“2012智慧城市高层论坛”分论坛“移动智能终端应用安全分论坛”12月7日在北京举办。飞象网作为直播媒体将对会议做全程报道。直播内容:
工信部电信研究院通信标准研究所移动互联网部主任刘东明
刘东明:谢谢林教授,刚才对智能终端的演讲我是非常认同的。那么终端的形态也越来越多,咱们现在探讨的更多是集中在手机这一块。实际上未来随着智慧城市,物联网的发展,作为智能终端,作为一个各种传感器的一个聚集点,这个设备的重要性,大家会看到会越来越高,随着他的重要性的提高,安全问题如果不解决的话,将会在未来很大程度上限制整个产业的发展,接下来我就智能终端的安全问题和对策给大家进行一下探讨。
今天上午我主要讲两个问题,一个是智能终端的安全问题的分析,还有一个是针对这些问题有什么样的解决的对策。大家知道智能终端现在自从Iphone在2007年发布之后,发展得非常快,现在已经进入了一个非常高的一个普及的阶段,同时,应用商店业发展得非常迅猛,终端加服务,成了现在移动互联网非常典型的一个业务模式,那么从全球范围来看,智能终端出货量在2012年上半年有一个统计,已经达到了将近三亿,同比增长超过40%。那么全球搭载安卓的智能终端的出货量达到了一亿多部,占比非常高,现在是将近70%的占有率。
那么,当然这是跟他的业务模式有很大的关系,他是开放的操作系统,同是他的移动商店也是一个非常开放的商店。那么,应用的数量发展得也非常快,作为两个典型的像APP STEP和安卓的商店已经有应用了,而且每个平台的应用超过了七十万,下载量也非常大,这个不细说了。作为国内的智能终端的发展,上半年我们有一个统计数据已经是接近一亿部了,同比增长应该说翻了将近两番。这里绝大多数超过80是基于安卓的操作系统,国内的应用商店同样发展得速度非常快,我们最新统计超过70家的应用商店。应该说这些应用商店几乎完全提供安卓平台的应用。像91助手等等的这些应用商店已经有将近50万个应用了。为什么这里反复的提到了安卓的手机,安卓的应用商店,这跟安全有很大的关系。
随着智能终端的发展,现在的问题越来越凸显出来,那么,中国应该说是移动互联网门前的一个重灾区,为什么这么教,因为在中国的移动恶意程序增长得非常快,不但威胁用户的隐私,用户的利益,甚至是危害了国家的安全。那么,这里有业界的一个安全公司提供的统计数据。2012年上半年已经接获了一万七千多款的恶意软件,这里是78%是来自于安卓平台。就整个病毒感染的比例来看,已经超过了四分之一。这是在世界上也是列了第一位的。
同时,像感染的这些恶意应用,已经发现了有十五款,他的感染量已经超过了十万台的手机,这是来自于网秦的数据,另外一个数字是来自于360今年一季度,安卓的行货,水货手机的感染率,作为行货已经有将近三分之一的手机感染了病毒,同时水货的手机感染量给大。这对我们的市场,对我们的用户安全构成了非常大的威胁。基于软件层面主要是操作系统的漏洞。
这相当于说不是操作系统厂商主观上恶意的,但是客观上,软件做出来这种安全性总会有脆弱的地方可以被利用。除了这个操作系统漏洞之外,还有安全机制的问题。像这种开放的操作系统,开放的API,完全开放的提供给了应用。这个应用程序在调用这些程序的过程中,如果不对用户进行提示,是在用户不知情的情况下进行调用,来上传一些信息或者是收取一些信息都会对用户造成很大的威胁。比如说像搜集用户的IP信息,地理位置信息,甚至是手机上的通信录,以及短信等等用户比较敏感的数据。还有就是说像类似于比如说监听,可以把用户的数据完全可以从第三方来获得。
我们研究院也进行了非常深入的研究,也发现了这是我们曾经和业界的公司一起合作,开发了这么一个应用,这个应用干什么呢?就是说完全的可以取得这个智能手机的权限,取得了这个权限以后能做的事,可以通过远程来控制手机拨打电话,这是用户不知情的,或者是通过手机来发短信,那么你自己不知道,但是实际上接收方以为是你发出来的,基于这样的技术可以做很多的恶意攻击。
同时像手机上的电话号码本也好,通信本也好,就像在自己的计算机硬盘里面调取数据一样,非常方便。
除了漏洞一样,还有后门。主观上我要留这么一个口子,可以远程应用,发生问题的时候,我可以通过远程应用删除。客观上这样的口子可以给不法分子利用,进行一些恶意操作。
