北京2014-10-15(中国商业电讯)--这是一个移动的时代,这是一个美好的时代,这更是一个让人不放心的时代。
相信每个人在自己的移动设备上安装应用时都会有同样的疑问:为什么这些应用都要读取我的通讯录、获取我的定位信息、读取我的短信、控制我的照相机……天啊,针对手机应用的各种疑惑都快可以写十万个为什么了。这里问一句,如果不读取这些信息移动应用就无法正常运行么?实际上在这一切动作背后所隐藏的恰恰是移动应用所正在面临的安全危机——移动恶意威胁。
据统计,截止2014年6月中国网民规模已达6.32亿,而手机网民的规模更是达到了5.27亿,网民使用手机上网的比例首次超过使用电脑上网的比例。而与此同时,恶意移动APP数量也正在暴增,2014年第一季度移动恶意APP的数量已经超过200万,预计年底将突破300万,与2012年35万的恶意APP数量相比增长超过了8倍。
手机网民可观的数量规模促使了移动应用的繁荣,丰富多彩的移动应用已经使得手机网民有了一种“乱花渐欲迷人眼”的感觉,可就当网民们正在享受移动应用所带来的便捷与欢乐时,恶意攻击者也从中发现了一些东西,比如网民手机里的话费,比如与手机关联的网上银行,比如可以通过手机毫不设防的访问企业内部网络……
2014年5月,安全公司PRAETORIAN针对美国150多家银行的手机银行客户端进行了调研,发布了调查报告《Mobile Banking Security:Building and Maintaining Secure Mobile Apps》。报告通过调研分析得出结论:美国80%的手机银行客户端存在高危交易风险。
该移动银行风险分析报告的调查样本非常丰富,覆盖了全美最大的50个巨型银行(Top 50 Megabanks),如美国银行(Bank of America)、德意志银行(Deutsche Bank)、美国运通(American Express Company)、花旗银行(Citigroup)、摩根大通(JP Morgan Chase),全美Top 50最大的地区性银行(Largest Regional Banks),如硅谷银行(Silicon Valley BK)、夏威夷银行(Bank Of Hawaii),以及全美Top 50最大的信贷联盟银行(Largest 50 U.S. Credit Unions),如联邦海军信贷协会(Navy Federal CreditUnion)等。从调查报告中可以看到,全美最大的50个巨型银行、最大的50个地区性银行、最大的50个联盟信贷银行里,超过80%都在移动银行上面临巨大的安全风险。银行业是最为重视安全的行业,也是最愿意采用最新安全技术保护其系统安全的行业。但就是这样一个行业里大多数最有实力的公司,依然在手机银行方面存在安全隐患,由此可见移动安全问题的严峻性。
2014年5月,移动应用安全服务提供商梆梆安全,参考人民银行在2013年发布的《中国金融移动支付-客户端技术规范》,对国内24家金融机构进行的Android手机安全评估调研分析中发现,绝大多数金融机构都存在严重移动安全风险,比较集中和突出的移动安全风险包括动态调试、代码注入、反编译、篡改、界面劫持等。
金融机构Android手机移动安全风险
在Gartner的《2014年信息安全趋势与总结》里显示,移动恶意代码主要表现为特洛伊短信,其次是后门程序。另外,所有移动设备恶意代码攻击都需要用户的交互。也就是说,恶意移动应用要想作恶,首先还是需要得到用户的“同意”。所以这些恶意移动应用一般会伪装成各类短信诱骗人们上当,就比如前一阵“非常成功”的“XX神器”。另外,许多很火的移动应用也被恶意攻击者所钟意,恶意攻击者或者会在这些移动应用里偷偷加载恶意代码暗度陈仓,或者会直接伪装成这些应用诱骗用户上当。
目前移动应用主要面临10大安全风险:
1.弱服务端控制
2. 不安全的数据存储
3. 传输层保护不足
4. 意外的数据泄露
5. 授权认证较弱
6. 破解密码算法
7. 客户端注入
8. 通过不可信输入的安全决策
9. Session会话处理不当
10. 缺乏二进制文件保护
面对应用安全问题,已经有Web应用防火墙、NGFW等新型安全产品帮助用户建立起了坚固的安全防线。但移动终端由于缺乏有效的安全防护产品,安全防护体系十分脆弱。这就等于在应用系统上开了一个易碎的玻璃窗户入口,让恶意攻击者可以在任何时间、任何地点破窗而入,轻松进入应用系统内部,比如进入网银系统偷走用户的金钱,进入企业业务系统窃取机密数据。
实际上,这些都仅仅是移动应用背后安全危机的冰山一角。现在移动应用无论从产品上还是意识上都在面临安全的空窗期,恶意攻击者必将充分利用这一时期发起更多攻击。此时我们需要考虑的是如何才能建立一个牢固的移动安全保护体系,移动应用安全已经时不我待。
