“兵臨城下”的手機(jī)惡意軟件

手機(jī)惡意軟件分類

加州大學(xué)伯克利分校的研究團(tuán)隊(duì)將手機(jī)惡意軟件分成了三個(gè)大類。這三類軟件的行為有所不同，所以我們在提問前首先了解一下這三個(gè)分類的具體特征：

惡意軟件: 以盜竊數(shù)據(jù)、毀壞設(shè)備或騷擾用戶為目的植入手機(jī)中。攻擊者通過欺騙的方式誘使用戶安裝惡意程序或利用手機(jī)漏洞遠(yuǎn)程下載并安裝惡意程序。惡意軟件不會(huì)合法的告知受影響的手機(jī)用戶。

此類軟件包括木馬、蠕蟲、僵尸網(wǎng)絡(luò)以及病毒。包括美國在內(nèi)的很多國家，都認(rèn)定惡意軟件是非法的，發(fā)布和傳播此類軟件將被判刑。

個(gè)人間諜軟件: 收集用戶個(gè)人信息，比如定位信息或一定時(shí)間內(nèi)的文本短信息內(nèi)容等。攻擊者會(huì)接觸到用戶的手機(jī)并在用戶不知情的情況下安裝個(gè)人間諜軟件。

個(gè)人間諜軟件會(huì)將受害人的信息發(fā)送給安裝軟件的攻擊者，而不是發(fā)送給軟件的制造者。比如老公可以將該軟件安裝在老婆的手機(jī)中。在美國，這類軟件是合法的，因?yàn)樗⒉淮嬖谄墼p用戶的行為。

個(gè)人間諜軟件忠實(shí)的旅行了自己的義務(wù)，并且完全符合購買者購買此軟件的真實(shí)意圖。但是，在手機(jī)用戶不知情的情況下，將此類軟件植入用戶手機(jī)中，有可能涉嫌違法。

灰色軟件: 此類軟件屬于合法軟件，它收集用戶的數(shù)據(jù)用于市場分析或改善用戶體驗(yàn)�；疑浖䲡�(huì)收集用戶的數(shù)據(jù)，但是軟件的開發(fā)商這樣做并不是出于惡意。有些灰色軟件的功能相當(dāng)實(shí)用，也確實(shí)受到不少手機(jī)用戶的喜愛。

灰色軟件的開發(fā)廠商可能會(huì)再隱私策略條款中解釋這種數(shù)據(jù)收集行為，但不一定足夠清晰明確。因此灰色軟件實(shí)際上是游走在法律邊緣的一類軟件，是否合法完全依賴用戶是否對(duì)其提起訴訟或投訴，以及軟件的隱私策略條款是否嚴(yán)謹(jǐn)。與惡意軟件或個(gè)人間諜軟件不同，灰色軟件如果被判定非法，其開發(fā)廠商會(huì)受到罰款的處理而不是針對(duì)個(gè)人追究法律責(zé)任。

但是，就算一些流行的灰色軟件是合法的，一旦用戶知道這些軟件在收集用戶數(shù)據(jù)，也會(huì)有反抗情緒。因此手機(jī)應(yīng)用軟件市場對(duì)于灰色軟件的態(tài)度，只能是具體問題具體分析。

問題

作者: William 和我討論了論文中有關(guān)惡意軟件分類的問題。我們覺得這種分類方法好像并不太符合技術(shù)風(fēng)格。因此我們決定讓Adrienne 來解釋這個(gè)問題。

Porter Felt: 我們之所以采用這種分類方式，是因?yàn)檫@三類軟件需要不同的處理方式。

·惡意軟件可以通過反病毒軟件查殺，或軟件市場安全評(píng)論以及許可證等方式進(jìn)行提示和限制。

·美國聯(lián)邦貿(mào)易委員會(huì) FTC會(huì)通過法律手段阻止合法的軟件廠商在沒有足夠比例的客戶贊同的情況下私自進(jìn)行搜集用戶數(shù)據(jù)的行為，也就阻止了灰色軟件的產(chǎn)生。

·而對(duì)于個(gè)人間諜軟件，由于關(guān)鍵一步是“攻擊者”接觸到了手機(jī)并安裝間諜軟件，因此用戶要通過鎖定屏幕或者手機(jī)不離身等方式確保不會(huì)有人將軟件安裝到手機(jī)中。

