国产安全软件亟待加固"防火墙"

      国产安全软件亟待加固"防火墙"无评论

利用彩信攻击获取他人手机通信录上的电话号码、通过一根数据线窃取现场观众的微信聊天记录……近日,在京举行的2015中国互联网安全大会上,几位信息安全专家在演讲中随意演示的几个智能移动终端攻防招数,让现场的观众瞠目结舌,切身体会到智能手机信息安全问题的严重性。

移动互联网时代,智能手机已成为人们生活中不可或缺的工具。据统计,截至目前,全球智能手机销量达11.2亿部。这些手机中,绝大多数是基于安卓系统,只有14%是苹果系统,而安卓系统的开放性导致用户的信息安全存在隐患。据易观智库发布的一份统计显示,仅2014年,我国安卓平台中就被检测出7500万个恶意软件样本,安卓用户累计受感染量达9663万人次。

那么,面对重重危机,国产软件厂商该如何通过创新研发来保护手机用户的信息安全?在此次大会上,特设了智能移动终端攻防论坛,揭秘移动安全暗战,国内安全软件研发团队与企业代表共同探讨智能手机用户信息安全保护方案。

智能终端暗藏安全隐患

在智能手机应用中,支付应用软件的便捷性备受网民亲睐。然而,很多用户并不知道这背后暗藏巨大的隐患。易观智库发布的报告显示,2014年安卓平台移动应用恶意行为前十名单中,包括手机银行等在内的支付应用盗版率达20%。“基于这种盗版应用,已形成一个安卓隐私交易黑色链条。”通付盾移动安全研究员宋超详解了这一产业链的操作流程:由黑客开发一款盗版应用,比如盗版的微信或支付宝,然后将其投放到第三方不安全的应用市场,通过钓鱼短信或邮件被普通用户下载之后,就能轻而易举地获得用户的个人隐私信息。他指出,这些信息在黑市上被明码标价出售,而这只是互联网信息安全隐患的冰山一角。

开放的安卓系统存在很多安全隐患,系统上的高危害漏洞时常爆发。“一根数据线就有可能引发安卓高危漏洞。”360公司高级安全研究员周亚金介绍,生活中,用户在使用数据线充电、备份照片、传输文件、安装应用时,都可能受到潜在的安全威胁。这一切的始作俑者,就是能影响所有安卓系统版本、被谷歌确认为高危漏洞的JDWPExposed。在论坛上,周亚金现场向观众演示了如何通过漏洞,执行恶意代码破解用户的手机屏幕锁,窃取微信聊天记录,让现场观众惊嘘不已。

在安全性较好的苹果系统中,信息安全问题也时常发生。日前,由于开发者从第三方渠道下载被植入了恶意代码的iOS应用开发工具XcodeGhost,包括12306、滴滴出行等在内,许多iOS应用被感染病毒,影响了上亿iOS用户。

软件创新保护用户信息

面对来势汹汹的网络攻击,国产安全软件厂商如何创新研发予以应对?周亚金表示,目前安卓手机厂商定制化存在较多的问题。他们在定制中一般会加入新的功能,这就会带来一些新的安全问题和安全漏洞。而应用开发者因为安全知识缺乏,不知道怎么预防漏洞,也不知道怎么保护自己的应用不被盗版。对于用户来说,则需要及时升级手机系统,尽量避免连接到不可信电脑。

对于移动应用源码安全问题,宋超也表示,目前很多应用开发人员还缺乏基本的安全意识和安全技能,同时许多移动应用还侧重应用功能,相对忽视了安全开发,这与国外有很大差距,需要引起业界关注。

如何确保用户的网络信息安全?360公司、百度、腾讯、金山等国内安全厂商纷纷推出创新的手机安全软件。如由腾讯推出的腾讯手机管家软件,具有体检加速、健康优化、安全防护、软件管理等智能化功能,还能为手机用户提供“管家安全登录QQ”“秘拍”“小火箭释放内存”等特色体验,保护手机用户的信息安全。百度手机卫士则提出“泛安全”理念,注重“安全”和“守护”功能。

刚刚涉足智能手机市场的360公司,依靠在网络安全领域的积累,提出要做一部在信息安全方面超越苹果的手机。据介绍,刚刚上市的360奇酷手机旗舰版内置自主研发的360 OS操作系统,在保护用户信息安全软件与技术上进行多种创新。“如在功能上具有更多创新的隐私空间,用户可以将不想让别人看见的短信、联系人等全部放入隐私空间。隐私空间无入口,只能通过设置的指纹或者在键盘上输入特定数字才能打开。”360公司董事长周鸿祎介绍,应用锁也是该款手机的一大创新,可以给所有应用加上密钥。另外,具有智能判断功能的360 OS应用权限管理功能可以根据大数据给应用分配权限,通过这些创新来保护用户的信息安全。

提升服务升级安全保护

在万物互联时代,安全已经突破了软件、内容等界限,传统的安全防护已无法应对挑战。对此,宋超提出“安全即服务”的观点。他表示,目前国内安全软件厂商开发的安全产品与用户使用体验还存在一定的差距,缺乏用户体验。“比如在农村,有大量的老年人,他们中有些人会应银行的要求安装App,但不知道需要下载手机助手、杀毒软件等,面临很大的信息安全隐患。因此,面对大量不懂安全知识的用户,安全软件厂商应该把安全做成服务,这样才能更好地保护用户的信息安全。”他表示。

把安全做成一种服务,许多安全公司也认识到这一点。如360奇酷手机推出了一整套安全防御体系,如对用户最关注的财产安全问题,周鸿祎介绍,为防止误装恶意应用,用户可以到奇酷自带的应用商店下载正版安全应用。在进行网上支付时,用户可以使用手机独立运行的安全系统——360 OS财产隔离系统。在这个封闭的空间里,只有系统允许的正版网银应用可以运行,并且,手机会自动禁止截屏等不安全操作,从而避免了恶意网络和恶意应用。

同时,对于整个网络信息安全环境,周鸿祎提出了“网络安全新法则”,呼吁业界通过应用大数据来防御新的安全威胁。

发表评论