趋势网(微博|微信)讯:
苏州一小区给业主分红户均分到4位数 打假博主揭良品铺子配料表黑 幕 前三季度结婚登记同比减少94.3万对 美国大选前夕更多富人计划离开美国 考研报名禁止使用海马体照片
看到 新闻 说,七夕节爆发的“XX神奇”手机病毒作者李某被抓捕归案。而这个扰乱了各大运营商、全国警方、各大手机安全软件公司员工们过七夕的病毒作者竟然只是个19岁的大一新生,而他制作这一手机病毒的目的却简单的让人可笑“出于好奇的心态,想自己尝试做一款全国大范围传播的手机软件。”
幸运的是,李某制作并传播的“XX神奇”病毒并没有加入恶意扣费、拦截支付短信、套取银行账号密码等危险功能,而且警方仅用9个小时完成了破案,我们或许认为这只是一个19岁学生的“恶作剧”,但是这个恶作剧从爆发到破案的整个过程却让我陷入深深的思考。
“XX神奇”缘何迅速爆发?
这名中南大学软件系的大一新生竟然可以轻松地制造出一个迅速传播的手机病毒,这表明该大学的教育水平高么?我想并不尽然,其中智能手机、移动互联网的普及、用户对手机安全的漠视,以及手机App开发工具、开发环境的简单化是重要原因之一。
1、手机病毒制作更加简单。我们随意在百度上搜索“手机病毒开发”关键字就可以搜到大量手机病毒开发工具、开发教程,甚至有一些病毒包提供下载。病毒作者只需要简单地编程知识就可以修改病毒包内容,然后传播病毒。
2、智能手机普及和安卓系统的开放性。由于智能手机的大规模普及,以及安卓系统的开放性,导致一些手机病毒可以轻松地利用违规调用手机系统权限的方式大肆传播。而“XX神奇”病毒就是调用了手机联系人、发短信两大权限,然后发带有病毒包下载网址的短信到自己的手机联系人,手机联系人下载安装了病毒包后,再自动发送带有病毒包的网址给其他手机联系人,让手机病毒瞬间以几何方式快速传播。
3、移动互联网的普及,以及用户对手机App权限提醒的漠视。当用户收到一个带有网址链接的短信,并且还是以“某某请看+病毒包下载链接”的方式提醒下载,很多人会中招。这得益于移动互联网的普及,下载APP并不再受限于网络和资费,可以随时随地下载。而在安装应用的时候,用户没有看系统提醒应用权限的习惯,导致病毒包可以轻松的被安装到手机中。
智能化、连接一切时代的安全危机
目前,不仅仅是手机开始智能化,家电、汽车、医疗、房子等一些物体都在准备或者正在进行智能化。而且“连接一切”已经在互联网巨头、科技IT产业达成了共识。而智能化和连接一切所利用的必然是“智能化硬件+操作系统”,而目前几乎都在使用的是开源的安卓系统。
安卓系统的开源和开放确实让整个世界都变得十分智能化,也让联网更加简单。但是我们真的不能忽视安卓系统的安全性问题。目前,90%以上新增的手机病毒均来自于安卓系统,这也让该系统成为最易被攻击的系统。而且在第一部分,我们已经看到了手机病毒制作的简单化和传播的高效率。
而在前不久的Geekpwn极客大会上,官方准备的特斯拉汽车、智能穿戴设备,甚至智能马桶都被黑客在现场攻破。试想,智能汽车被黑客攻破后,是不是可以实现对汽车的控制,而导致安全事故,甚至危及生命?智能家居系统遭遇黑客攻破后,可以轻松地修改智能门锁的密码,关闭家庭监控系统,然后实施抢劫和盗窃。
所以在智能化、连接一切的时代,安全危及也悄然逼近。由于这些智能设备与人们的关系更加密切,因此这种安全危机要比PC端的安全危及更让人担忧,所以智能化时代的安全更加重要。
智能化时代的安全防范措施
对于目前一直鼓吹的智能汽车、智能家居以及各类智能化设备,我一直有些担忧。因为在安全性无法保证的前提下,这些智能化尝试都意味着巨大的风险。再举个例子,有国外企业开发了防止儿童溺水的“智能头箍”,可以探测儿童在水底的时间,超出时间后立即向家长的手机报警。假如家长手机被病毒攻击,直接导致孩子遭遇溺水时,“智能头箍”不发出警报,家长却十分信赖高科技产品的性能,因此错过救援时间导致悲剧发生。而特斯拉汽车所代表的车联网,我也有同样的担忧,因为生命不能儿戏。
所以在没有十分完备的安全防范措施前提下,智能化、连接一切可能只是空中楼阁。对于安卓系统的漏洞问题,很多安全专家曾做过分析,认为其严重性、危害性比Windows系统更为可怕。而且安卓系统的碎片化,不标准,也导致Google在进行补丁推送的时候,很难像Windows那样迅速下发到所有用户。这个时候很多人会想起苹果iOS和微软WP系统封闭的好处。所以我们十分期待谷歌在下一个版本的Android系统中能做出有效改进,对系统漏洞的修复能有本质上的提升。
此外,“XX神奇”病毒作者仅9小时就被抓获,也给我们关于防范手机病毒的一些启发。据说,之所以能够如此快速的抓获该病毒作者,主要因为腾讯手机管家云端侦测到了病毒样本后,第一时间解析到病毒作者在后台留下的手机号和邮箱地址,然后通过这个线索查到联系人所在地,警方迅速抓捕到联系人。
因此,手机安全企业如何快速侦测到手机病毒,如何扩大自己的云端侦测能力,又如何将手机安全防护能力分发到所有智能设备上?另外,智能设备厂商在没有安全防护技术的时候匆忙推出没有经过安全验证的产品,是对用户的不负责任。各地警方又如何与手机安全厂商建立有效、紧密、快速的联动机制,这也值得各方思考和研究具体方案。
最后,我想替“XX神奇”病毒作者小李求个情,作为一个大学一年级的学生,只是因为好奇搞了一个可以快速传播的手机病毒,他并没有利用“XX神奇”牟利,也没有继续开发变种,应该与“熊猫烧香”作者李俊有本质的不同,所以应该可以获得轻判。