隨著智慧城市和移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，智能手機(jī)、平板電腦等移動(dòng)終端用戶(hù)數(shù)量呈爆發(fā)式增長(zhǎng)，智能終端型號(hào)五花八門(mén)、應(yīng)用多樣，極大方便了廣大用戶(hù)日常工作、學(xué)習(xí)、生產(chǎn)和生活。然而，手機(jī)等終端安全問(wèn)題越來(lái)越突出，竊取通信錄、照片、位置信息、通話(huà)記錄、短信內(nèi)容、應(yīng)用密碼賬戶(hù)等個(gè)人隱私和敏感數(shù)據(jù)時(shí)有發(fā)生，利用電信欺詐、手機(jī)銀行竊取他人資金、非法獲取他人電話(huà)號(hào)碼推送垃圾廣告等違法犯罪活動(dòng)十分猖獗，嚴(yán)重影響了廣大用戶(hù)的正常學(xué)習(xí)、生活和工作。隨著智能手機(jī)和4G、5G應(yīng)用的普及，以及智慧城市應(yīng)用的實(shí)現(xiàn)，移動(dòng)互聯(lián)網(wǎng)安全形勢(shì)將更加嚴(yán)峻，已受到世界各國(guó)和全社會(huì)的關(guān)注。

　　目前，從用戶(hù)對(duì)智能手機(jī)的使用情況看，大多數(shù)用戶(hù)只關(guān)心手機(jī)的使用功能、性能和便捷性、可用性等問(wèn)題，手機(jī)安全問(wèn)題關(guān)注的人群不夠多，不敏感、不在乎，不同類(lèi)型的用戶(hù)群安全意識(shí)差別較大，普遍安全意識(shí)薄弱，安全技能低下，安全產(chǎn)品和安全服務(wù)防護(hù)水平不高，惡性競(jìng)爭(zhēng)對(duì)安全性也帶來(lái)許多負(fù)面影響。因而很有必要讓廣大用戶(hù)了解相關(guān)情況，深入關(guān)注移動(dòng)終端安全，提高智能手機(jī)的安全使用水平和安全意識(shí)。當(dāng)前常見(jiàn)的智能手機(jī)安全威脅主要包括：惡意代碼威脅（木馬）、應(yīng)用程序中的隱蔽功能威脅、隱通道和安全漏洞/后門(mén)威脅、特殊功能和特定服務(wù)中的威脅以及針對(duì)相關(guān)基礎(chǔ)設(shè)施的威脅和針對(duì)數(shù)據(jù)內(nèi)容的其他攻擊威脅。其中，智能手機(jī)應(yīng)用安全問(wèn)題已備受專(zhuān)家和安全機(jī)構(gòu)的關(guān)注。

　　移動(dòng)APP應(yīng)用飛速發(fā)展

　　工業(yè)和信息化部發(fā)布的數(shù)據(jù)顯示，截至2013年1月，全國(guó)移動(dòng)電話(huà)用戶(hù)達(dá)到11.22億戶(hù)。其中，3G用戶(hù)達(dá)到2.46億戶(hù)，移動(dòng)互聯(lián)網(wǎng)用戶(hù)達(dá)到7.87億戶(hù)。移動(dòng)App應(yīng)用的增長(zhǎng)迅速。目前，擁有過(guò)億用戶(hù)的移動(dòng)應(yīng)用已達(dá)10款左右，包括微信、新浪微博、手機(jī)淘寶、UC瀏覽器、搜狗輸入法、91手機(jī)助手、360手機(jī)安全衛(wèi)士、高德地圖、美圖秀秀及墨跡天氣等。以蘋(píng)果官方應(yīng)用商店App Store為例，截至2013年1月7日，App Store的應(yīng)用下載量已經(jīng)突破400億次，總活躍賬戶(hù)數(shù)達(dá)5億個(gè)。2012年6月，App Store應(yīng)用下載量達(dá)到300億次，活躍賬戶(hù)超過(guò)4億個(gè)，應(yīng)用總量為65萬(wàn)款。在6個(gè)月的時(shí)間內(nèi)，App Store新增1億活躍用戶(hù)、12.5萬(wàn)款應(yīng)用和100億次下載量。

