智能手機(jī)黑洞

正文：每天，神秘的力量制造超過五萬個手機(jī)病毒，并廣為散播。

同期：這個就是嘗試獲取追蹤你的位置信息，這個是在獲取我們的位置信息。這個是在后臺進(jìn)行的，如果沒有相關(guān)提示的話，用戶是完全不能察覺的。

正文：你以為你的手機(jī)是個人私密的通信工具，事實(shí)證明這只是你的以為。

同期：現(xiàn)在我們可以看到短信同步，還包括他的這些通話記錄，包括這些聯(lián)系人

演播室：共同打造高質(zhì)量的生活，歡迎收看《每周質(zhì)量報告》。今天早些時候，國家計算機(jī)病毒應(yīng)急處理中心發(fā)布了一組觸目驚心的數(shù)據(jù)，目前平均每天截獲的智能手機(jī)新增惡意程序樣本超過5萬個。那么，這些惡意程序?qū)ξ覀儙缀趺總€人每天都用的手機(jī)有什么危害，又是誰，出于什么目的大量生產(chǎn)制造這些惡意程序呢?來看今天的記者調(diào)查。

小標(biāo)題一：我國每天截獲針對智能手機(jī)惡意程序樣本超五萬個

正文：國家計算機(jī)病毒應(yīng)急處理中心發(fā)布的最新一次全國信息網(wǎng)絡(luò)安全狀況暨計算機(jī)和移動終端病毒疫情調(diào)查結(jié)果顯示，在移動終端的病毒感染比例呈上升趨勢，一年當(dāng)中智能手機(jī)新增惡意程序樣本1800多萬，平均每天截獲新增惡意程序樣本也高達(dá)51000多個。

同期：工信部電子五所質(zhì)檢中心技術(shù)總監(jiān)李倩050223

在近兩年安全事件的確呈一個下降的趨勢，達(dá)到了20%多，但是在移動終端這一塊，呈上升的趨勢已經(jīng)高達(dá)50%，甚至，相比前兩年已經(jīng)上升到18%左右。

小標(biāo)題二：我國手機(jī)網(wǎng)民近七億

正文：2017年初，中國互聯(lián)網(wǎng)絡(luò)信息中心最新的數(shù)據(jù)表明，目前我國手機(jī)網(wǎng)民已將近7億，在這樣一個數(shù)字面前，智能手機(jī)的信息安全不容忽視。而現(xiàn)實(shí)當(dāng)中的數(shù)據(jù)顯示，移動端頻頻爆發(fā)的惡意代碼等威脅，卻在日益嚴(yán)重地困擾著每一個手機(jī)用戶的隱私和財產(chǎn)安全。那么，在手機(jī)越來越智能化的今天，是什么樣的因素會影響著手機(jī)的信息安全呢?日前，國家質(zhì)檢總局組織了一次智能手機(jī)產(chǎn)品信息安全的專項(xiàng)風(fēng)險監(jiān)測，測試機(jī)型包括了市場上大部分高中低端的手機(jī)產(chǎn)品，共40批次。

正文：記者了解到，(動畫字版)目前依據(jù)《移動智能終端安全能力技術(shù)要求》這個行業(yè)標(biāo)準(zhǔn)，進(jìn)入市場的手機(jī)產(chǎn)品都要進(jìn)行進(jìn)網(wǎng)檢測，檢驗(yàn)手機(jī)產(chǎn)品能否保護(hù)通話記錄、短信數(shù)據(jù)等用戶數(shù)據(jù)，系統(tǒng)更新時是否安全，預(yù)置應(yīng)用軟件是否未經(jīng)用戶同意，收集、修改數(shù)據(jù)、讀取隱私信息等。

同期：工信部電子五所質(zhì)檢中心安全工程師李樂言044817

目前現(xiàn)有的標(biāo)準(zhǔn)的話，對手機(jī)的一個操作系統(tǒng)，它的預(yù)置應(yīng)用，內(nèi)容安全，還有一些外圍接口的安全都會進(jìn)行的一些要求，

