360首席科學(xué)家、北萊羅納州大學(xué)蔣旭憲教授蔣旭憲教授

　　當(dāng)前市場(chǎng)上的安卓手機(jī)越來(lái)越流行，不少手機(jī)廠商也因此推出了基于安卓系統(tǒng)的智能手機(jī)。為了尋求與別家手機(jī)的差異化，手機(jī)廠商往往會(huì)在谷歌公開的安卓源代碼的基礎(chǔ)上進(jìn)行定制。而這也因此導(dǎo)致了定制手機(jī)系統(tǒng)而引發(fā)的一系列安全問(wèn)題。

　　令人感到尷尬的是，隨著安卓系統(tǒng)的版本更新，系統(tǒng)漏洞卻并沒(méi)有減少，反而有所增加。據(jù)周亞金介紹，大約50%的漏洞由廠商定制產(chǎn)生，有些定制系統(tǒng)達(dá)到了80%。但如果安全問(wèn)題是出在定制系統(tǒng)層面，則也不失為一件好事，如果企業(yè)能夠因此而引起重視，在出廠前將漏洞解決，用戶的手機(jī)也就更加安全。

　　在大會(huì)現(xiàn)場(chǎng)，周亞金通過(guò)大屏幕，向與會(huì)者演示了惡意程序是如何利用定制系統(tǒng)所帶來(lái)的漏洞，偽造接收銀行短信的過(guò)程。演示過(guò)程中，在座嘉賓看到，這些銀行短信并非真實(shí)銀行所發(fā)，而是由惡意程序偽裝而來(lái)，且銀行短信內(nèi)容及發(fā)送號(hào)碼可被任意控制的，也就是說(shuō)，除銀行短信外，還可偽裝成親友號(hào)碼等更多的釣魚短信，使接受用戶喪失安全警惕，因此該類漏洞所出現(xiàn)的惡意程序具有非常大的迷惑性。

　　結(jié)果顯示，當(dāng)前手機(jī)廠商的定制會(huì)引入非常嚴(yán)重的安全漏洞。惡意軟件可利用這些漏洞來(lái)獲取系統(tǒng)權(quán)限，后臺(tái)靜默安裝應(yīng)用以及發(fā)送釣魚短信等等。同時(shí)，在分析的手機(jī)中，64%到85%的漏洞都是由于廠商的定制所造成的。不僅如此，同一廠商的安卓手機(jī)的漏洞并不一定會(huì)隨著新型號(hào)的發(fā)布而減少。相反，新發(fā)布的手機(jī)有可能比舊型號(hào)的手機(jī)有更多的漏洞。

　　據(jù)了解，蔣旭憲教授及其移動(dòng)研究人員創(chuàng)建的AndroidMalwareGenome Project，已發(fā)現(xiàn)了超過(guò)25個(gè)0-day的安卓惡意軟件家族，并向全球大約300所知名大學(xué)和公司共享了該項(xiàng)目的研究成果。

　　據(jù)悉，本屆互聯(lián)網(wǎng)安全大會(huì)由中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)和國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT/CC）指導(dǎo)，360公司主辦。本次大會(huì)除移動(dòng)安全論壇外，還開設(shè)多個(gè)新興安全威脅技術(shù)、APT攻擊、軟件安全、云計(jì)算、web安全論壇、網(wǎng)絡(luò)犯罪與防范、基于云的數(shù)據(jù)災(zāi)備恢復(fù)與存儲(chǔ)安全等多場(chǎng)專題論壇，進(jìn)行為期3天的深入交流探討。