　　當(dāng)前，App Store面向155個(gè)國(guó)家開(kāi)放，共有77.5萬(wàn)款應(yīng)用，其中原生iPad應(yīng)用超過(guò)30萬(wàn)款。蘋(píng)果App Store在2012年共新增了約34萬(wàn)個(gè)應(yīng)用，2011年為30萬(wàn)個(gè)，應(yīng)用數(shù)量以加速度攀升，蘋(píng)果App Store的日均收入高達(dá)1500萬(wàn)美元。

　　選擇使用App應(yīng)用客戶(hù)端的用戶(hù)比例正在快速增長(zhǎng)。據(jù)艾瑞咨詢(xún)2012年底的移動(dòng)互聯(lián)網(wǎng)用戶(hù)行為大調(diào)研數(shù)據(jù)顯示，有57.8%的用戶(hù)會(huì)登錄手機(jī)瀏覽器，42.2%的用戶(hù)會(huì)登錄客戶(hù)端應(yīng)用，二者占比幾乎接近1∶1，首先選擇登錄客戶(hù)端應(yīng)用的用戶(hù)比例大幅增長(zhǎng)。移動(dòng)App應(yīng)用已經(jīng)改變了或正在改變用戶(hù)手機(jī)使用習(xí)慣。

　　APP應(yīng)用安全問(wèn)題突出

　　如今智能手機(jī)應(yīng)用呈井噴式發(fā)展，多種智能應(yīng)用讓用戶(hù)很難抉擇，特別是移動(dòng)支付的迅速發(fā)展，讓智能應(yīng)用的安全問(wèn)題逐漸被用戶(hù)關(guān)注。

　　移動(dòng)智能應(yīng)用開(kāi)發(fā)還是一個(gè)較新的領(lǐng)域，在管理層面上，移動(dòng)智能相關(guān)法律法規(guī)滯后，行業(yè)對(duì)移動(dòng)智能安全相關(guān)的風(fēng)險(xiǎn)認(rèn)識(shí)不足，過(guò)分重視超前概念和業(yè)務(wù)而忽視基礎(chǔ)安全設(shè)施；在技術(shù)層面，移動(dòng)應(yīng)用開(kāi)發(fā)組織沒(méi)有將信息安全列入軟件全生命周期，復(fù)雜業(yè)務(wù)邏輯處理不當(dāng)，對(duì)集成功能模塊把關(guān)不嚴(yán)格，甚至個(gè)別開(kāi)發(fā)者為某些商業(yè)利益故意收集信息等。

　　上述各種原因，導(dǎo)致移動(dòng)應(yīng)用中會(huì)存在bug、漏洞或者留有后門(mén)。再加上像安卓市場(chǎng)這樣的應(yīng)用平臺(tái)門(mén)檻較低，沒(méi)有權(quán)威發(fā)布機(jī)構(gòu)，并且審核不夠嚴(yán)格，導(dǎo)致許多具有惡意行為的應(yīng)用出現(xiàn)在用戶(hù)的手機(jī)上，如果只是危害手機(jī)系統(tǒng)，那問(wèn)題還不那么嚴(yán)重。但要是威脅到移動(dòng)支付、郵箱等，就會(huì)給用戶(hù)造成很大的損失。

　　此外，智能手機(jī)病毒也是不容忽視的威脅，病毒感染到手機(jī)后，會(huì)以不被察覺(jué)的形式來(lái)使用手機(jī)的一切功能。在手機(jī)屏幕上不會(huì)有任何顯示，就把要做的事情做了。病毒會(huì)代替你使用手機(jī)的所有服務(wù)。比如給你的朋友發(fā)個(gè)短信，然后從已發(fā)短信中再把這條信息刪了。你能做到的，病毒都能做到。

　　積極維護(hù)用戶(hù)隱私安全

　　對(duì)于面臨的各種安全風(fēng)險(xiǎn)，我們應(yīng)當(dāng)采取有效措施，加快APP應(yīng)用產(chǎn)品供應(yīng)鏈安全審查。

