“2012智慧城市高层论坛”分论坛“移动智能终端应用安全分论坛”12月7日在北京举办。飞象网作为直播媒体将对会议做全程报道。直播内容:
中移动安全管理部技术处副处长冯运波
冯运波:谢谢您校长,确实我也是北邮毕业的,我的学位证都是当年林校长给我签发的,今天见到林校长很高兴。应该是这样,这几年也是在中国移动从事信息安全管理的相关工作。我介绍一下中国移动在移动终端安全或者是移动终端应用安全方面的一些思路。
主要是有几个方面,一个是终端的安全问题,终端的安全的,我们的中国移动领域的方案。然后也有下一步的一个展望。前面其实很多的专家已经介绍了,中国的安全现状不容乐观,因为随着移动智能终端的普及,安全问题是越来越突出。那么,从我们现在看到的各种统计的数据来看,安卓平台上的病毒分布,你看资费消耗,流氓软件等等的恶意行为占的比例比较高的。另外从今年上半年来看,基本上是呈现上升的趋势,中国移动自己也在网络建立了恶意软件的监测系统。通过我们的监测发现恶意软件的增长数量是非常迅速。应该来说现在形成了一个微软件的地下产业链。这种微软件的日益发展严重危害到了各种用户和运营商的利益。甚至是对国家和社会层面会造成威胁。
大家可以看到对用户的威胁,一个是恶意扣费,一个是叫做不知情订购,在用户不知情的情况下去偷偷帮用户订购一些业务,通过软件去做。然后隐私的窃取,窃取用户的通信记录,位置信息,通信录,包括甚至是通话都可以进行窃取,还有通过远程控制终端来做一些相当于木马的病毒,来做危害通信安全的事情。还有通过系统的诱骗、欺诈来消耗资源等等。
对运营商来说,一个是恶意软件可以影响通信的质量,曾经发生的短信病毒,每天可以发两千当万条失败软件,虽然没有给用户造成损失,但是不断的发会影响短信发送的成功率。同时对业务的订购,导致了用户的快速增长。今年和去年我们发现这种增长确实是在,现在虽然采取了很多的措施,但是还是确实存在这样的一些被订购的行为。
后面我讲一些案例,一个是恶意计费,这主要是通过手机内嵌的代码去自动的订购短信。拨打已经扣费的电话等等,同时会删除和屏蔽相关的回执短信,比如说我们10086向用户订购一个业务,还要发一个确认,这种恶意软件会屏蔽短信的确认,而且还会删除上网记录,让用户不知情的情况下被计费。比如说有一款游戏就潜入了恶意代码,能够在后台发送扣费指令来进行计费。第二个是异常流量,刚刚说到短信魔咒就属于这种情况,在极端的情况下能够每秒发送短信,这种信息同时是一种窃取隐私的,同时可以窃取用户的IMEI这种信息,虽然不产生计费,但是可以消耗资源,使成功率下降。
第三个案例是远程控制,想说谷歌的事件,谷歌删除安卓软件的事件,2010年的时候,谷歌宣布他在安卓上的系统可能会出现违反开发竞销协议的恶意行为,后来检测他有几十款恶意程序。后来发现这个程序可能会受到电子邮件,被告知情绪已被清除,实际上这利用了,大家可以看到,通过远程控制的方式,下发指令。然后,来对这种安装的程序进行清除。这是谷歌做的,如果是一个恶意程序来通过一种远程控制的方式,那么不仅仅是删除程序,可能还可以做很多的其他事情。
还有一个案例是窃取隐私的事情,这是去年发生的。大家应该都很清楚。因为这是在很多的水货手机中易装的智能软件,可以搜集用户的使用记录等等的常用软件信息,然后把它上传到服务器,并且能够拦截指令短信等等,并且我们可以查到后台的相关的搜集信息,这是典型的窃取用户隐私的事件。
另外是隐私泄露,这是Iphone的手机,2010年苹果就在说Iphone可以搜集到用户的GPS定位的位置数据。并且每隔12个小时就会把信息传给公司。那么研究人员也发现了Iphone存储中含有大量的加密的数据库,这里包含了用户的位置信息。那么可以看到位置的信息,因为咱们大量的智能手机,基本上都带有GPS的模块,实际上很多时候,GPS在很多的情况下是打开的,实际上很有可能咱们的位置信息,都有可能会被窃取。然后传到某一个地方去。再一个是提权。就是前面专家提到过,现在是一个比较普遍的问题,就是说因为像塞班系统,以前塞班叫做两千,苹果叫做越狱。大家看到苹果的越狱越狱占比非常高的,但是通过提权和越狱之后的系统的安全性应该来说会更突出了。
再一个是山寨机和刷机这种现象也是比较普遍的,而且大量的山寨机刷机以后,在刷的过程中就内置了各种恶意软件,或者是说计费和扣费软件,所以我们不应该轻易的购买山寨机,然后从网上下载的ROM然后刷机,这样的话会带来很多的不可预知的软件。这是工信部给出恶意软件的八个分类,包括恶意扣费等等的。这在生活中都可以见到。
