息从而实现欺诈等。

关于移动互联网安全的问题，绝非是危言耸听，此前已有先例。从2011年“手机僵尸”病毒的恐慌蔓延，到2012年央视3•15晚会曝光了不少手机软件企业的不良行径，手机病毒和恶意软件横行肆虐。最近，腾讯移动安全实验室了2012年第一季度手机安全报告，报告显示，Android不断取代Symbian系统，占领并扩大智能手机市场。第一季度Android平台截获被植入病毒软件包6902个，病毒类型占据比例更加均衡与多样化。Symbian平台截获被植入病毒软件包4981个，病毒类型数量呈现平稳增长。第一季度的手机病毒软件包数量几乎接近2011年全年的一半，而Android病毒软件包更是超过了2011年全年病毒包的3/4。由此看来，移动互联网的安全威胁真的已经是迫在眉睫了。

移动互联网，卸下病毒的马甲

在各种移动终端安全中，病毒最为猖獗，也最为隐蔽，在不知不觉中，已悄然入驻到手机，上演现实版“窃听风云”。因而，要扼住安全的“咽喉”，须卸下病毒的马甲，认清其真实面目。

一般来说，对于移动互联网的安全主要来自3个方面：信道攻击、硬件攻击及软件攻击。信道攻击主要靠信号截收和基站欺骗的方式。硬件攻击的方式主要是在目标手机内安装专门的窃听装置以及复制目标手机的SIM卡等。这里，笔者想重点谈谈软件攻击。由于智能手机使用的是开放式操作系统，方便用户自行安装、添加程序，给窃密者提供了可乘之机。窃密者利用手机操作系统的漏洞，编机病毒、木马等恶意程序，窃取手机的控制权，直接导致通话外泄、信息泄露、数据丢失、话费损失等严重后果。智能手机较强的上网功能和部分用户不安全的上网习惯，给了手机病毒、木马乘虚而入的机会。此外，彩信、邮件等也是手机病毒传播感染的重要途径。

接下来，让我们一起卸下病毒的马甲：首先，移动互联网中，以推广软件为目的手机病毒较为常见，病毒通常通过捆绑正常软件，消耗资费、推广应用与广告，达到植入手机的目的。其次，手机监听、用户定位、用户隐私窃取等隐私获取类病毒频繁亮相，通过发送各种扣费短信进行恶意扣费。此时，手机用户的隐私和人身财产安全将会面临很大的威胁。再次，木马制作者可以通过篡改正常软件的方式，随意将捆绑了木马的软件应用在平台上。病毒可隐藏在各种破解的手机软件、游戏中。最后，病毒越发熟悉消费者心理，迎合用户的使用行为及习惯，诱骗用户访问带有病毒的网址。

更值得注意的是，现在的手机病毒已经演变出多种传播方式。人们在使用智能手机等移动终端的过程中，更须加强防范，识破各种常见病毒的传播伎俩，将病毒扼杀于“摇篮”之中。

移动互联网安全，“防”就一个字

移动互联网是一把“双刃剑”，必须对其正确认识、科学对待、依法管理、确保安全。在全球移动互联网大会上，腾讯QQ的CEO马化腾说，未来安卓像PC一样，很多人用也很开放，一旦开放会产生各种各样的问题，例如个人隐私数据、照片、通信录甚至网络银行、手机银行这些数据都有可能被窃取。包括流量，这个危害比过去PC时代更严重。奇虎360公司的副总裁李涛也曾表示，安全不仅是手机软件病毒的克星，更是移动互联网产业腾飞的基石，夯实安全基础、加强安全管理、制定安全标准，将是刻不容缓的事情。

从安全意识角度看，据统计，目前超九成的移动用户对病毒及恶意软件的传播、危害还不是十分了解，没有足够的安全意识。所以，亟需提高全民的安全意识。及时安装和升级安全软件，不随意打开短信、彩信发来的链接，防止联入“陷阱”网站；及时关闭蓝牙、WiFi等功能，不要接收陌生的蓝牙设备请求，尤其是接收蓝牙传送的文件时要特别谨慎，以免收到病毒文件；养成良好的上网习惯，避免浏览不正规网站和下载软件；坚持在正规的通信运营商处维修、维护手机，防止被植入病毒木马程序。

从法律角度看，由于移动互联网安全是随着移动互联网的发展而产生的新型问题，目前国家尚未出台相关法律法规明确安全的责任主体、防治要求；其界定范围、判定标准也尚未，现有防治工作尚无标准可以遵循。应针对移动互联网技术发展和业务管理尽快制定相应的法律法规和技术规范。

从技术防范角度看，病毒和恶意软件的扩散都需要土壤和环境，必须在源头和渠道上加以“扼杀”，这就要求运营商、终端厂商、第三方安全软件开发运营商以及产业链上的内容开发商、内容运营商、渠道商等全产业链联动合力防范，才能形成较有效的治理机制。移动互联网安全厂商必须加强自身获取新病毒样本的能力，必须具备敏锐的洞察力，深入了解和挖掘用户需求并快速研发新的安全功能，保证持续的发展动力，从技术的角度遏制各种安全隐患和威胁，营造一个安全的网络环境。

此外，移动互联网安全包含手机基础性安全服务和高端智能管理服务，移动互联网安全的对象则包括产业链上的每个环节。因而，移动互联网安全并非简单地做一款防毒杀毒的应用软件，而是一个庞大的系统工程。

移动互联网近来发展态势虽猛，但路还很长。一边是发展，一边是安全，一个都不能少。如果一味追求发展的盛宴，而忽视安全的保障，那么盛宴喧嚣，终会落幕。这场“安全保卫战”，我们必须打好，这是每一位信息人的责任，也是每一位用户的期待。