移动终端APP应用安全问题亟待解决
作者:***
来源:《中国信息化周报》2015年第05期
随着智慧城市和移动互联网的快速发展,智能手机、平板电脑等移动终端用户数量呈爆发式增长,智能终端型号五花八门、应用多样,极大方便了广大用户日常工作、学习、生产和生活。然而,手机等终端安全问题越来越突出,窃取通信录、照片、位置信息、通话记录、短信内容、应用密码账户等个人隐私和敏感数据时有发生,利用电信欺诈、手机银行窃取他人资金、非法获取他人电话号码推送垃圾广告等违法犯罪活动十分猖獗,严重影响了广大用户的正常学习、生活和工作。随着智能手机和4G、5G应用的普及,以及智慧城市应用的实现,移动互联网安全形势将更加严峻,已受到世界各国和全社会的关注。
目前,从用户对智能手机的使用情况看,大多数用户只关心手机的使用功能、性能和便捷性、可用性等问题,手机安全问题关注的人不够多,不敏感、不在乎,不同类型的用户安全意识差别较大,普遍安全意识薄弱,安全技能低下,安全产品和安全服务防护水平不高,恶
性竞争对安全性也带来许多负面影响。因而很有必要让广大用户了解相关情况,深入关注移动终端安全,提高智能手机的安全使用水平和安全意识。当前常见的智能手机安全威胁主要包括:恶意代码威胁(木马)、应用程序中的隐蔽功能威胁、隐通道和安全漏洞/后门威胁、特殊功能和特定服务中的威胁以及针对相关基础设施的威胁和针对数据内容的其他攻击威胁。其中,智能手机应用安全问题已备受专家和安全机构的关注。
移动APP应用飞速发展
工业和信息化部发布的数据显示,截至2013年1月,全国移动电话用户达到11.22亿户。其中,3G用户达到2.46亿户,移动互联网用户达到7.87亿户。移动App应用的增长迅速。目前,拥有过亿用户的移动应用已达10款左右,包括、新浪微博、手机淘宝、UC浏览器、搜狗输入法、91手机助手、360手机安全卫士、高德地图、美图秀秀及墨迹天气等。以苹果官方应用商店App Store为例,截至2013年1月7日,App Store的应用下载量已经突破400亿次,总活跃账户数达5亿个。2012年6月,App Store应用下载量达到300亿次,活跃账户超过4亿个,应用总量为65万款。在6个月的时间内,App Store新增1亿活跃用户、12.5万款应用和100亿次下载量。
当前,App Store面向155个国家开放,共有77.5万款应用,其中原生iPad应用超过30万款。苹果App Store在2012年共新增了约34万个应用,2011年为30万个,应用数量以加速度攀升,苹果App Store的日均收入高达1500万美元。
选择使用App应用客户端的用户比例正在快速增长。据艾瑞咨询2012年底的移动互联网用户行为大调研数据显示,有57.8%的用户会登录手机浏览器,42.2%的用户会登录客户端应用,二者占比几乎接近1∶1,首先选择登录客户端应用的用户比例大幅增长。移动App应用已经改变了或正在改变用户手机使用习惯。
APP应用安全问题突出
如今智能手机应用呈井喷式发展,多种智能应用让用户很难抉择,特别是移动支付的迅速发展,让智能应用的安全问题逐渐被用户关注。
移动智能应用开发还是一个较新的领域,在管理层面上,移动智能相关法律法规滞后,行业对移动智能安全相关的风险认识不足,过分重视超前概念和业务而忽视基础安全设施;在技术层面,移动应用开发组织没有将信息安全列入软件全生命周期,复杂业务逻辑处理不当,对集成功能模块把关不严格,甚至个别开发者为某些商业利益故意收集信息等。
上述各种原因,导致移动应用中会存在bug、漏洞或者留有后门。再加上像安卓市场这样的应用平台门槛较低,没有权威发布机构,并且审核不够严格,导致许多具有恶意行为的应用出现在用户的手机上,如果只是危害手机系统,那问题还不那么严重。但要是威胁到移动支付、邮箱等,就会给用户造成很大的损失。原生安卓app开发
此外,智能手机病毒也是不容忽视的威胁,病毒感染到手机后,会以不被察觉的形式来使用手机的一切功能。在手机屏幕上不会有任何显示,就把要做的事情做了。病毒会代替你使用手机的所有服务。比如给你的朋友发个短信,然后从已发短信中再把这条信息删了。你能做到的,病毒都能做到。
积极维护用户隐私安全
对于面临的各种安全风险,我们应当采取有效措施,加快APP应用产品供应链安全审查。
一是形成APP应用程序准入制度。通过专业的国家APP应用程序检测机构,对即将发布的应用程序进行恶意代码、隐蔽功能等安全审查。审查通过的应用程序进许行数字签名识别,
允许在国内各大APP应用平台发布。审查未通过的不允在国内各大APP应用平台发布。对各大应用平台的APP运用技术手段进行抽查,发现发布了未审查通过签名的APP,将勒令下架未审查APP,并处以一定的处罚。
二是加强对智能手机应用发布平台的网络安全审查。要求应用发布平台对其发布的应用安全负责,并要求应用平台商有效管理平台上的应用程序。同时通过立法、第三方测评、设立权威应用发布平台等行政与市场化结合等手段,促使应用发布平台运用技术、管理、服务等手段,管理好自己平台上的应用程序,承诺自身平台应用安全性,并对此负责。
上述做法也是参考了苹果公司对APP Store中的应用程序的严格审查机制。
从目前现状看来,苹果APP Store中的恶意代码应用,远低于Android市场中的恶意代码应用,我们应加快做好我国市场智能终端的安全管控,为百姓提供绿移动互联网环境。
(以上内容系根据李京春在“网络安全专家30谈”上的公开访谈整理而成)
相关链接
APP监管难度大
关于如何规范APP安全市场,近年来相关部门一直不断尝试。2013年11月,工业和信息化部发布《关于加强移动智能终端进网管理的通知》,要求手机厂商不得安装未经用户同意,擅自收集、修改用户信息的软件,以及给用户造成流量消耗、费用损失、信息泄露等不良后果的软件。
但从手机商到达用户存在监管真空地带,而用户下载渠道也是五花八门。在此链条上,有开发者、渠道商、广告商、手机商、运营商等多种角。 APP应用商店有六种不同商业模式。包括原始操作系统自带的APP应用商店,第三方操作系统自带的APP应用商店,运营商自建的应用商店,独立第三方 APP应用商店,软件开发商直接提供的APP安装包,已安装软件提供的APP下载链接。尤其是最后一种,未经过安全检验,风险较大。
目前APP监管至少存两大难点。一是发行渠道如何管控;二是如何把握好监管的尺度,在保证消费者权益的同时,如何鼓励创新。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论