在国家互联网应急中心等单位指导的中国互联网安全大会上,移动安全高峰论坛猛料不断,360首席科学家蒋旭宪披露一个惊人的数据:智能手机上70%的安全漏洞都是由手机厂商定制系统引发的,目前非常火爆的红米手机也未能幸免。演示证明,黑客攻击者利用漏洞,可以造成红米手机无线网络密码泄漏和删除短信,拦截短信,拦截电话等过度使用权限问题。
360移动安全研究院评测了9个主流安卓手机厂商的十余款机型,涉及的Android系统版本从2.X-4.X。在测试的过程中,研究发现从谷歌公布新版本到手机厂商普及大概需要6个月的周期,而在这期间出现的系统级漏洞就很难解决。而手机厂商往往会修改安卓原生应用,并设置内置应用。经测试发现,平均80%的内置应用过度申请权限,这也给手机安全带来了严重隐患。
另一个触目惊心的事实是,在360移动安全研究院测试的十余款手机中,无一幸免全部存在系统漏洞。利用这些系统漏洞,黑客可以伪造任意短信实施诈骗。这一问题分布在几乎所有评估的手机中。而厂商定制则引入了短信欺诈漏洞。有些厂商虽然修复了原生代码漏洞,但却又引入新的漏洞。这多少让手机厂商有些应接不暇,穷于应付。
在演示环节中,360安全研究人员周亚金使用红米手机现场演示了怎样获得无线网络密码。只需要一个恶意网址就可以获得邮件的登录名和密码,邮件内容、通讯录信息同样也遭到了泄露。更为严重的是,所有接收和发送的短信内容同样会被窃取。
周亚金表示,定制系统也并非一无是处,诸如三星S 3安全启动和完整校验就是非常好的安全尝试。而红米的权限管理和恶意软件扫描同样颇具亮点。现在移动安全是行业内外最为关心的问题,手机厂商和渠道商需要共同维护手机安全,为用户提供更放心使用的手机。