专家谈移动应用漏洞威胁双系统将大有作为

病毒木马总量超过3亿，恶意扣费类样本占比67%，每5.6台安卓设备中有1台感染病毒，97%热门APP存漏洞风险……这一串串触目惊心的数字，正是中国通信信息研究院安全研究所室主任戈志勇，在首届“中国手机安全论坛”上所提出的，而这一连串数字的背后，也暗含着一条黑色的产业链。统计显示，2015年黑灰产收入高达数千亿元。

据戈志勇主任介绍，随着应用数量的快速增长，带有病毒木马的仿冒APP的数量也非常庞大，社交类和金融类APP最常被仿冒，其中，社交类排名前十的APP平均有500个仿冒，这些仿冒应用大部分都有恶意扣费行为。而且，应用自身的漏洞和安全防护缺陷，也造成应用易于仿冒，恶意程序嵌入仿冒应用中广泛传播。

目前，这一黑灰产业已经形成相对成熟的产业链条，有着完整的结构、明确的分工和先进的工具，利用恶意程序、应用漏洞、伪基站、伪AP等窃取用户隐私，开展电信诈骗，盗取用户钱财。

2015年移动操作系统漏洞数量暴涨，应用开发阶段引入的漏洞数量也非常巨大。如去年IOS的编译器Xcode中被植入恶意代码，百度应用开发SDK的漏洞，都造成了大范围的影响。仅去年11月就爆出了环球网APP、聚财猫APP、好利网APP等漏洞，百万级的用户数据：银行卡、身份证、手机号等信息被泄露。

应用自身的漏洞成为黑客的突破口，进而攻击应用的服务端，窃取用户隐私数据。对于用户来说，如果泄露了身份证、手机号、邮箱帐号密码等信息，或许不会导致过于严重的后果，但如果由于不慎使用“山寨”的银行手机客户端、购物软件等APP，那么造成的经济损失是难以估量的。

据介绍，这些山寨App与正版相似度极高，用户几乎无法分辨，一旦用户用其登陆，账号和密码便会被窃取，发生财产被盗等情况。

针对这一情况，不少专家都表示应制定相关规范标准、加大惩治力度，同时也需要应用开发者、应用商店、手机厂商及行业监管部门协同应对。如工信部12321网络不良与垃圾信息举报受理中心副主任郝智超则提出，手机厂商也要发挥强大的作用。

郝智超副主任表示，目前的趋势是安全软件厂商在向手机厂商进军，手机硬件厂商也在向安全厂商进军。像酷派这样的手机厂商推出双系统的好处在于把选择权交给了用户，一个手机里有两个手机操作系统，用户可以选择使用哪个操作系统，木马程序、非法超链等也很难通过双系统的防范系统。如果手机厂商未来再加上对不法信息随时举报的功能，就更能帮助用户。

郝智超副主任所提及的“双系统”，是指在一部手机中自备两个独立运行的系统，一个是安全系统，另外一个是开放系统。开放系统就是平常的手机系统;而在安全系统里，所有的APP都是经过官方安全认证的，用户可以在安全系统进行网络支付、购物、投资理财等行为。

据酷派安全专家介绍，具有恶意病毒的APP均不会出现在安全系统的应用商店中，更不会出现山寨APP，如果用户不慎下载了不安全的软件，这些软件将无法被安装，从而在根本上避免了被盗取账户信息的可能。

对于酷派的“双系统”技术，戈志勇主任也予以了高度肯定，认为其“为手机提供了良好的应用环境，这是个有效的解决方案”。

不得不说，未来移动应用漏洞威胁还将长期存在，政府的监管、行业的规范能够在一定程度上起到遏制作用，终究无法短时间内完全令其消亡。在此过程中，作为目前唯一行之有效的解决方案，双系统手机将大有作为。