　　一是形成APP應(yīng)用程序準(zhǔn)入制度。通過(guò)專(zhuān)業(yè)的國(guó)家APP應(yīng)用程序檢測(cè)機(jī)構(gòu)，對(duì)即將發(fā)布的應(yīng)用程序進(jìn)行惡意代碼、隱蔽功能等安全審查。審查通過(guò)的應(yīng)用程序進(jìn)許行數(shù)字簽名識(shí)別，允許在國(guó)內(nèi)各大APP應(yīng)用平臺(tái)發(fā)布。審查未通過(guò)的不允在國(guó)內(nèi)各大APP應(yīng)用平臺(tái)發(fā)布。對(duì)各大應(yīng)用平臺(tái)的APP運(yùn)用技術(shù)手段進(jìn)行抽查，發(fā)現(xiàn)發(fā)布了未審查通過(guò)簽名的APP，將勒令下架未審查APP，并處以一定的處罰。

　　二是加強(qiáng)對(duì)智能手機(jī)應(yīng)用發(fā)布平臺(tái)的網(wǎng)絡(luò)安全審查。要求應(yīng)用發(fā)布平臺(tái)對(duì)其發(fā)布的應(yīng)用安全負(fù)責(zé)，并要求應(yīng)用平臺(tái)商有效管理平臺(tái)上的應(yīng)用程序。同時(shí)通過(guò)立法、第三方測(cè)評(píng)、設(shè)立權(quán)威應(yīng)用發(fā)布平臺(tái)等行政與市場(chǎng)化結(jié)合等手段，促使應(yīng)用發(fā)布平臺(tái)運(yùn)用技術(shù)、管理、服務(wù)等手段，管理好自己平臺(tái)上的應(yīng)用程序，承諾自身平臺(tái)應(yīng)用安全性，并對(duì)此負(fù)責(zé)。

　　上述做法也是參考了蘋(píng)果公司對(duì)APP Store中的應(yīng)用程序的嚴(yán)格審查機(jī)制。

　　從目前現(xiàn)狀看來(lái)，蘋(píng)果APP Store中的惡意代碼應(yīng)用，遠(yuǎn)低于Android市場(chǎng)中的惡意代碼應(yīng)用，我們應(yīng)加快做好我國(guó)市場(chǎng)智能終端的安全管控，為百姓提供綠色移動(dòng)互聯(lián)網(wǎng)環(huán)境。

　?。ㄒ陨蟽?nèi)容系根據(jù)李京春在“網(wǎng)絡(luò)安全專(zhuān)家30談”上的公開(kāi)訪(fǎng)談?wù)矶桑?/p>

　　相關(guān)鏈接

　　APP監(jiān)管難度大

　　關(guān)于如何規(guī)范APP安全市場(chǎng)，近年來(lái)相關(guān)部門(mén)一直不斷嘗試。2013年11月，工業(yè)和信息化部發(fā)布《關(guān)于加強(qiáng)移動(dòng)智能終端進(jìn)網(wǎng)管理的通知》，要求手機(jī)廠商不得安裝未經(jīng)用戶(hù)同意，擅自收集、修改用戶(hù)信息的軟件，以及給用戶(hù)造成流量消耗、費(fèi)用損失、信息泄露等不良后果的軟件。

　　但從手機(jī)商到達(dá)用戶(hù)存在監(jiān)管真空地帶，而用戶(hù)下載渠道也是五花八門(mén)。在此鏈條上，有開(kāi)發(fā)者、渠道商、廣告商、手機(jī)商、運(yùn)營(yíng)商等多種角色。APP應(yīng)用商店有六種不同商業(yè)模式。包括原始操作系統(tǒng)自帶的APP應(yīng)用商店，第三方操作系統(tǒng)自帶的APP應(yīng)用商店，運(yùn)營(yíng)商自建的應(yīng)用商店，獨(dú)立第三方APP應(yīng)用商店，軟件開(kāi)發(fā)商直接提供的APP安裝包，已安裝軟件提供的APP下載鏈接。尤其是最后一種，未經(jīng)過(guò)安全檢驗(yàn)，風(fēng)險(xiǎn)較大。

　　目前APP監(jiān)管至少存兩大難點(diǎn)。一是發(fā)行渠道如何管控；二是如何把握好監(jiān)管的尺度，在保證消費(fèi)者權(quán)益的同時(shí)，如何鼓勵(lì)創(chuàng)新。

　　國(guó)家信息技術(shù)安全研究中心總工 李京春

關(guān)注讀覽天下微信， 100萬(wàn)篇深度好文， 等你來(lái)看……