360首席科學(xué)家、北萊羅納州大學(xué)蔣旭憲教授蔣旭憲教授

　　當(dāng)前市場上的安卓手機(jī)越來越流行，不少手機(jī)廠商也因此推出了基于安卓系統(tǒng)的智能手機(jī)。為了尋求與別家手機(jī)的差異化，手機(jī)廠商往往會在谷歌公開的安卓源代碼的基礎(chǔ)上進(jìn)行定制。而這也因此導(dǎo)致了定制手機(jī)系統(tǒng)而引發(fā)的一系列安全問題。

　　令人感到尷尬的是，隨著安卓系統(tǒng)的版本更新，系統(tǒng)漏洞卻并沒有減少，反而有所增加。據(jù)周亞金介紹，大約50%的漏洞由廠商定制產(chǎn)生，有些定制系統(tǒng)達(dá)到了80%。但如果安全問題是出在定制系統(tǒng)層面，則也不失為一件好事，如果企業(yè)能夠因此而引起重視，在出廠前將漏洞解決，用戶的手機(jī)也就更加安全。

　　在大會現(xiàn)場，周亞金通過大屏幕，向與會者演示了惡意程序是如何利用定制系統(tǒng)所帶來的漏洞，偽造接收銀行短信的過程。演示過程中，在座嘉賓看到，這些銀行短信并非真實(shí)銀行所發(fā)，而是由惡意程序偽裝而來，且銀行短信內(nèi)容及發(fā)送號碼可被任意控制的，也就是說，除銀行短信外，還可偽裝成親友號碼等更多的釣魚短信，使接受用戶喪失安全警惕，因此該類漏洞所出現(xiàn)的惡意程序具有非常大的迷惑性。

　　結(jié)果顯示，當(dāng)前手機(jī)廠商的定制會引入非常嚴(yán)重的安全漏洞。惡意軟件可利用這些漏洞來獲取系統(tǒng)權(quán)限，后臺靜默安裝應(yīng)用以及發(fā)送釣魚短信等等。同時，在分析的手機(jī)中，64%到85%的漏洞都是由于廠商的定制所造成的。不僅如此，同一廠商的安卓手機(jī)的漏洞并不一定會隨著新型號的發(fā)布而減少。相反，新發(fā)布的手機(jī)有可能比舊型號的手機(jī)有更多的漏洞。

　　據(jù)了解，蔣旭憲教授及其移動研究人員創(chuàng)建的AndroidMalwareGenome Project，已發(fā)現(xiàn)了超過25個0-day的安卓惡意軟件家族，并向全球大約300所知名大學(xué)和公司共享了該項(xiàng)目的研究成果。

　　據(jù)悉，本屆互聯(lián)網(wǎng)安全大會由中國互聯(lián)網(wǎng)協(xié)會和國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心（CNCERT/CC）指導(dǎo)，360公司主辦。本次大會除移動安全論壇外，還開設(shè)多個新興安全威脅技術(shù)、APT攻擊、軟件安全、云計(jì)算、web安全論壇、網(wǎng)絡(luò)犯罪與防范、基于云的數(shù)據(jù)災(zāi)備恢復(fù)與存儲安全等多場專題論壇，進(jìn)行為期3天的深入交流探討。