正文：在廣州，工信部電子五所質(zhì)檢中心的工程師首先對這些進(jìn)網(wǎng)必檢項(xiàng)目進(jìn)行了測試。記者了解到，按照進(jìn)網(wǎng)標(biāo)準(zhǔn)要求，手機(jī)系統(tǒng)在遇到木馬病毒或惡意程序讀取用戶數(shù)據(jù)時，應(yīng)有一定的提示，提醒用戶防范信息泄露。那么這些最新的智能手機(jī)，系統(tǒng)的安全性能會怎么樣呢?工程師隨后在多款智能手機(jī)上都安裝了一個測試木馬，檢驗(yàn)這些手機(jī)對語音、通話、短信等數(shù)據(jù)的保護(hù)。

同期：工信部電子五所質(zhì)檢中心安全工程師 李樂言0317

現(xiàn)在我們有兩款手機(jī)都安裝了一個偽裝成正常應(yīng)用的一個木馬，就是我們桌面上這個，現(xiàn)在我看一下左邊這款手機(jī)，我們點(diǎn)開它的時候，你會看見木馬正在讀取我們的一些手機(jī)狀態(tài)。我們再看下下面的，你看這個木馬正在進(jìn)行一個錄音的操作。

記者：都會提示是嗎

對，都會提示。然后我們看下右邊這款手機(jī)，我們在點(diǎn)開時候完全沒有任何提示內(nèi)容。其實(shí)這個時候木馬已經(jīng)在讀取我們的操作。

正文：測試發(fā)現(xiàn)，大多數(shù)手機(jī)在木馬啟動的時候，都會彈出提示框，但個別手機(jī)卻毫無動靜，任由測試木馬暗中讀取隱私數(shù)據(jù)。

正文：工程師透露，除了手機(jī)系統(tǒng)本身的安全防護(hù)要求，目前的進(jìn)網(wǎng)標(biāo)準(zhǔn)還對預(yù)置軟件提出了安全提示等要求。記者了解到，存在于手機(jī)當(dāng)中的各類應(yīng)用軟件都會因功能需要，要求獲取用戶的相關(guān)權(quán)限。比如地圖軟件需要獲取位置信息，聊天軟件要求獲取通話記錄信息等等，按照要求，獲取這些涉及用戶隱私的這些信息必須要經(jīng)過用戶同意。

同期：工信部電子五所質(zhì)檢中心工程師李樂言032348

提示有文字圖片或者一些按鈕，都會有一些提示內(nèi)容，比如彈出一個對話框，這個對話框會告知收集你的位置，或者是聯(lián)系人，或者是圖片信息，這樣的一個提示內(nèi)容，如果你不點(diǎn)確認(rèn)的話，它是不會再收集你的信息的。

不符合的話是打開應(yīng)用的時候，用戶是看不到提示內(nèi)容。

小標(biāo)題三：發(fā)現(xiàn)九批次手機(jī)暗中收集用戶私密信息

正文：工程師隨后對所有手機(jī)樣品進(jìn)行了測試，在專門的測試軟件監(jiān)控下，總共40批次手機(jī)樣品中，發(fā)現(xiàn)有9批次手機(jī)當(dāng)中的相關(guān)軟件在未提示用戶的情況下，暗中收集手機(jī)用戶私密信息。

同期：032046工信部電子五所質(zhì)檢中心安全工程師 李樂言

我們再看一款剛才的那款應(yīng)用，看，這個時候我們的監(jiān)控軟件就會監(jiān)控到獲取一些信息，

記者：什么信息呢

這個就是嘗試獲取追蹤你的位置信息，這個是在獲取我們的位置信息。這個是在后臺進(jìn)行的，如果沒有相關(guān)提示的話，用戶是完全不能察覺的。

小標(biāo)題三：知名預(yù)置軟件讀取地理位置不提示

正文：工程師告訴記者，目前測試到的一些有風(fēng)險的預(yù)置應(yīng)用，主要是游戲類、社交類、服務(wù)類以及工具類的軟件，其中也不乏知名的預(yù)置應(yīng)用軟件。記者看到的這款生活服務(wù)類軟件，就在啟動時沒有讀取地理位置的提示。

