海雲安：盤點2017國內移動安全十大事件

2017年剛剛結束，回頭反思過去一年的發生的各種網絡安全事件，除了WannaCry勒索病毒橫掃全球、2億選民資料泄漏的「郵件門」及新型IoT僵屍網絡等轟動全球的網絡安全大事件外，與咱們生活密切相關的一衆移動安全事件也是讓人目不暇接，下面就跟咱們一塊兒來整理回顧下，2017年都發生了哪些移動安全事件吧。

勒索病毒瞄準「王者榮耀」襲擊手機

火到一發不可收拾的《王者榮耀》不光吸粉能力、吸金能力超強，這吸引病毒的能力也非同通常。6月2日，360手機衛士發現了一款冒充時下熱門手遊《王者榮耀》輔助工具的手機勒索病毒，該勒索病毒被安裝進手機後，會對手機中照片、下載等目錄下的我的文件進行加密，並索要贖金。這種病毒一旦爆發，會威脅幾乎全部安卓平臺的手機，用戶一旦中招，可能丟失全部我的信息。

從該病毒的形態來看，與PC端大規模肆虐的「永恆之藍」界面極爲類似，用戶中招後，桌面壁紙、軟件名稱、圖標形態都會被惡意修改，用戶三天不支付，贖金便會加倍，一週不支付，文件就會被所有刪除! 除此以外，該勒索病毒可能使用的軟件命名包括「王者榮耀輔助」或「王者榮耀前瞻版安裝包」等。

我的隱私泄漏引起重視 10款APP上安全「灰名單」

　 2017年7月20日，騰訊社會研究中心與DCCI互聯網數據中心聯合發佈《網絡隱私安全及網絡欺詐行爲研究分析報告顯示，手機APP越界獲取我的信息已經成爲網絡欺詐的主要源頭之一，由此引起了社會各界對於手機應用越權獲取用戶隱私權限現狀的聲討。

　　報告顯示，高達96.6%的Android應用會獲取用戶手機隱私權，而iOS應用的這一數據也高達69.3%。用戶更需警戒的是，25.3%的Android應用存在越界獲取用戶手機隱私權限的狀況。越界獲取隱私權限，是指手機應用在自身功能沒必要要的狀況下獲取用戶隱私權限的行爲。

手機應用越界獲取用戶隱私權限會帶來巨大的安全風險隱患，如隱私信息被竊取、用戶信息被用於網絡欺詐、形成經濟損失、手機卡頓現象嚴重等。例如，手機APP隨意訪問聯繫人、短信、記事本等應用，能夠查看到用戶的銀行卡帳號密碼等信息，容易形成用戶手機話費被暗釦和銀行支付帳號被盜。用戶存在手機裏的隱私資料、照片被惡意軟件查看、竊取，則容易被隱私信息販賣等網絡信息黑產所利用，進一步致使網絡欺詐。

高校APP安全情況調查：僅5個APP出現零次或1次問題

社會上針對安卓平臺的黑客攻擊層出不窮，目前，全國不少高校都擁有了本身校園專屬的APP軟件，現在的高校校園，校園APP已至關普及，成爲新一屆大學生們獲取學校信息、融入校園生活的便捷通道。在此背景下，信息工程大學對國內20多所高校的安卓平臺移動APP進行了初步審計，發現其中存在着諸多安全問題。

26所高校APP安全情況調查顯示，出現零次或1次問題的APP數量僅爲5個。所收集的移動APP來自26所高校，其中，華北及東北地區6所，西北地區4所，華東地區7所，中南地區5所，西南地區4所；包括9所985工程高校和14所211工程高校。

能夠看出，當前校園APP安全形勢不容樂觀，多個方面存在較大安全隱患，校方應針對典型中高危問題進行鍼對性修復，而APP開發者安全意識則有待增強，安全開發習慣需進一步提升。

