7月23日近日,由百度安全实验室发布的《2014年第二季度移动安全报告》显示,中国手机用户正面临严重的手机安全威胁,其中恶意软件高速增长,尤其是窃取隐私类恶意软件呈现爆发增长之势,另外,手机网银、安卓系统等存在安全漏洞,给了不法分子可乘之机。手机支付安全已成为当下用户面临的最为紧迫的手机安全难题。
支付类隐私信息成恶意软件最大目标
随着手机上的金融,购物,社交等功能逐渐成为人们生活中不可缺少的部分,人们的手机上也承载了越来越多的隐私信息。其中很多隐私信息与金钱利益直接或间接相关,因而很自然地成为了恶意软件开发者的目标。
据百度《2014年第二季度移动安全报告》显示,和上一季度相比,隐私窃取类恶意软件的比例上涨达到了17.9%,上涨幅度达到了57%。恶意软件的种类较多,例如针对一种手机银行恶意软件就多达几十款;而且大部分恶意软件是对用户一种或几种隐私信息进行针对性地窃取,隐蔽性更强,更难以被轻易检测到。
据安全专家分析,隐私窃取类恶意软件主要有三大特征。其一,冒充网银、支付、购物、社交等应用。数据显示,今年第二季度光是各种网银应用的山寨版本就超过了500款,由于这类山寨应用的开发门槛极低,且欺骗性很强,已成为对用户隐私的最大威胁之一。此前百度安全实验室截获的“微信支付大盗”就是一个典型案例,山寨微信“以假乱真”,试图获取用户输入的手机号、身份证号、银行账号等信息。
其二,恶意软件开发者的技术能力增长,开始采用进程注入的方式来窃取用户敏感信息。这类技术同样可以使用在网银、支付等应用中,root后的手机极易中招。“聊天剽窃手”病毒便是百度目前发现的首款通过ptrace进程注入方式进行恶意窃取私密资料的病毒,它能够实时监控手机QQ、微信的聊天内容及联系人信息,带来严重的安全威胁。
其三,电信诈骗和支付类病毒应用等多种诈骗手段的结合。为了突破银行、运营商、支付机构使用的“手机验证码+密码”的双重认证机制,一些恶意软件中集成了网页钓鱼及监听手机短信等技术,一方面通过钓鱼网站或者页面窃取用户的密码信息,一方面通过监听用户短信来窃取手机验证码信息。日前,被百度安全实验室拦截的病毒中“伪中国移动客户端”就是采用“伪基站”诈骗短信发送技术,发送虚假10086的短信,诱导用户点击钓鱼网站链接;并在钓鱼页面诱导用户输入网银账号、网银密码、下载安装“伪中国移动客户端”病毒,拦截银行验证短信,进而窃取用户银行账户资金。
网银漏洞和安卓系统漏洞威胁支付安全
除了恶意病毒软件以外,银行APP本身的漏洞也成为支付安全一大威胁。百度安全实验室近期发现,包括邮储银行,兴业银行,交通银行,广发银行,华夏银行,光大银行等在内的近20家手机银行软件都使用了或者曾经使用过同一款数字证书签名。
据了解,Android系统中证书是用来建立应用程序与其所有者之间的信任关系,是Android安全机制中的重要组成部分。银行作为独立的公司实体,且与用户财产密切相关,理应使用独有的签名证书来标识其客户端的唯一性,并且严格管理此证书确保不会外泄。即使程序是由其他公司负责开发,证书也应该由银行自身来进行独立管理。否则基于Android系统中使用相同证书的应用可以利用的一些规则和权限,一旦证书被不法分子来制造恶意程序,就会给网银用户带来安全威胁。
除此之外,近日Curesec团队公开了其之前发现的Android系统漏洞CVE-2013-6272的技术细节。该漏洞存在于Android系统的电话模块中,恶意程序可以利用该漏洞,在无需申请拨打电话权限的情况下,在后台拨打任意电话(包括付费电话),给用户造成资费消耗;也可以挂断当前正在进行的通话,对用户造成严重的干扰。百度手机卫士安全专家提醒广大用户,该漏洞的影响面很广,从Android 4.1.1版本开始就已经存在,建议用户升级到4.4.3版本进行修复。
佰佰安全网在此提醒大家,针对日益复杂的支付环境,手机移动支付作为新兴领域,所出现的安全问题对于移动安全厂商来说是全新的挑战。保障移动金融安全,应从技术攻关、用户体验、行业合作这三方面共同努力,以此来构建移动安全体系。
( 责任编辑: 吴梦莉 )
1816