我再讲一下中国移动在终端安全方面的思路和做法。主要是几个方面,一个是手机恶意程序方面,我们采用了网络测和终端测的方式进行治理,在采用了安全的检测手段,在终端方面也采用了安全检测的手段。首先我们叫做云端密切配合的综合安全体系。对于目前还是在试点阶段没有全面的覆盖。但是至少能够坚持到一部分的样本。在网络上流行的各种各样的恶意软件,从网络测,因为很多行为在终端上很难发现。但是实际上网络测有各种各样的行为,从流量上都可以分析,是不是一个恶意行为,有异常的联网行为,甚至是从后台发送一些可疑的短信等等,都有可能我们作为一个他的特征。我们还可以建立了一个恶意软件的研发团队,对发现的恶意软件进行研判和处置。我们主要是在移动商城上,对商城上各个应用程序进行全生命周期的安全审计和管理。
在终端测现在也是通过终端安全软件,通过终端测量的预装的应用来做安全检测来保护我们终端的应用安全。那么,我先介绍一下手机恶意软件程序的监测。首先是依托我们在2010年的时候就开始依托部分省工作,特别是广东、江苏的手机恶意软件系统开展的恶意软件监测。这种监测应该来说成效非常显著的。虽然来说我们只有两个省,但是毕竟两个省还是比较大的省,应该说他的发现的恶意软件的行为,应该来说也是具有代表性的。并且现在我们会很快的扩大到其他的省。那么,建立了恶意软件的研发团队,对于监测发现疑似手机软件进行恶意研判,然后进入到相应手机处置流程,对客户服务方面,定期向发布手机恶意软件的预警信息,通过软件和移动微博宣传软件的恶意宣传知识。在技术手段上网络测,我们主要是在经营口对建立了这种监测平台,对这种恶意软件行为进行监测。实现各种恶意的互联网流量的监测,或者是各恶意程序的监测。终端是研发了手机的杀毒工具,杀毒先锋,叫做移动安全测试,这里有各种监测功能。同时在云端,我们也是考虑建立这个云计算的支撑平台,实现对恶意程序的集中研判和策略分发和管理等等。
真正做到云管端联动的移动互联网的安全防护体系。在制度方面我们也建立了相应的,这是根据工信部的机制,我们建立了相应的移动互联网恶意程序监测处置流程,预警流程以及应急响应的流程。
那么在定期报送方面,我们也向各省,会向总部的信息安全中心上报他的数据,监测数据统计以后我们再向全网进行预警。到2012年九月我们已经检测到两千九百多种手机恶意软件,封堵了手机恶意软件的控制端六百多个,我们发现恶意软件之后,一个是下载源头,一个是联网。往往有一个控制服务器,和控制服务器的接受他的控制指令,我们都进行了封堵,目前已经封堵了六百多个控制端,有效保护了客户运营。
这是一个月的某个省的一个经营口的监测数据情况,可以看到相关的恶意软件的流行情况。可以看到目前是星光音乐木马是最流行的,包括毒煤这么多年了仍然存在在很多手机上。再一个中国移动也是研发了杀毒先锋,移动手机卫士,杀毒软件等等能够对病毒,垃圾信息,骚扰电话包括吸费等进行综合的防护。
同时目前正在建设一个叫做全国的手机恶意软件提供保护平台。这个平台建成以后,一个是将原来的分省研判封堵的方式,进行一个自动的监测,集中研判,一键封堵,一旦发现手机恶意软件的控制端,马上时时全网性的封堵。我们可以降低用户的损失。他就收不到各种指令了。我们建立这种开展研判提高手机效率。第二个是移动应用商城的管理。对移动应用商城的情况,可以看到这是一个报告,报告中做了相应的测试,可以看到各种应用商店里面的应用程序的数量,还是比较多的。至少都存在着不同数量的恶意程序。应用商量也成为恶意程序传播的主要渠道,针对这种情况,针对我们中国移动的商城,也是建立了相应的手机应用安全管控中心。那么对应用程序的上架前,上架后,下载后的生命周期进行全生命周期的管控。在上架前采用动态监测和静态监测相结合的方法,防止上架前的程序有恶意软件,上架后对存量的恶意软件进行拨测,对恶意程序进行下载的时候,我们通过手机客户端,在客户端内置一个叫做杀毒的模块来进行相应的安全检测和处理,并且同时建立了一些相应的退出机制。一旦发现这种互联网恶意程序可以在24小时内进行下架处理。移动应用商城目前的成效到九月底我们已经通过安全管控中心测试业务数达到25万多个。程序数据包达到15万多个,其中扫描的病毒和恶意程序代码有一千多个,处理应用有411个。