共享單車使用需謹慎，當心泄漏我的信息

現在共享單車的大熱方便了人們的出行，但同時也產生了一些新的安全漏洞，可能會給不法分子提供新的做案契機。

在2017國際安全極客大賽GeekPwn年中賽上，浙大計算機系畢業的女「黑客」花了不到一分鐘的時間，攻破了評委手機預裝的小鳴、永安行、享騎和百拜等4款共享單車的App。這意味着，黑客能夠利用共享單車App存在的安全漏洞，用別人的帳號遠程騎車，用的也是別人的錢。最重要的是，黑客直接獲取了用戶的帳號密碼、騎行路線、GPS定位、帳號餘額等我的信息，這些我的信息的泄露可能致使用戶常常接到推銷電話、垃圾短信，嚴重的還有欺詐和其餘App帳戶被盜的可能。

圖：共享單車漏洞

警戒假「共享充電站」 讓你秒變透明人

在今年流行的共享經濟中，除了共享單車外，一樣火爆的還有共享充電站，儘管在必定程度上緩解了很多手機用戶的燃眉之急，可是其中存在的諸多隱患引發民衆普遍熱議。

在2017年3·15晚會上，使用免費充電樁被強裝軟件、盜取信息的現象被曝光。用戶在使用免費充電樁時，手機被安裝惡意程序，黑客由此即可獲取手機內包括通信錄、相冊等我的信息，甚至遠程控制支付軟件，不輸密碼就能夠購物。

圖：央視曝光的惡意免費充電樁

黑客利用理財APP漏洞半天提現千萬

2017年2月27日，某金融信息服務有限公司發現其旗下一款APP軟件被多人利用黑客手段攻擊，半天時間內即被非法提現人民幣1056萬元，遂向公安機關報案。接報後，相關部門當即成立專案組，第一時間派員進駐公司，爭分奪秒開展APP平臺服務器數據梳理，當日即分析出嫌疑人的做案手法併成功封堵漏洞，爲公司和投資人避免了更大損失。

與此同時，專案組盡心盡力開展偵查工做。經查，一名嫌疑人利用APP平臺漏洞，使用黑客手段篡改APP充值過程當中的請求金額數據，致使平臺入帳金額異常，並迅速進行提現操做實施犯罪。做案得手後，該嫌疑人又經過互聯網傳授做案方法，導致該漏洞被大量傳播利用。

本案屬於利用黑客手段進行網絡竊取的案件，對此相關企業要注重網站系統安全等級提高，增強短時間內大額交易審覈力度，一旦發現異常要及時報警。建議相關APP軟件開發企業能夠委託專門的網絡安全性能測試公司進行內部安全測試，測試過關後再推向市場。

可用於欺詐的「相冊」類安卓惡意程序威脅信息通報

2017年8月07日至8月13日，國家互聯網應急中心經過自主監測和樣本交換形式共發現96個竊取用戶我的信息的惡意程序變種，感染用戶15491個。該類病毒經過短信進行傳播會私自竊取用戶短信和通信錄，對用戶信息安全形成嚴重的安全威脅。

樣本惡意行爲分析：

1）運行後隱藏安裝圖標,同時誘騙用戶點擊激活設備管理器功能，致使用戶沒法正常卸載；

2）私自向黑客指定的手機號發送提示短信，「軟件安裝完畢\n識別碼：IMEI號碼，型號，手機系統版本」和「激活成功」；

3）私自將用戶手機裏已存在的全部短信和通信錄上傳至指定的郵箱；

4）私自接收指定手機號碼發來短信控制指令，執行控制指令內容;

5) 私自將用戶接收到新的短信轉發至指定的手機號，同時在用戶的收件箱中刪除該短信。

38 部 Android 手機被預裝了惡意程序

移動安全公司 Check Point Software Technologie 報告，兩家企業擁有的 38 部 Android 手機被發現預裝了惡意應用。報告沒有披露企業的名字。惡意應用不是廠商提供的官方固件的一部分，被認爲是在供應鏈的某一處加入進去的。

這些Android 手機屬於衆多品牌，包括三星和 LG 的多款手機，小米 4 和紅米、中興 x500、Oppo N三、vivo X6 plus、Nexus 5 和 5x、聯想 S90 和 A850。

該公司的研究人員稱，即便用戶萬分當心，也可能會在不知情下被惡意程序感染。這些惡意代碼每每會控制感染設備，讓受害者下載、安裝、執行惡意軟件，從而訪問數據、撥打高額手機號碼。

