移动互联网安全监管反思

移动互联网安全监管反思

 

近年来,移动互联网的快速发展与人们的日常工作和生活的关系日益紧密,且出现了平台开放化、应用多样化、终端智能化等特点。与此同时,移动互联网所暴露的问题也日益明显,如恶意吸费、木马病毒、隐私泄露等,给用户的隐私保护、移动通信网络运行甚至国家安全带来了一定的负面影响。因此,加大立法、监管和测试势在必行。   移动互联网安全问题日益突出近些年来,互联网的各类安全问题日益突出,并且受到了社会各界的关注。病毒扩散、网络欺诈、黑客攻击等行为给互联安全和用户隐私带来了极大的隐患。随着2011年年底程序员社区网站CSDN数据泄露的曝光,网络安全问题再次敲响了警钟。   根据市场咨询公司Gartner的报告,2011年全球手机出货量为18.2亿部,而国内的手机用户数也已逼近10亿大关。移动互联网引发了信息通信产业发展模式的变革,在改变人们日常生活的同时,也带来了新的安全隐患,如移动智能终端漏洞日益增多、恶意代码快速蔓延,个人隐私信息失窃、恶意订购各类增值业务及发送大量垃圾短信等。   手机病毒将呈多发趋势手机病毒的传播和爆发可能会造成用户隐私泄露、信息丢失、设备损坏、话费损失等危害,并对通信网的运行安全造成一定威胁。2004年第一个手机病毒是针对诺基亚塞班系统的恶意程序,通常会导致假冒手机花屏;2008年的诺基亚塞班系统病毒已经可以导致手机异常死机。手机病毒已从传统的恶意程序,转向收益丰厚的功能性手机木马,比如暗发短信彩信,盗取通话记录,通信薄,打开摄像头和手机通话保持等涉及用户隐私的信息。   用户隐私保护问题更加突出移动通信的服务过程中会发生大量的用户信息,如位置信息、通信信息与消费偏好、用户联系人信息、计费话单信息、业务应用订购关系信息、用户上网轨迹信息、用户支付信息等。这些信息通常会保存在移动网络的核心网元和业务数据库中,利用移动网络的能力可以精确提取这些信息。移动互联网的发展要求将部分移动网络的能力甚至用户信息开放出来,通过互联网应用网关进行调用,从而方便地开发出移动互联网应用。如果缺乏有效的开放与管控机制,将导致大量的用户信息滥用,使用户隐私保护面临巨大的挑战;极端情况下会出现不法份子利用用户信息进行犯罪活动。   云计算等新业务对移动互联网安全带来新挑战移动智能终端因为体积小、处理能力较弱,为云计算提供了大显身手的舞台。云计算模式将应用的“计算”从终端转移到服务器端,复杂的运算交由云端(服务器端)处理,从而弱化了对移动终端设备的处理需求,业务服务端逐渐向于计算平台演进,使得终端转而主要承担与用户交互的功能。但云计算虚拟化、多租户、动态调度的特点为移动互联网引入了新的安全问题。用户数据和托管在云计算上的使用面临着信息泄露的危险,而移动互联网的云计算平台本身也容易成为黑客攻击的目标。一旦信息被泄露或被黑客获取,可能会造成比僵尸网络等传统手机病毒更大的损失。因此,各方在努力实现移动互联网与云计算整合的同时,也将面临新技术新应用所带来的安全风险。   安全风险主要涉及终端、业务和监管终端层面终端方面所遭受的安全问题主要体现在以下三个方面:系统破坏、恶意吸费及隐私窃取。   第一,系统破坏。   这方面的安全问题主要是对操作系统的篡改、侵占终端内存和篡改及删除个人资料。用户的智能终端在感染病毒、木马或者遭受黑客攻击之后,操作系统被修改导致终端软硬件功能集体失灵;对终端内存的侵占导致终端死机无法操作;而篡改及删除个人资料则使得用户的个人存储面临威胁。研究表明,包括WindowsCE系统在内的多个手机操作系统均存在安全漏洞,一旦这些漏洞被黑客所利用,那么这些手机的操作系统则可能被篡改,手机可能会被黑客控制。   第二,恶意吸费。   恶意吸费是一种受利益驱动的新型危害方式,黑客和一些恶意开发者通过将一些具有恶意吸费功能的病毒安插在各类软件中,强行消耗用户的存在资费或者恶意扣除用户资费。据以利用Android平台的BIT.GeiNiMi病毒为例,该种病毒的主要方式是把病毒植入到目前流行的手机游戏软件中,给用户免费下载,一旦用户下载安装这些软件,就会导致手机中毒。此后,病毒就会在用户不知情的情况下让手机自动下载“给你米”网站上的第三方软件,造成用户流量损失,而“给你米”网站可从这些被推广的软件企业收取佣金。目前,恶意吸费已经成了黑客的一条“黑色吸金器”,并在此基础上形成了一个黑色产业链。   第三,隐私窃取。   黑客主要通过此种方式来窃取用户存储在移动终端中的信息或跟踪用户位置。一些黑客通过向移动智能终端安插恶意软件或将恶意程序附着在第三方程序上来获取用户的个人资料。以手机病毒WinCE.MobileSpy.C为例,该病毒依附在时下流行的手机应用软件上,诱使用户安装来实现传播。   被用户下载后自动运行,用户收发的所有短信都被转发到指定的手机上,造成用户私人信息泄露和话费损失。