针对市面上出现的安全问题,安全的恶意应用,我们进行过系统的梳理,我们看看智能终端会面临哪些问题。左边下边这一大块是智能终端,右边是应用商店以及第三方的应用服务器,基于这两者之上是应用软件,包括预置的软件和用户买手机以后,自己下载的第三方的应用软件,这一块有很大的问题。包括智能终端的应用方面,包括协议方面,这是比较低层了,涉及到信息的安全,用户数据的存储安全。现在从终端角度来讲相对薄弱一些,还有就是涉及到协议,针对空中接口的安全,通过空中接口把通信数据拿到,这一块的保护还涉及到安全上的隐患。
除此之外智能终端的操作系统也是一大块。原来作为智能终端的行业管理。可能更多的是偏重于对硬件,对视频,对协议,包括对入网测试的重心在这。对于智能终端的发展,更多的要在原来的基础上对智能终端的操作系统,对应用软件进行更进一步的安全的审核。这样的话才能保证对智能终端安全能力的提升和对产品安全要求的实现。
那么这是智能终端这一块。那么单单有了智能终端的安全,其实还远远不够,这举一个例子,像是说家里面的门锁已经做得非常好了。但是你试试上不能换成小偷还有这样的危险。作为恶意应用,非常重要的传播平台就是应用商店。现在来看,就是基于安卓的生态系统,对于应用的安全审核的这一块做得非常不够。进入的门槛非常低,这就埋下了非常大的隐患。
那么,除了这个应用商店以外,应用本身作为一个联网应用的话,还会和第三方的应用服务器进行通信,这就会带来动态信息管理的问题。因为你这个应用本身是没有问题的。但是等到下载到手机上之后,那么再更新新的数据的时候,这个信息本身就要出现问题。
然后应用软件,我就不再细说了,这是分了八大类,我们也做过,今年对十万多款的应用做过初测。这里也发现了像资费消耗,隐私窃取,诱骗欺诈、恶意复制等等,这都是比较经常发生的问题。针对这些问题安全我们也在研究解决的方法,在去年也是工信部做了管理办法。但是后来真正发布出来的,关于加强智能终端进网管理的通知,也是在今年六月份在工信部的网站上已经共示过了,很快进入发布了。
对制造终端的管理,就是要从三个层面,原来的是刚刚说过了。现在对操作系统对预置软件进行更大的关注。
对于应用商店,我们强调的是事前,事中和事后三个环节的管理。因为作为安全的问题,在座的专家也都知道,这不是一个一劳永逸的问题。一定是伴随着技术的发展。产品的普及会不断的涌现出新的安全。
从应用审核的角度,也不可能做到对应用审核通过以后,不能保证彻底没有安全问题。但是事前对应用的审核,会很大程度上解决这样的问题。同时对开发者建立信用机制也会一定程度上解决应用软件在上线之前面临的安全问题。
应用软件上线之后,在事中还要不断的进行监测和抽查,甚至是举报的机制,通过用户来发现安全的问题。在事中发现了安全问题以后,事后还要有应用的下架,责任端的处置,这是一整套的管理。对于这样的机制,也需要一些技术的手段来配合,作为技术手段,现在我们其实也在和业界的公司一起在研究开发这样的系统。对智能终端和应用软件,安全问题,包括事中监测。同时一些管理政策方面我们也做了大量的工作,在推动管理制度上。那么这就是涉及到技术层面了,整个的管理体制,我们坐下来之后如何的让应用更加的可行,我们通过了这样的一个完整流程。包括最后进行了怎么样让终端去识别,这个时候我们就完整了。
除了基础政策研究之外我们在标准上也做了大量的工作。现在针对应用商店的安全,针对智能终端的安全制定了相关的安全技术要求。对相关的产品安全能力的提升上,这是终端安全的监测,这也不细说了。这是针对终端上每一个环节上有相应的方法和手段,来进行测试。
我们也曾经对智能终端做过两千多款了,对市面上的手机的安全能力也有了一个比较详尽的了解。包括对预置应用,2010年恶意欺费的应用,部里做了专项的治理工作,现在好了很多。现在发现预置应用里面更多是存在着容量耗费的问题,我们也做了测试。这是应用软件的安全评测能力,这个也不再多说了,因为现在这样的技术,我相信这些安全公司,包括以前在互联网上大家遇到的病毒、木马等等都有相应的比较成熟的技术。
移动智能终端单看是一个设备,事实上这个产业链非常长,也非常复杂。那么,我们也希望和产业链的各方携手来打造安全、可信的生态环境,来推动移动互联网的健康发展,谢谢大家。