我們的關(guān)注重點(diǎn)是其中的惡意軟件分類，因?yàn)檫@類威脅可以通過純技術(shù)手段實(shí)現(xiàn)，也是我們所擅長的專業(yè)領(lǐng)域。

作者: 在這里我還要提一句，上次在撰寫有關(guān)安卓手機(jī)安全軟件的文章時(shí)，我和William 就通過Adrienne搞到了一些安卓系統(tǒng)的惡意軟件樣本。那時(shí)候我才知道他們的研究小組在收集手機(jī)惡意軟件。

我請他們幫我對(duì)惡意軟件樣本進(jìn)行了逆向工程。他們不但熱心的幫助了我，還對(duì)捕獲的惡意軟件樣本根據(jù)其行為進(jìn)行了分類：

·泄露用戶信息: 28

·增加電話費(fèi)或短信費(fèi): 24

·發(fā)送垃圾短信: 8

·愚弄用戶: 6

·泄露用戶證書: 4

·搜索引擎優(yōu)化: 1

·要求用戶花錢才能自動(dòng)卸載: 1

William 和我認(rèn)為“泄露用戶證書”的危險(xiǎn)等級(jí)應(yīng)該提高。出于好奇，我問Adrienne這個(gè)結(jié)果是否是他們所期待的。

Porter Felt: 我們本以為會(huì)看到更多的釣魚攻擊。不過我們相信未來這類攻擊的數(shù)量會(huì)更多。該統(tǒng)計(jì)是我們在今年夏天進(jìn)行研究時(shí)做的，在那之后我們又發(fā)現(xiàn)了至少一個(gè)新的泄露用戶證書的惡意軟件，即一個(gè)Netflix的釣魚程序。

我當(dāng)時(shí)還預(yù)計(jì)會(huì)有更多的搜索引擎優(yōu)化類惡意軟件，但實(shí)際上并沒有我們想象的那么多，可能是因?yàn)榇祟悙阂廛浖荒苤苯咏o用戶帶來傷害，因此被報(bào)告的幾率較小。

作者: 我重新閱讀過報(bào)告中有關(guān)兜售用戶信息的利益分析，看上去是錢說了算：

“帶有廣告的合法手機(jī)軟件每月可以從每個(gè)用戶那里賺得1.90到9.50美元，這包括收集用戶位置數(shù)據(jù)所帶來的收益，以及播放廣告的收益。”

請問這是每個(gè)月的收益?這是不是能夠解釋，為何不論是善意還是惡意的軟件開發(fā)人員，都愿意開發(fā)一些免費(fèi)的帶有廣告的手機(jī)軟件?他們希望每月都能獲得收入，而不再指望通過用戶一次性購買軟件來發(fā)財(cái)。

Porter Felt: 更準(zhǔn)確的說，合法的程序可以采用這種方式每月從用戶的使用行為中獲得收益。如果開發(fā)者能寫出一個(gè)讓用戶經(jīng)常使用的軟件，那么他可以通過廣告的方式獲得比兜售軟件更多的收入。

但是更多的情況是，大部分手機(jī)軟件在安裝后使用一兩次，就不再被用戶使用了。因此合法的軟件開發(fā)者必須了解他所開發(fā)的軟件“粘性”(或稱為上癮性)有多高。而惡意軟件則采用了不道德的手段，就算用戶不想用這個(gè)程序，它也會(huì)自動(dòng)運(yùn)行。

作者: 我注意到“愚弄用戶”類型的惡意軟件數(shù)量比我想象的要多，這是為什么呢?

Porter Felt: 當(dāng)有些人看到橡皮泥，就會(huì)忍不住去捏個(gè)形狀出來。面對(duì)手機(jī)系統(tǒng)或電腦系統(tǒng)，也是一樣的。有些程序員無法抵抗研究新系統(tǒng)并從中發(fā)現(xiàn)漏洞所帶來的快樂，他們根據(jù)系統(tǒng)可利用的漏洞或功能編寫一些愚弄用戶的程序，只是為了娛樂。

作者: 由于軟件商店中可以提供大量的手機(jī)程序，你們的報(bào)告中將很多責(zé)任推給了軟件商店。你是不是認(rèn)為軟件商店有責(zé)任確保其所分發(fā)的軟件都不包含惡意代碼?