正文：經(jīng)過對手機(jī)系統(tǒng)安全和預(yù)置應(yīng)用安全的相關(guān)測試，工程師都發(fā)現(xiàn)了存在風(fēng)險的手機(jī)產(chǎn)品。而在隨后進(jìn)行的智能手機(jī)后端信息系統(tǒng)的安全測試中，工程師發(fā)現(xiàn)，智能手機(jī)存在的安全風(fēng)險，要大得多。

小標(biāo)題四：云平臺成信息泄露重要途徑

正文：工程師告訴記者，智能手機(jī)的后端信息系統(tǒng)，也就是人們所說的云平臺。隨著手機(jī)智能化的提升，目前手機(jī)都能夠連接后端的云平臺，實(shí)現(xiàn)通訊錄、短信、照片等數(shù)據(jù)備份功能，以及在丟失的特定情況下定位找回、數(shù)據(jù)清除等功能。但是如果手機(jī)云平臺存在安全漏洞，也就意味著智能手機(jī)不僅沒能提供存儲便利，反倒增加了信息泄露的途徑。

同期：工信部電子五所質(zhì)檢中心技術(shù)總監(jiān) 李倩045318

這樣一個與平臺連接了大量的智能手機(jī)，如果這樣一個云平臺出現(xiàn)問題，你這些手機(jī)存儲在云平臺的數(shù)據(jù)，或者和云平臺建立的連接如果被惡意分子利用，+這塊兒會將導(dǎo)致大面積的信息泄露

正文：那么，目前智能手機(jī)云平臺會存在什么樣的安全漏洞呢?記者了解到，守護(hù)智能手機(jī)云平臺安全門檻的，首當(dāng)其沖的一個要素就是身份鑒別，也就是云平臺對密碼強(qiáng)度的要求。

同期：工信部電子五所質(zhì)檢中心安全工程師 李樂言內(nèi)032905

成熟的一個后端信息系統(tǒng)的話，針對這個密碼強(qiáng)度的要求，一般是會要求一些大小寫，或者是數(shù)字和字母的組合，還有一些可能會加上一些特殊字符，還會對密碼長度進(jìn)行要求，

正文：工程師告訴記者，符合測試要求的智能手機(jī)會在云平臺注冊時，提示不能使用簡單或連續(xù)的數(shù)字作為密碼。隨即進(jìn)行的測試顯示，工程師使用123456作為密碼注冊時，部分智能手機(jī)立即彈出提示框，提示密碼不能使用連續(xù)的字符。但是部分智能手機(jī)卻沒有提示密碼強(qiáng)度，工程師用記者的手機(jī)號碼在一個云平臺注冊時，用簡單的密碼就通過了身份驗(yàn)證。

同期：工信部電子五所質(zhì)檢中心安全工程師李樂言034153

好我們現(xiàn)在輸入一個簡單的密碼，123456，再輸入，確認(rèn)我的密碼，123456，點(diǎn)一下注冊，現(xiàn)在是完全沒有提示，然后我們注冊成功。

小標(biāo)題五：簡單密碼更容易被破解

正文：記者發(fā)現(xiàn)，用簡單的連續(xù)數(shù)字，或者用666888等重復(fù)性數(shù)字測試時，多款智能手機(jī)的云平臺都能夠注冊成功。工程師透露，用這樣的簡單密碼面臨最大的風(fēng)險，就是容易被黑客破解，造成個人隱私的泄露。工程師隨后用暴力破解軟件對10余位志愿者的手機(jī)號進(jìn)行了密碼分析，發(fā)現(xiàn)有3個志愿者都使用了簡單的123456的云平臺密碼，導(dǎo)致其存儲在云平臺的個人信息，輕易地就被工程師獲取到。

同期：工信部電子五所質(zhì)檢中心安全工程師 李樂言035045

現(xiàn)在我們可以看到短信同步，還包括他的這些通話記錄，包括這些聯(lián)系人

正文：記者了解到，智能手機(jī)云平臺密碼強(qiáng)度要求不嚴(yán)，帶來危害遠(yuǎn)不止個人信息泄露，云平臺密碼被破解的智能手機(jī)，還可能被黑客遠(yuǎn)程操控。國內(nèi)發(fā)生的一些案例顯示，黑客破解了云平臺的簡單密碼后對手機(jī)進(jìn)行了遠(yuǎn)程鎖屏，導(dǎo)致手機(jī)不能使用，黑客進(jìn)而勒索手機(jī)用戶出錢才能解鎖。

