中移動(dòng)人士稱Android完全開放導(dǎo)致惡意吸費(fèi)軟件泛濫

    飛象網(wǎng)訊（吉利/文）5月24日消息，在今天的“移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)創(chuàng)新與信息安全分論壇”上，中國移動(dòng)高級(jí)工程師劉利軍在談到終端安全時(shí)表示，Android系統(tǒng)完全開放的模式，給軟件開發(fā)過高授權(quán)，是導(dǎo)致惡意吸費(fèi)軟件泛濫的重要原因。他同時(shí)透露，目前正在網(wǎng)絡(luò)側(cè)建立監(jiān)測(cè)系統(tǒng)，來監(jiān)測(cè)發(fā)現(xiàn)某些軟件特制。

    在“2013移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)創(chuàng)新與信息安全分論壇”上，中國移動(dòng)高級(jí)工程師劉利軍分析移動(dòng)終端智能化的特點(diǎn)時(shí)表示，移動(dòng)終端更加接近個(gè)人，同時(shí)移動(dòng)互聯(lián)網(wǎng)和云計(jì)算也成為一個(gè)比較典型的趨勢(shì)。因此，“業(yè)務(wù)安全成為保障難點(diǎn)，而其后果就會(huì)導(dǎo)致用戶信息泄露、業(yè)務(wù)內(nèi)容泄露等”。

    劉利軍稱，目前WEB系統(tǒng)漏洞仍然是主要的入侵途徑，而Web系統(tǒng)主要安全威脅表現(xiàn)在四個(gè)方面：

    第一、SQL注入漏洞。“正常我們?cè)诰W(wǎng)站輸入一些信息，然后提交，在輸入?yún)��?shù)的地方，同時(shí)輸入數(shù)據(jù)庫命令，使數(shù)據(jù)庫執(zhí)行命令并返回敏感用戶信息”。

    第二、非法文件上傳�！袄�用網(wǎng)頁對(duì)文件類型監(jiān)察部嚴(yán)的漏洞，把后門、木馬等惡意程序上傳到網(wǎng)站系統(tǒng)并執(zhí)行，可以控制網(wǎng)站系統(tǒng)執(zhí)行命令并獲取敏感信息等”。

    第三、第三方組件�！暗谌�方組件在目前的Web開發(fā)領(lǐng)域逐漸的成為了一種形式，這些組件存在非常多的漏洞，可以直接上傳后門、木馬等惡意程序或者可以直接獲取網(wǎng)站管理員權(quán)限等，從而控制網(wǎng)站系統(tǒng)。Web第三方組件類型主要包括如網(wǎng)頁編輯組件、論壇組件等”。

    第四、系統(tǒng)管理后臺(tái)�！斑@方面的問題主要是在一個(gè)Web系統(tǒng)進(jìn)行服務(wù)以后，有一個(gè)管理工作界面，利用網(wǎng)站管理后臺(tái)被遠(yuǎn)程訪問�！�

    針對(duì)這些問題的安全防護(hù)，劉利軍認(rèn)為，事前要制定技術(shù)規(guī)范，強(qiáng)化安全編碼，“在系統(tǒng)的設(shè)置開發(fā)，規(guī)劃階段對(duì)服務(wù)的提供要深入到代碼級(jí)的控制，同時(shí)加強(qiáng)系統(tǒng)安全評(píng)估�！�

    而在事中，第一要強(qiáng)化Web安全管控，網(wǎng)站安全監(jiān)控�！斑@方面重點(diǎn)關(guān)注是網(wǎng)站安全監(jiān)控，以及Web安全的監(jiān)控”；第二是對(duì)Web進(jìn)行多層次的，包括強(qiáng)化Web安全防護(hù)，網(wǎng)站縱深安全防護(hù)。

    對(duì)于事后措施，“主要就是強(qiáng)化審計(jì)及應(yīng)急響應(yīng)，提升快速反映能力。接到安全事件分析任務(wù)，對(duì)事件進(jìn)行初步分析確認(rèn)”。

    在談到終端安全問題時(shí)劉利軍坦言，現(xiàn)在非常典型的是惡意吸費(fèi)。“導(dǎo)致這種問題非常重要的原因?qū)嶋H上就是開放性的問題，惡意軟件開發(fā)門檻低，Android系完全開放的模式，給軟件開發(fā)過高授權(quán)，是導(dǎo)致惡意吸費(fèi)軟件泛濫的重要原因”。

    他表示，“如果對(duì)這種非常典型的KPI的調(diào)用做一些限制，能大大降低惡意軟件入侵的可能性，這也是要求我們對(duì)操作系統(tǒng)，對(duì)KPI作出一些規(guī)范�！�

    劉利軍同時(shí)透露，“目前正在網(wǎng)絡(luò)側(cè)建立監(jiān)測(cè)系統(tǒng)，來監(jiān)測(cè)發(fā)現(xiàn)某些軟件特制。并同時(shí)在建設(shè)手機(jī)應(yīng)用安全管控中心，對(duì)商城應(yīng)用程序的全生命周期進(jìn)行安全審計(jì)和管控�！