Porter Felt: Apple的軟件商店有一套檢驗(yàn)流程，可以高效的檢測每個(gè)軟件是否含有惡意代碼。但是我覺得對(duì)于手機(jī)惡意軟件來說，這個(gè)方法可能沒有長期效果。因?yàn)槲矣X得未來一個(gè)軟件商店要檢驗(yàn)上百萬個(gè)軟件是否安全，是很難的。雖然現(xiàn)在它們的效果不錯(cuò)，但未來這個(gè)方案肯定是需要改進(jìn)的。

作者的同事Francis: 報(bào)告中花了不少篇幅用來解釋手機(jī)下載程序市場的概念，以及不同的市場是否對(duì)軟件有審查過程。

但是我沒有看到關(guān)于到底有多少安卓惡意軟件被放在官方下載市場的具體數(shù)字，以及這些惡意軟件在上市多久后才被下架。我覺得這個(gè)數(shù)據(jù)會(huì)很重要，因?yàn)榫退阄抑皇菑墓俜骄W(wǎng)站下載手機(jī)軟件，如果下載到一個(gè)帶有惡意代碼的軟件，我的手機(jī)系統(tǒng)所面臨的安全風(fēng)險(xiǎn)還是會(huì)戲劇性的增加。

Porter Felt: 我同意你的觀點(diǎn)。在我們的調(diào)查數(shù)據(jù)中，只有四個(gè)惡意軟件曾經(jīng)出現(xiàn)在安卓的官方下載中，而安卓的系統(tǒng)安全團(tuán)隊(duì)在發(fā)現(xiàn)這個(gè)問題后都是立即將惡意軟件移出了官方市場。不過在其它非官方下載市場，這些惡意軟件可能還是存在的。

而且很不幸，我也無法確切的知道每個(gè)惡意軟件在被發(fā)現(xiàn)并下架前，到底在安卓官方下載市場上存在了多久。

作者: 你們在論文中還預(yù)測了未來手機(jī)惡意軟件的發(fā)展方向，這一點(diǎn)我和William 都印象深刻，比如你們預(yù)測未來主要的威脅類型包括：

·廣告點(diǎn)擊欺詐

·攻擊型廣告

·程序內(nèi)的賬單欺詐

·涉及政府

·垃圾郵件

·分布式拒絕服務(wù)攻擊

·涉及近場通信和信用卡

其中兩個(gè)預(yù)測很吸引我，一個(gè)很有創(chuàng)新，另一個(gè)讓人覺得恐懼。首先，程序內(nèi)的賬單欺詐是如何工作的?其次，為什么政府也會(huì)被牽涉到手機(jī)惡意軟件這個(gè)問題里呢?

Porter Felt: 程序內(nèi)的賬單欺詐可以通過多種方式來實(shí)現(xiàn)。其中之一是釣魚。比如一個(gè)用戶嘗試用手機(jī)進(jìn)行網(wǎng)絡(luò)購物，他看到了一個(gè)偽造的“輸入密碼”的頁面，接下來就不用我解釋了。另一種潛在的攻擊方式是那些具有支付功能的程序(比如手機(jī)的軟件店)。如果軟件店存在漏洞，可能會(huì)被某個(gè)程序利用，以手機(jī)用戶的名義欺騙軟件店購買各種軟件，給手機(jī)用戶帶來損失。

至于政府所涉及的安全問題方面，有些政府出于政治或國家安全角度的考慮，會(huì)通過一些手段來監(jiān)控居民的通信。比如阿拉伯聯(lián)合酋長國就曾經(jīng)秘密命令當(dāng)?shù)豂SP發(fā)布一條虛假的黑莓手機(jī)升級(jí)補(bǔ)丁，實(shí)際上該補(bǔ)丁會(huì)獲取黑莓手機(jī)用戶的電子郵件。

作者: 你們的研究報(bào)告顯示，不論是惡意軟件開發(fā)人員還是手機(jī)用戶，都傾向于對(duì)智能手機(jī)進(jìn)行“越獄”。前者希望通過這種方式繞過安全機(jī)制，后者則希望通過越獄讓自己的手機(jī)更個(gè)性化。

