近日360手機精靈、豌豆莢、騰訊手機助手等多款安卓(Android)手機管理軟件曝出安全漏洞,在公共WiFi環境下,安卓手機用戶可能會被處於同一網絡的攻擊者盜取所有個人隱私信息,金山安全中心分析認為,這 是目前為止國內最嚴重的智能手機安全風險,金山網絡發布橙色安全預警,提醒廣大安卓用戶盡快升級軟件程序修復漏洞。
危及數千萬用戶
隨著移動互聯網的快速發展,手機管理軟件幾乎已經成為智能手機的必備工具。它主要是方便智能手機與電腦之間的內容同步,用戶通過該軟件,可在電腦中直接管理手機中的通訊錄、短信、照片、視頻、音樂等個人信息,也可以直接為手機安裝應用程序和游戲等。
金山網絡安全專家李鐵軍介紹,這類軟件主要通過 FTP 服務來管理手機文件,但如果技術實現存在漏洞,就會導致在同一網絡下的計算設備均能夠登錄 FTP 訪問該手機。比如 在咖啡館、商務辦公場所、機場等公共WiFi網絡環境中,攻擊者 不經允許就可以惡意訪問、上傳、下載或篡改、刪除手機信息,包括手機內存、存儲卡中的照片、短信、聊天記錄、電話錄音、視頻以及其他文檔等個人隱私。
截至 2011 年第三季度,中國網民擁有的安卓手機總量約 2500 萬台,超過蘋果 iPhone ,成為最大的國內智能手機平台。此外,由於安卓平台開源開放、價格較低,安卓手機正處於高速爆發的時期。上述三款手機管理軟件覆蓋國內約 80% 的安卓用戶,因此該 WiFi 漏洞可能影響數千萬安卓用戶,是目前為止國內最嚴重的智能手機安全風險。
360 手機精靈危害最大
由於影響較大,該風險引發了安全機構的極大重視,金山安全中心對此進行了專門的技術分析,並發布了研究報告。報告顯示,在這三款軟件中,360手機精靈帶給手機用戶的安全威脅最大。
據分析, 360 手機精靈也是通過 FTP 服務來管理手機文件,但是它的 FTP 用戶名、密碼是沒有經過加密的明文保存在程序配置文件中,該密碼固定不變。而且,該 FTP 的登錄也並未限制客戶端,也就意味著,除了用戶自己連線的電腦外,其他電腦或者手機也可登錄該 FTP 訪問該手機。
此外, 360 手機精靈目前通過 360 安全衛士捆綁推廣,用戶的電腦和手機在沒有得到明確提示的情況下被靜默安裝,並默認開機自啟動。由於 360 安全衛士擁有接近 4 億的電腦用戶,覆蓋國內超過 80% 的網民,因此 360 手機精靈帶來的安全風險應該引起所有網民和智能手機用戶的極大重視。
與 360 手機精靈相比,騰訊應用助手雖然也存在安全風險,但騰訊應用助手不使用固定的訪問用戶名、密碼和端口號,也不使用 FTP 協議,而采用較安全的 Socket 方式,有動態驗證,因此風險較小。
程序升級後仍存風險
目前,這三款軟件在發現漏洞之後均進行了升級。但金山安全中心分析發現,即使升級之後,360手機精靈提供的新解決方案仍然存在較大的安全風險。
360 手機精靈新版本僅僅對訪問手機的電腦IP進行了過濾限制,只允許用戶自己的電腦通過USB數據線訪問手機。但金山安全中心分析顯示,360手機精靈提供的FTP服務還存在,用戶名、密碼仍然能夠被攻擊者獲取,然後通過用戶電腦作為跳板訪問其手機。
豌豆莢升級後關閉了在WiFi環境下管理手機文件的功能來避免漏洞的風險,但豌豆莢使用的WiFi連接驗證碼是固定的,仍然存在一定風險。騰訊應用助手升級後只有輸入動態驗證碼才能訪問手機,相對以上兩者都更加安全和完善。
倡議構建手機管理安全標准
李鐵軍表示,手機管理軟件確實為廣大智能手機用戶帶來了極大的便利,使得用戶可以通過電腦便利地管理手機信息,但是便利性不能以犧牲用戶數據安全為代價。
專業機構 LookOut 調查顯示, 97% 的手機用戶認為個人隱私最重要。尤其使用智能手機,其中得到的個人隱私信息更多,如果洩露,隨時會給個人生活帶來非常大的麻煩,甚至引發“艷照門”、敲詐門等更大的安全風險。
金山網絡提醒安卓手機用戶盡快升級軟件,或者更換更為安全的手機管理軟件。同時建議軟件廠商在做技術方案時要充分考慮用戶數據安全問題,軟件通過升級可以很快修復漏洞,但是給用戶已經造成的傷害卻難以彌補。金山網絡倡議手機管理軟件廠商建立技術交流機制,共同構建相關技術標准,推動中國移動互聯網健康發展。