如何清除預裝的惡意軟件？由於這些預安裝的惡意軟件都具備系統權限，因此很難刪除。用戶能夠經過下面的方式將其清除：1. 刷機，將設備恢復到無公害狀態 2. 更新固件和ROM 3. 經過正規官方渠道購買手機

國內手機銀行安全體檢：多款存在高危漏洞，可影響資金安全

一份來自工信部旗下泰爾終端實驗室的研究報告顯示，在對國內多家大型商業銀行的Android端手機銀行APP進行分析後發現：測評的APP廣泛存在高危漏洞，用戶在進行轉帳交易時，黑客可以經過必定的技術手段劫持用戶的轉帳信息，從而致使用戶的轉帳資金被非法竊取。

通俗點說，就是當你被攻擊者盯上後，你在使用銀行的手機銀行Android APP進行轉帳，明明對方的卡號、姓名、開戶行填寫後反覆檢查沒問題，短信提示也顯示正確，但轉完帳一查交易記錄，欸…剛剛的錢怎麼轉給一個陌生名字了？固然，要實現這樣的高難度騙局，也須要必定的條件，你們不用過於恐慌。爲避免被惡意利用，漏洞細節暫未公開，泰爾表示已反饋到相關銀行進行修補。

在這裏提供幾點安全建議：一、從正規應用市場或官方網站下載APP 二、儘可能選擇安全口碑較好、用戶權益保護良好的銀行辦理業務 三、謹慎使用手機銀行APP執行轉帳等敏感操做，大額轉帳後應和對方確認 四、提升信息安全意識，保護我的隱私數據。

核彈級安卓漏洞爆發 或影響普遍

12月4號，谷歌經過其官方網站通告了一個高危漏洞CVE-2017-13156(發現廠商將其命名爲Janus)，該漏洞可讓攻擊者無視安卓簽名機制，經過繞過應用程序簽名驗證的形式，對未正確簽名的官方應用植入任意惡意代碼，目前安卓5.0—8.0等個版本系統均受影響，預計每日上千萬的活躍安卓應用將存在被利用可能，巨大的潛在威脅風險使得Janus漏洞成爲了安卓系統年度大漏洞！

對於用戶來講，Janus高危漏洞意味着手機中的應用將可能被黑客「置換」爲非法應用，面臨着信息泄露或被遠程操控等風險；而對APP應用的開發方來講，自家的官方應用將面臨着被黑客「悄無聲息」惡意植入風險程序的挑戰！

海雲安MARS全面支持Janus漏洞檢測

目前，海雲安信息安全團隊已經及時開展對Janus漏洞的跟進分析，並對相應的檢測工具進行了升級，開發廠商經過海雲安移動應用安全風險評估系統（MARS）便可快速有效的檢測出Janus漏洞，第一時間發現該高危漏洞便於及時開展有效的修復措施，將潛在安全風險消滅在「萌芽狀態」。

海雲安結語：

回顧2017年，移動安全事件頻頻爆發，海雲安從衆多事件中選出了具備表明性的10件以供讀者瞭解移動安全問題的最新發展態勢。

縱觀一系列移動安全事件，海雲安認爲移動安全漏洞問題仍舊是主要「罪魁禍首」，而我的信息泄露則成爲致使移動風險事故頻頻爆發的首要威脅。移動應用存在的諸多漏洞，讓黑客等不法分子得以實施系列惡意行爲，而藉助移動應用開展的諸多移動業務也每每因爲潛在的各種風險漏洞，爲企業的運營安全及用戶的我的信息安全、財產安全等帶來了極大的風險威脅。

在嚴峻的網絡安全形勢下，2017年國家相關部門、安全廠商、運營商等多方聯合，推行及實施了一系列保障信息安全的法律法規，如等保安全系列處罰措施、手機應用越權行爲的整改治理等積極措施，總體加大了對公民我的信息泄露的打擊力度。

新的一年，海雲安將繼續秉持「讓移動世界更安全」的發展願景，守衛移動安全，開放合做，共建移動安全產業鏈，打造更安全的移動生態環境。