為了證明這個(gè)結(jié)論，研究團(tuán)隊(duì)將收集的數(shù)據(jù)根據(jù)時(shí)間進(jìn)行了整理，如下表所示：

該研究結(jié)果顯示，越獄是不可避免的，而且在手機(jī)或新固件發(fā)布后不久，對(duì)應(yīng)的越獄方案就會(huì)出現(xiàn)。就連蘋果的iOS4 系統(tǒng)也無法避免越獄，在發(fā)布后兩天，iOS4的越獄方案就出現(xiàn)在互聯(lián)網(wǎng)上了。

在論文中，我還被一個(gè)相當(dāng)前衛(wèi)的結(jié)論所吸引。這個(gè)結(jié)論是有關(guān)于如何消除越獄現(xiàn)象的。下面就是Adrienne 對(duì)此的解釋：

Porter Felt: 目前，手機(jī)設(shè)備制造商和網(wǎng)絡(luò)運(yùn)營商通過銷售“加鎖”的智能手機(jī)，間接的幫助了惡意軟件制造者。而市場上對(duì)于非加鎖智能手機(jī)的需求相當(dāng)強(qiáng)烈，因此專業(yè)人士才開始想辦法進(jìn)行越獄。

我們認(rèn)為，手機(jī)制造商和網(wǎng)絡(luò)運(yùn)營商應(yīng)該提供一種簡便的解鎖方法，能夠讓手機(jī)用戶自己操作進(jìn)行解鎖，而不是采用不法手段進(jìn)行越獄。這種方法將徹底打消技術(shù)愛好者對(duì)于手機(jī)越獄的熱情。

作者的同事Francis: 網(wǎng)上有很多關(guān)于root exploits的討論，尤其是針對(duì)安卓系統(tǒng)的。我想知道，除了建議非加鎖的boot loader以外，對(duì)于開源項(xiàng)目對(duì)手機(jī)安全的影響您是持什么態(tài)度呢?

Porter Felt: 就我所知，安卓開源項(xiàng)目還沒有被發(fā)現(xiàn)存在安卓系統(tǒng)權(quán)限方面的漏洞。而安全專家在一些軟件中確實(shí)發(fā)現(xiàn)了此類漏洞，不論這個(gè)軟件是否是開源的。實(shí)際上，缺乏軟件源代碼并不會(huì)給經(jīng)驗(yàn)豐富的黑客尋找軟件漏洞帶來多大的麻煩。正如我剛才提到的，連 iOS這樣的系統(tǒng)也在兩天內(nèi)就被破解了。

作者: 貌似以往出現(xiàn)在臺(tái)式機(jī)上的惡意軟件問題以及硬件設(shè)備的競賽等現(xiàn)象都開始在手持設(shè)備上出現(xiàn)了。從其他因素上，您是如何評(píng)價(jià)智能手機(jī)設(shè)備的硬件和軟件的?

Porter Felt: 智能手機(jī)安全的發(fā)展方向是正確的。智能手機(jī)操作系統(tǒng)廠商可以從以往臺(tái)式機(jī)操作系統(tǒng)和軟件的發(fā)展經(jīng)歷中吸取經(jīng)驗(yàn)教訓(xùn)。因此目前的智能手機(jī)才有了保護(hù)消費(fèi)者的各種工具，比如權(quán)限許可以及對(duì)官方軟件店的安全審查過程。

而且，成功的智能手機(jī)技術(shù)現(xiàn)在正在移植到桌面設(shè)備。蘋果的Apple App Store for OS X就是個(gè)很好的例子。我認(rèn)為未來桌面瀏覽器會(huì)更多的融入智能手機(jī)平臺(tái)上的元素。

總結(jié)

加州大學(xué)伯克利分校的研究團(tuán)隊(duì)經(jīng)過長期努力，對(duì)現(xiàn)有的手機(jī)惡意軟件進(jìn)行了分類，并對(duì)未來的手機(jī)安全威脅進(jìn)行了預(yù)測。貌似現(xiàn)在的數(shù)字犯罪份子比以往更加關(guān)注手機(jī)市場了。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]