在终端软件安全监测方面,我们目前还正在采取措施,也是主要是想一个是从终端预装软件对他进行全面的安全测评,通过各种库的方式,通过各种监测数据进行扫描,通过各种静态和动态的监测,来实现预装软件的安全测试。一个是对初始送测版本的软件进行监测,监测完了之后进行安装。然后升级的版本也会进行监测,会放在移动商城,用户通过移动商城来进行下载升级,而不是说直接通过手机来进行升级,因为通过直接升级之后应用程序就不可控的,同时我们对存量的预装软件也会进行拨测,这是一个监测流程,不详细讲了,包括静态测试,代码分析和动态行为分析和专项的监测。
我们下一步的展望的话,一个是对手机应用软件,我们采取的一个是集中研判治理,主要是通过我们信息安全平台来完善全国恶意软件的集中治理体系。同时会在总部成立这样的研发团队,包括恶意订购,包括手机恶意软件终端安全方面的问题。第二个是加强应用认证,这主要是想基于CA来进行签名,对应用程序来进行一致性,可控性的保护。同时完善云端体系。建设云端,云和端,这个云是指网络,端是指终端,现在对云端手机应用软件的综合监测治理体系,同时也会加大对外界的合作,包括对第三方的安全机构和安全厂商的合作,共同来开展这种恶意软件的识别和判定,封堵等工作,来完善整个应用安全的。
林金桐:我们有几分钟的交流时间。有没有问题。
提问:您好,我想问您一个问题,我看您刚才PPT里面提到了恶意软件的几种形式,有一种比较耗流量,长期占用后台程序,还有一些第三方的内置很多的应用,而且您也说很多的内置应用的流氓软件,您说到这我突然间想到运营商的定制机里面也有很多应用,而且很多的应用用户不喜欢用,也消耗用户的电和流量。像您中国移动的飞信精灵,比如说我不开任何程序的话,我手机里现在安卓有电量统计,有很多的用户买了定制机再去跑分什么的,后来我一看,我自己刷的把运营商的更加快,性能更好,您怎么看待这个问题。
冯运波:这是业务部门来回答比较方便。我简单说一下我的理解。中国移动应该还是比较规范的,至少我们内置的所有的应用一定是经过严格的测试的。并且给予内置软件厂商,包括都会有各种安全的保障方面的协定。然后包括这种上架前,我们做内置之前,还有后面都会进行监测,一旦发现用户投诉,这种情况我们都可以进行处理。你看特别举到了飞信精灵,我没有用过这个软件,我不太清楚。首先我感觉这种软件即便是我们叫做移动芯机内置了,但是软件一般不会是自动运行的,只是说只要你用户点击才会运行,不会说是一上来就应该是自动运行的,这是比较少的。
但是你刚刚说的这种情况,比如说像运行精灵这种情况我可以向业务部门反应。你这个投诉也可以,我可以反应这种情况。
林金桐:谢谢,还有其他的问题吗?
提问:请问冯处长这个问题您能回答多少就回答问题。现在我们的终端智能化以后,我没有想过出这么多的漏洞和问题。在咱们这个预装的时候,是预装内置了,还是由用户造成的。运营商当时在选型的时候,是怎么认证的。这个问题属于是预装内置的话应该是公司负责,如果是用户装的话应该是属于咱们监管。这个问题提出来,你能回答回答。
冯运波:确实我能回答多少我就回答多少。我感觉预装,我们选择的应该都是大的公司。然后目前据我的了解,我不知道这个,我了解应该是我们自己预装的新机的软件,因为说是安全问题被投诉,被举报的,是极其少见的,我不知道有没有,我想从我这来说是内置的新机或者是应用中有安全的后门,或者是各种安全问题。耗电的情况,这是另外一个方面。但是从安全后门这个方面还没有投诉。
现在我是个人感觉,一个是咱们的应用,手机的种类渠道来源很多,国外大多数靠运营商的定制的普遍现象。但是国内的社会渠道,山寨机,可能也都是比较多,这种情况下确实也有很多,现在都是智能机,可以到各种应用商店去下载,或者是自己想办法搜集各种各样的应用软件安装到手机上,相对来说这个不可靠,显然我觉得这种完全是靠,不管是终端厂商定制的,还是运营商定制的手机,相对来说是比较安全的,目前我好像还没有看到投诉的情况。
林金桐:我提一个问题,这是技术以外的,您认为恶意软件的犯罪动机是什么?是赚钱了,还是说恶作剧了。
冯运波:主要是利益链,现在大部分的情况都是有利益链的。我感觉从恶意软件的制作,到推广,怎么样把这个大量的恶意软件,让很多用户进行安装都是一套,并且还有一套分成的模式,这里面是存在利益链的。
林金桐:那么他从哪里得到利益呢?
冯运波:用户只要装了,安装得越多,有各种方式去。像刚刚说的,现在的吸费和恶意订购的占了30%多,这个比例是最高的。
林金桐:木马性质的能获利吗?
冯运波:木马分很多种。这个比例比较高的是吸费的。当然还有很多是窃取隐私的。
林金桐:然后再去卖隐私。
冯运波:对。
林金桐:谢谢。我是很早的移动用户了,138,你们年轻人申请的时候就一直没有这个号了,我一直不敢用后面的,我孩子说我OUT了。真的不敢用Iphone,就怕安全问题。谢谢。
