加州大学伯克利分校出版了研究报告“手机恶意软件现状调查”。他们在报告中指出:手机恶意软件的威胁已经到了“兵临城下”的阶段了。
手机恶意软件分类
加州大学伯克利分校的研究团队将手机恶意软件分成了三个大类。这三类软件的行为有所不同,所以我们在提问前首先了解一下这三个分类的具体特征:
恶意软件: 以盗窃数据、毁坏设备或骚扰用户为目的植入手机中。攻击者通过欺骗的方式诱使用户安装恶意程序或利用手机漏洞远程下载并安装恶意程序。恶意软件不会合法的告知受影响的手机用户。
此类软件包括木马、蠕虫、僵尸网络以及病毒。包括美国在内的很多国家,都认定恶意软件是非法的,发布和传播此类软件将被判刑。
个人间谍软件: 收集用户个人信息,比如定位信息或一定时间内的文本短信息内容等。攻击者会接触到用户的手机并在用户不知情的情况下安装个人间谍软件。
个人间谍软件会将受害人的信息发送给安装软件的攻击者,而不是发送给软件的制造者。比如老公可以将该软件安装在老婆的手机中。在美国,这类软件是合法的,因为它并不存在欺诈用户的行为。
个人间谍软件忠实的旅行了自己的义务,并且完全符合购买者购买此软件的真实意图。但是,在手机用户不知情的情况下,将此类软件植入用户手机中,有可能涉嫌违法。
灰色软件: 此类软件属于合法软件,它收集用户的数据用于市场分析或改善用户体验。灰色软件会收集用户的数据,但是软件的开发商这样做并不是出于恶意。有些灰色软件的功能相当实用,也确实受到不少手机用户的喜爱。
灰色软件的开发厂商可能会再隐私策略条款中解释这种数据收集行为,但不一定足够清晰明确。因此灰色软件实际上是游走在法律边缘的一类软件,是否合法完全依赖用户是否对其提起诉讼或投诉,以及软件的隐私策略条款是否严谨。与恶意软件或个人间谍软件不同,灰色软件如果被判定非法,其开发厂商会受到罚款的处理而不是针对个人追究法律责任。
但是,就算一些流行的灰色软件是合法的,一旦用户知道这些软件在收集用户数据,也会有反抗情绪。因此手机应用软件市场对于灰色软件的态度,只能是具体问题具体分析。
#p#
问题
作者: William 和我讨论了论文中有关恶意软件分类的问题。我们觉得这种分类方法好像并不太符合技术风格。因此我们决定让Adrienne 来解释这个问题。
Porter Felt: 我们之所以采用这种分类方式,是因为这三类软件需要不同的处理方式。
·恶意软件可以通过反病毒软件查杀,或软件市场安全评论以及许可证等方式进行提示和限制。
·美国联邦贸易委员会 FTC会通过法律手段阻止合法的软件厂商在没有足够比例的客户赞同的情况下私自进行搜集用户数据的行为,也就阻止了灰色软件的产生。
·而对于个人间谍软件,由于关键一步是“攻击者”接触到了手机并安装间谍软件,因此用户要通过锁定屏幕或者手机不离身等方式确保不会有人将软件安装到手机中。
我们的关注重点是其中的恶意软件分类,因为这类威胁可以通过纯技术手段实现,也是我们所擅长的专业领域。
作者: 在这里我还要提一句,上次在撰写有关安卓手机安全软件的文章时,我和William 就通过Adrienne搞到了一些安卓系统的恶意软件样本。那时候我才知道他们的研究小组在收集手机恶意软件。
我请他们帮我对恶意软件样本进行了逆向工程。他们不但热心的帮助了我,还对捕获的恶意软件样本根据其行为进行了分类:
·泄露用户信息: 28
·增加电话费或短信费: 24
·发送垃圾短信: 8
·愚弄用户: 6
·泄露用户证书: 4
·搜索引擎优化: 1
·要求用户花钱才能自动卸载: 1
William 和我认为“泄露用户证书”的危险等级应该提高。出于好奇,我问Adrienne这个结果是否是他们所期待的。
Porter Felt: 我们本以为会看到更多的钓鱼攻击。不过我们相信未来这类攻击的数量会更多。该统计是我们在今年夏天进行研究时做的,在那之后我们又发现了至少一个新的泄露用户证书的恶意软件,即一个Netflix的钓鱼程序。
我当时还预计会有更多的搜索引擎优化类恶意软件,但实际上并没有我们想象的那么多,可能是因为此类恶意软件不能直接给用户带来伤害,因此被报告的几率较小。
作者: 我重新阅读过报告中有关兜售用户信息的利益分析,看上去是钱说了算:
“带有广告的合法手机软件每月可以从每个用户那里赚得1.90到9.50美元,这包括收集用户位置数据所带来的收益,以及播放广告的收益。”
请问这是每个月的收益?这是不是能够解释,为何不论是善意还是恶意的软件开发人员,都愿意开发一些免费的带有广告的手机软件?他们希望每月都能获得收入,而不再指望通过用户一次性购买软件来发财。
Porter Felt: 更准确的说,合法的程序可以采用这种方式每月从用户的使用行为中获得收益。如果开发者能写出一个让用户经常使用的软件,那么他可以通过广告的方式获得比兜售软件更多的收入。
但是更多的情况是,大部分手机软件在安装后使用一两次,就不再被用户使用了。因此合法的软件开发者必须了解他所开发的软件“粘性”(或称为上瘾性)有多高。而恶意软件则采用了不道德的手段,就算用户不想用这个程序,它也会自动运行。
作者: 我注意到“愚弄用户”类型的恶意软件数量比我想象的要多,这是为什么呢?
