佳软周刊:再谈手机安全 iOS都被攻陷了

    过去的一周，手机红包满天飞，热闹喧嚣的新年氛围掩盖了大家对移动安全的担忧，不过手机安全问题也在这段时间集中爆发，让人不禁对包括手机支付、个人信息等一系列安全问题感到担忧。从针对中国移动的网银木马威胁到针对非越狱iOS用户的XAgent间谍软件，越来越多的目标开始针对手机用户，首先让我们回顾一下这些安全事件。

佳软周刊:再谈手机安全 iOS都被攻陷了

    首先是被大家认为无懈可击的iOS系统，早在几个月前“麦芽地”事件已经对iOS产生了不小的冲击，上周又有一波被安全行业称作“Operation Pawn Storm”的恶意软件潮袭来。

    据悉，新款恶意应用程序能够窃取未越狱状态下的iPhone照片、短信、以及联系人等数据。不过，若是没有用户的许可，它们还是无法轻易得逞的。趋势科技将这款可将苹果的ad-hoc系统作为感染媒介的间谍软件称作“XAgent”。被设计来收集用户的短信、联系人、照片、地理位置、已安装的应用、当前正在运行的进程、以及Wi-Fi状态等信息。此外，他还可以偷偷启用音频录制(获得内置麦克风的使用权)，并将内容传送到指令与控制服务器。

XAgent

    该功能原本旨在便于企业和开发者向组织或个人用户部署应用，并且允许用户绕过App Store去安装。当然，这一过程会相当繁琐，而且在安装途中会出现许多次通知提醒。

    正因如此，Operation Pawn Storm可以通过感染周边用户群的方式发起攻击，所以，即使是来自朋友或同事圈的安装说明，也需要多留个心眼。当然，对于用户来说，最简单的方法还是别手贱去点击可疑连接。

移动中招 安卓网银木马曝出

   与此同时，黑客网站reebuf也爆出一起针对中国移动用户的强大网银木马事件，并对此病毒的触发过程做了详细的解剖，该木马主要瞄向中国的移动用户，检出率很低。该安卓木马能够拦截短信并寻找特定的关键字，盗取用户网银信息。此外，它还会从用户的移动设备中盗取所有的联系人信息，并将其发送到远程服务器。我们来一起回顾一下。

安卓网银木马（图片引自reebuf）

安卓网银木马（图片引自reebuf）

    从上图中可以看出该木马可以将捕获的出站短信发送到制定邮箱中，使用同样的方式将入站的短信也以同样的参数发送到指定邮箱，另外它还将信息以短信的形式发送到指定的手机上。

安卓网银木马（图片引自reebuf）

    上图显示了该木马具有拦截来电的功能，并能够将来电号码以主题为“拨打进来的一次来电!”的邮件发送出去，而且它还有挂断电话的功能。

安卓网银木马（图片引自reebuf）

    需要警惕的是在上面的截图中我们可以看到，与网银交易有关的地方都做了字符串检测处理，它可以检测如“支付”、”校验”、”银行”、“余额”、“验证”的字符串，这很明显地表明木马的作者意图嗅探与网银相关的信息。

安卓网银木马（图片引自reebuf）

    恶意软件将短信接收器和拨出电话服务的优先级设置为高优先级，这将确保当这些事件发生时，该木马比其他应用拥有更高的处理优先权。 

    通过以上行为该安卓木马可以实现发送邮件、拦截呼入电话、窃取联系人信息等操作，经过上面的一系列描述，我们已经可以看到这款移动平台的网银盗窃木马的威力，同时也让我们感到触目惊心，一旦这种病毒大范围传播，中招的就是我们这些路人。

    从上面两例安全事件中可以看出电话号码等私人信息以及银行账号等涉及到财产类的内容永远是木马瞄准的主要目标，一旦中招我们将面临的场景有：无休止的电话短信骚扰、个人信息不断的被转卖以及极有可能发生的银行财产失窃行为。 

    而关于手机安全的行为我们也多次强调过，包括避免安装不知名来源应用、遇到发送财产信息时避免使用即时通信工具传递等，另外就是切记贪图安装盗版App等，养成良好的手机使用习惯是保证我们手机安全的一大举措。

安卓木马猖狂 程序员也有责任？

    同时针对于安卓平台，开发人员似乎也有自己的责任——无休止的调用用户权限，让用户形成麻痹心理。而事实上你的Android应用完全不需要那么多的权限。

    伯乐在线的一篇文章探讨了安卓应用权限调用的问题，Android系统的权限从用户的角度来看有时候的确有点让人摸不着头脑。有时候可能你只需要做一些简单的事情（对联系人的信息进行编辑），却申请了远超你应用所需的权限（比如访问所有联系人信息的权限）。

    作者认为你在完成某些操作的时候并不一定需要申请权限的，并举例进行了说明：

    比如Android系统中有这样一个权限： android.permission.CALL_PHONE. 你需要这个权限来让你从你的应用中调用拨号器，对吗？下面的代码就是你如果拨打电话的，对吧？

                    不规范的安卓代码  

    这个权限可以让你的手机在没有用户操作的情况下打电话，也就是说如果应用用了这个权限，我可以在你不知情的情况下每天凌晨三点去拨打骚扰电话。这就是一个滥用权限的例子，作者最后也给出更好的解决方案，并对目前滥用安卓权限的行为感到遗憾。

    使用更少的权限不但可以让你获取更多的用户信任，对用户来说，也让他们获得了很好的用户体验。更重要的是，至少在遇到一个没有需要获取权限的应用面前，我们可以做出警惕性反应。