硕鼠的博客站

eoe移动开发者大会下午，我参与了Android分论坛的活动。

第一位演讲的是金山网络的CTO——徐鸣。他演讲的主题是“什么是移动安全”。

作为新加盟金山网络的员工，这是我第一次比较完整的听到金山网络在移动安全方面的声音。

首先，徐鸣先提出了一个问题，那就是移动设备是不是安全的？那些骚扰电话和短信，是手机首先要解决的安全问题吗？传统PC上的那种感染型病毒，是移动设备上的主要安全问题吗？移动设备上到底存不存在安全问题呢？

答案是所有人心里都清楚的，移动安全问题已经非常严重了，已经危害到了移动互联网大环境的健康成长。移动设备上的安全问题，主要来自于智能手机的操作系统和应用，不再是感染型的病毒。

最早接触到病毒这个词，应该是在91年刚上大学的时候，那个时候对于病毒的定义是：没有文件名的程序。每一个程序，都要有一个名字，以方便其他人或应用能够找到它，运行它。病毒则没有文件名，没有名字。病毒将自己贴在其他有名字的程序里面，在其他程序运行的时候，顺带运行，然后再去感染其他程序，以达到传播的目的。

现在，移动设备，特别是手机已经和我们每一个人的生活息息相关了。手机里面存储的大量的隐私信息，我们用手机打电话、发短信、办理银行业务、购物、娱乐。

手机的安全问题要比PC更加严重。PC时代的安全问题，主要是一些程序高手为了显示个人的技术成就而做的一些恶作剧。手机时代的安全问题，背后是有经济利益推动的。现在常见的移动安全问题包括：偷跑用户的流量、影响用户的使用、盗窃用户的隐私，甚至是直接恶意扣费。

现在的手机App，特别是Android下的App，数量庞大、版本繁多、分发渠道混乱。用户很难作出选择，并对应用进行管理。这其中有些应用的质量实在是让人无法恭维，同一个应用，在市面上也流传着各种各样渠道修改过的版本，让人晕头转向。前几天在地铁里面看到几个中学生在玩儿神庙逃生，感觉不错于是就去几个大型的市场里面搜索，结果版本繁多，根本搞不清应该下载哪一个。

当前，手机安全案例曾出不穷。现阶段，手机等移动设备上的主要安全问题，集中在广告和隐私问题上。

徐鸣为大家列举了很多案例。

 


以上面这个应用为例，一个星座的应用，却需要获取手机号，并上传到网上。需要获取手机中安装的软件清单，并上传。这个软件使用了客户的1.84M流量。弹出了通知栏广告，却不告知用户这个广告是那个应用弹出的。

这些应用盗窃用户的隐私信息，下图是金山监控到的某软件的广告SDK调用的云端链接就是这个样子的：


有些广告会遮蔽应用的操作区，以增加用户误点击的概率，从而提高广告的点击率。



这款叫做水果对对碰的应用上居然挂接了35个不同厂商的广告插件。这应该就是那种被修改版本了，应用开发者很少有人会丧心病狂的往一个应用中加入这么多的广告插件。一些应用中所嵌套的广告，是应用开发商和广告平台正式签约，然后放进去的。为了得到更高的收益有些应用会选择同时签多个广告平台，最多也就是三四个的样子。但是这种一次性放进去几十个广告插件的应用，通常都是未经开发商允许的修改版本。这种被修改的版本上，会将应用开发厂商所添加的广告去掉，换上其他的一些广告。然后这些版本会在各个博客、贴吧、论坛中流传，有个别不正规的Market也会放这种版本的应用。这种行为在影响了用户体验的同时，也极大的伤害了开发商和广告平台的利益。

 

更有一些恶略的应用，会在应用里面向外发短信，然后再读取用户的短信列表，这些应用能够自动胁迫用户订阅一些收费服务。自动发出服务订阅的短信，自动的接收回复回来的短信，然后再发送确认短信。

很多支付平台现在使用手机作为移动支付的最后确认手段。淘宝和很多网银都会在网上交易的时候，向用户发带有随机数字的验证短信。一些应用可以自动获取这些验证码，然后再去实现一些不可告人的目的。

手机号码、手机的IMEI号、地理位置信息、手机上安装的软件列表、通讯录、通讯记录、短信记录这些都是隐私。现在到底有哪些应用在我们的手机中提取这些信息呢？这些信息被提取，并传输到云端之后，又被拿来做什么用途了呢？这个问题，光是想一想，就让人觉得不寒而栗。

徐鸣还介绍了几个手机安全漏洞方面的案例。

手机安全漏洞，属于那种由于开发者不慎，而存在于操作系统或应用中的安全隐患。这些漏洞如果被发现，并被某些心怀叵测的人所利用，就会造成非常严重的后果。

近些年来比较著名的Android漏洞包括：Root提权漏洞，也就是说一个应用程序能够通过某个漏洞使自己拥有管理员的权限；远程擦除漏洞，用户只要点击一个互联网链接，就可以将手机上的所有信息通通擦除。建行网银应用，则出现过钓鱼漏洞。这些漏洞都会在被发现之后，第一时间由相关的公司或部门修补掉。

金山在移动安全这一块提出的解决方法分为两个步骤：

1、发布手机毒霸产品，帮助用户远离那些恶意软件和带有恶意广告的软件。告知用户，哪些软件调用了用户的哪些隐私信息。手机毒霸能够做的，仅仅是告知，如果用户不喜欢那些恶意软件，可以自己去卸载。

2、提供云安全接口，允许所有的Market、网站、开发者自助使用，在他们相关的环节中，尽量降低用户的安全隐患。

最后，徐鸣提出了倡议：

行业的不规范行为，最终损害的是整个行业的利益。当年的SP行业，非常的红火，就是因为行业没有自律，最终被国家叫停。现在的移动互联网行业也是处在这样的一个阶段，要么进行行业自律，将安全问题始终控制在政府能够容忍的范围之内；要么，就这么愈演愈烈的混乱下去，直到有一天混乱程度超过了政府的忍耐限度，由政府出面来进行整顿。

安全，是为整个行业健康稳定的发展保驾护航的一个重要的领域。这个领域里面，如果是一个公司、一个部门或一个人来进行判定，那么很容易变成美国反恐战争那样的闹剧，他说谁不安全，谁就不安全，这是要不得的。安全的标准必须是公开透明的，所有行业的参与者和相关公司，都应该有权利对安全的标准提出意见和建议。大家也都应该有权利能够使用开放的安全工具，来保障自己的安全。

徐鸣的演讲结束之后，我又听了一两个人的演讲，没有等到会议结束，就提前退场了，去享受我所剩不多的周末欢乐时光。遗憾的是，遇到了帝都的周末大堵车，到家已经很晚了。据说现在帝都正在讨论，要在某些地区，某些时段再次启用单双号，这就是政府管制的结果，希望移动互联网不要因为安全问题而沦落到相同的地步。