Porter Felt: 当有些人看到橡皮泥,就会忍不住去捏个形状出来。面对手机系统或电脑系统,也是一样的。有些程序员无法抵抗研究新系统并从中发现漏洞所带来的快乐,他们根据系统可利用的漏洞或功能编写一些愚弄用户的程序,只是为了娱乐。
作者: 由于软件商店中可以提供大量的手机程序,你们的报告中将很多责任推给了软件商店。你是不是认为软件商店有责任确保其所分发的软件都不包含恶意代码?
Porter Felt: Apple的软件商店有一套检验流程,可以高效的检测每个软件是否含有恶意代码。但是我觉得对于手机恶意软件来说,这个方法可能没有长期效果。因为我觉得未来一个软件商店要检验上百万个软件是否安全,是很难的。虽然现在它们的效果不错,但未来这个方案肯定是需要改进的。
作者的同事Francis: 报告中花了不少篇幅用来解释手机下载程序市场的概念,以及不同的市场是否对软件有审查过程。
但是我没有看到关于到底有多少安卓恶意软件被放在官方下载市场的具体数字,以及这些恶意软件在上市多久后才被下架。我觉得这个数据会很重要,因为就算我只是从官方网站下载手机软件,如果下载到一个带有恶意代码的软件,我的手机系统所面临的安全风险还是会戏剧性的增加。
Porter Felt: 我同意你的观点。在我们的调查数据中,只有四个恶意软件曾经出现在安卓的官方下载中,而安卓的系统安全团队在发现这个问题后都是立即将恶意软件移出了官方市场。不过在其它非官方下载市场,这些恶意软件可能还是存在的。
而且很不幸,我也无法确切的知道每个恶意软件在被发现并下架前,到底在安卓官方下载市场上存在了多久。
作者: 你们在论文中还预测了未来手机恶意软件的发展方向,这一点我和William 都印象深刻,比如你们预测未来主要的威胁类型包括:
·广告点击欺诈
·攻击型广告
·程序内的账单欺诈
·涉及政府
·垃圾邮件
·分布式拒绝服务攻击
·涉及近场通信和信用卡
其中两个预测很吸引我,一个很有创新,另一个让人觉得恐惧。首先,程序内的账单欺诈是如何工作的?其次,为什么政府也会被牵涉到手机恶意软件这个问题里呢?
Porter Felt: 程序内的账单欺诈可以通过多种方式来实现。其中之一是钓鱼。比如一个用户尝试用手机进行网络购物,他看到了一个伪造的“输入密码”的页面,接下来就不用我解释了。另一种潜在的攻击方式是那些具有支付功能的程序(比如手机的软件店)。如果软件店存在漏洞,可能会被某个程序利用,以手机用户的名义欺骗软件店购买各种软件,给手机用户带来损失。
至于政府所涉及的安全问题方面,有些政府出于政治或国家安全角度的考虑,会通过一些手段来监控居民的通信。比如阿拉伯联合酋长国就曾经秘密命令当地ISP发布一条虚假的黑莓手机升级补丁,实际上该补丁会获取黑莓手机用户的电子邮件。
作者: 你们的研究报告显示,不论是恶意软件开发人员还是手机用户,都倾向于对智能手机进行“越狱”。前者希望通过这种方式绕过安全机制,后者则希望通过越狱让自己的手机更个性化。
为了证明这个结论,研究团队将收集的数据根据时间进行了整理,如下表所示:
该研究结果显示,越狱是不可避免的,而且在手机或新固件发布后不久,对应的越狱方案就会出现。就连苹果的iOS4 系统也无法避免越狱,在发布后两天,iOS4的越狱方案就出现在互联网上了。
在论文中,我还被一个相当前卫的结论所吸引。这个结论是有关于如何消除越狱现象的。下面就是Adrienne 对此的解释:
Porter Felt: 目前,手机设备制造商和网络运营商通过销售“加锁”的智能手机,间接的帮助了恶意软件制造者。而市场上对于非加锁智能手机的需求相当强烈,因此专业人士才开始想办法进行越狱。
我们认为,手机制造商和网络运营商应该提供一种简便的解锁方法,能够让手机用户自己操作进行解锁,而不是采用不法手段进行越狱。这种方法将彻底打消技术爱好者对于手机越狱的热情。
作者的同事Francis: 网上有很多关于root exploits的讨论,尤其是针对安卓系统的。我想知道,除了建议非加锁的boot loader以外,对于开源项目对手机安全的影响您是持什么态度呢?
Porter Felt: 就我所知,安卓开源项目还没有被发现存在安卓系统权限方面的漏洞。而安全专家在一些软件中确实发现了此类漏洞,不论这个软件是否是开源的。实际上,缺乏软件源代码并不会给经验丰富的黑客寻找软件漏洞带来多大的麻烦。正如我刚才提到的,连 iOS这样的系统也在两天内就被破解了。
作者: 貌似以往出现在台式机上的恶意软件问题以及硬件设备的竞赛等现象都开始在手持设备上出现了。从其他因素上,您是如何评价智能手机设备的硬件和软件的?
Porter Felt: 智能手机安全的发展方向是正确的。智能手机操作系统厂商可以从以往台式机操作系统和软件的发展经历中吸取经验教训。因此目前的智能手机才有了保护消费者的各种工具,比如权限许可以及对官方软件店的安全审查过程。
而且,成功的智能手机技术现在正在移植到桌面设备。苹果的Apple App Store for OS X就是个很好的例子。我认为未来桌面浏览器会更多的融入智能手机平台上的元素。
总结
加州大学伯克利分校的研究团队经过长期努力,对现有的手机恶意软件进行了分类,并对未来的手机安全威胁进行了预测。貌似现在的数字犯罪份子比以往更加关注手机市场了。
