曝三星HTC等廣泛運(yùn)用安卓手機(jī)軟件近九成存隱患

本報(bào)北京訊 使用“惡意充電器”，60秒內(nèi)你的Iphone就可被遠(yuǎn)程操控；瀏覽惡意網(wǎng)站，電腦上的一切私密信息都將被肆意窺探……互聯(lián)網(wǎng)“入侵”了我們的生活，隨之而來的信息安全危機(jī)正日益凸顯。

昨日，由中國互聯(lián)網(wǎng)協(xié)會、中國信息安全測評中心指導(dǎo)，360公司主辦的2013中國互聯(lián)網(wǎng)安全大會(ISC)在北京國家會議中心舉行，大河報(bào)作為河南省唯一受邀媒體參會。來自全球的近百位信息安全專家聚首這次國內(nèi)規(guī)模最大的信息安全專業(yè)會議，聚焦互聯(lián)網(wǎng)時(shí)代引發(fā)的安全變革。

改裝充電器一分鐘內(nèi)黑掉IPHONE

從電腦到手機(jī)，從大屏到小屏，互聯(lián)網(wǎng)技術(shù)便利了生活，讓溝通、支付、娛樂無處不在，卻也讓我們嘗到了科技的“苦果”。

只要知道一個(gè)手機(jī)號碼，向?qū)Ψ桨l(fā)送一條二進(jìn)制編碼的短信，就能侵入對方手機(jī)安裝惡意程序，實(shí)現(xiàn)竊聽或遠(yuǎn)程控制；利用偽基站，黑客就可以變身110、10086等“特殊號碼”，用假冒的任意號碼打電話或發(fā)詐騙短信，讓受害者防不勝防……

智能手機(jī)的普及，讓移動(dòng)終端逐步成為黑客“下手”的新目標(biāo)。昨日舉行的2013中國互聯(lián)網(wǎng)安全大會上，來自美國佐治亞理工的研究員宋程昱現(xiàn)場講述，“拇指一族”最常借用的手機(jī)充電器，怎樣成為黑客攻擊個(gè)人信息的渠道。

將蘋果手機(jī)與被“加工”后的充電器相連，不到一分鐘，黑客就能毫無征兆地獲取設(shè)備信息、進(jìn)行配對，并安裝針對該設(shè)備的描述文件，進(jìn)而為手機(jī)安裝隱藏“有毒”應(yīng)用，偷窺手機(jī)屏幕，竊取應(yīng)用密碼甚至用手機(jī)網(wǎng)銀進(jìn)行支付。

宋程昱介紹，這款“惡意充電器”名為“黑寡婦”,連接到蘋果設(shè)備(不需要越獄)即可完成攻擊；在攻擊過程中用戶無法察覺；可以做很多普通應(yīng)用無法完成的惡意操作的強(qiáng)大功能。

安卓定制存漏洞，可偽造銀行短信

昨日，大河報(bào)記者從大會獲悉，被三星[微博]、HTC等熱門手機(jī)品牌商廣泛運(yùn)用的安卓手機(jī)軟件，其定制系統(tǒng)有近九成存在安全隱患。

惡意程序通過安卓定制系統(tǒng)所帶來的漏洞，可偽裝成銀行短信號碼并發(fā)送內(nèi)容給機(jī)主，也可偽裝成包括親友號碼在內(nèi)的任意字符發(fā)送詐騙短信。昨日互聯(lián)網(wǎng)安全大會上，360移動(dòng)研究院高級研究員周亞金現(xiàn)場演示了黑客利用定制手機(jī)引發(fā)的漏洞，導(dǎo)致惡意程序任意偽造來自銀行短信的全過程。

演示過程中，在座嘉賓看到，這些銀行短信并非真實(shí)銀行所發(fā)，而是由惡意程序偽裝而來，且銀行短信內(nèi)容及發(fā)送號碼可被任意控制的，也就是說，除銀行短信外，還可偽裝成親友號碼等更多的釣魚短信，使接受用戶喪失安全警惕，因此該類漏洞所出現(xiàn)的惡意程序具有非常大的迷惑性。

在分析的手機(jī)中，64%到85%的漏洞都是由于廠商的定制所造成的。

移動(dòng)領(lǐng)域的手機(jī)木馬病毒危害，正由最初的扣費(fèi)、耗流量向操縱手機(jī)發(fā)送詐騙短信、隱私竊取等方向轉(zhuǎn)變，具備盜取網(wǎng)銀密碼能力的手機(jī)木馬也日益增加。

記者了解到，今年上半年，僅360互聯(lián)網(wǎng)安全中心截獲的新增手機(jī)木馬、惡意軟件及惡意廣告插件就達(dá)45萬款，感染總量超過4.8億人次。

360稱，二季度網(wǎng)購人均受騙額為1133元

拇指輕點(diǎn)“授權(quán)支付”，短短24秒就被不法分子轉(zhuǎn)走10萬元現(xiàn)金。掃了惡意二維碼，一覺醒來卡上萬余元不翼而飛。網(wǎng)購為“淘一族”省了銀子，卻因安全問題頻發(fā)讓不少網(wǎng)購族吃了大虧。記者了解到，2013年上半年我國人均網(wǎng)購消費(fèi)650元，而360公布的2013年二季度網(wǎng)購人均受騙金額為1133元，幾乎是人均網(wǎng)購消費(fèi)的兩倍。

怎樣辨別和防范網(wǎng)購詐騙？

昨日大會上，資深安全研究員萬仁國表示，常見的網(wǎng)購欺詐有木馬、釣魚和人工欺詐三類。

網(wǎng)銀劫持和支付劫持木馬，會在網(wǎng)民執(zhí)行付款操作時(shí)，秘密篡改收款人、商品名目、付款金額等網(wǎng)銀訂單信息。消費(fèi)者在搜索引擎里查詢商品信息或用聊天工具與商家進(jìn)行在線溝通時(shí)，容易被藏身其中的釣魚網(wǎng)站迷惑，點(diǎn)擊“中招兒”。

此外，依靠溝通技巧對受害者進(jìn)行心理攻勢的人工欺詐騙局，在互聯(lián)網(wǎng)時(shí)代愈加泛濫。對于不了解網(wǎng)購規(guī)則的消費(fèi)者，詐騙方往往將可綁定兩張銀行卡的“授權(quán)支付”功能，說成交易出現(xiàn)異常時(shí)的“解鎖器”，使不熟悉甚至從沒聽說過網(wǎng)銀授權(quán)支付業(yè)務(wù)用戶，輕易將自己的網(wǎng)銀“授權(quán)”給了騙子。

萬仁國認(rèn)為，“網(wǎng)址云安全”等新型互聯(lián)網(wǎng)安全技術(shù)雖然能在一定程度上與釣魚網(wǎng)站進(jìn)行技術(shù)對抗，但能否在反人工欺詐領(lǐng)域?yàn)榫W(wǎng)民提供大量服務(wù)支持，將成為安全廠商確保網(wǎng)民安全上網(wǎng)的重要發(fā)力點(diǎn)和突破點(diǎn)。