小標(biāo)題六：九批次手機(jī)云平臺存安全漏洞

正文：經(jīng)過對智能手機(jī)云平臺的安全測試，記者發(fā)現(xiàn)40批樣品中，多達(dá)9批次云平臺都存在身份鑒別方面的安全漏洞，暴露出密碼強(qiáng)度驗(yàn)證不足的問題。工程師通過測試還發(fā)現(xiàn)，存在安全漏洞的云平臺沒有限制非法登錄和驗(yàn)證碼錯誤次數(shù)，使測試者可以無限次地嘗試登錄其它手機(jī)的云平臺，留下極大的安全隱患。

正文：工程師告訴記者，關(guān)乎智能手機(jī)云平臺安全的，除了身份鑒別的因素，還有一個重要因素，就是權(quán)限控制。

同期：工信部電子五所質(zhì)檢中心安全工程師 李樂言內(nèi)033803

云平臺正常的一個權(quán)限控制的話，實(shí)際上是應(yīng)該達(dá)到一個權(quán)限分離，也就是說+用戶和用戶之間是不能相互查看對方的數(shù)據(jù)，是有一個權(quán)限的一個隔離，

小標(biāo)題七：通過云平臺可以輕易獲得手機(jī)使用者位置

正文：工程師告訴記者，一個云平臺如果能夠做到控制權(quán)限，會對所有手機(jī)用戶的權(quán)限請求進(jìn)行驗(yàn)證，并會發(fā)送驗(yàn)證碼到手機(jī)上，驗(yàn)證是否為本人操作，以保護(hù)用戶的各種私密信息。而在測試中記者發(fā)現(xiàn)，在工程師嘗試通過數(shù)據(jù)包獲取一個志愿者的位置信息時，部分智能手機(jī)的云平臺竟然沒有向志愿者手機(jī)發(fā)送驗(yàn)證，輕易地就允許了陌生用戶的請求。而工程師也就輕而易舉地掌握了志愿者的地理位置。

正文：記者了解到，同一個云平臺的智能手機(jī)成千上萬，在云平臺存在權(quán)限管理不嚴(yán)的情況下，同一云平臺所有的手機(jī)信息被泄露的可能性極大。工程師在全國范圍內(nèi)征集了十余名使用相同手機(jī)云平臺的志愿者，在獲取地理位置的測試中，一一輸入了這些志愿者的手機(jī)號碼，記者看到，僅僅一秒鐘之后，測試工具就將這些志愿者的所在區(qū)域以明文形式顯示出來。

同期：工信部電子五所質(zhì)檢中心安全工程師 李樂言035837

我們看一下第一個，這是南昌市的一個志愿者，他現(xiàn)在是在南昌市西湖區(qū)新洲路這個地方，我們再看下一個志愿者的位置信息，下一個志愿者在北京市十八里店這個位置，好我們再看下一個，石家莊的。

正文：工程師告訴記者，云平臺權(quán)限控制的漏洞所導(dǎo)致的越權(quán)操作，影響的絕不僅僅是一兩個手機(jī)用戶的個人隱私，還存在著私密信息的集體泄露危險，關(guān)系到公共信息安全。

小標(biāo)題八：45%手機(jī)存在信息安全風(fēng)險

正文：經(jīng)過大量測試，總共40批次智能手機(jī)當(dāng)中，共發(fā)現(xiàn)18批次的產(chǎn)品存在不符合項(xiàng)，占比高達(dá)45%。其中有1000塊錢左右的低端手機(jī)，也有3000塊錢以上的高端智能手機(jī)，也不乏國外名牌產(chǎn)品。涉及的項(xiàng)目包括智能手機(jī)的后端信息系統(tǒng)、預(yù)置應(yīng)用軟件安全等。最后，經(jīng)過20名風(fēng)險評估專家的分析和打分，此次智能手機(jī)的信息安全風(fēng)險等級被評估為中等風(fēng)險。

同期：工信部電子五所質(zhì)檢中心安全工程師 李樂言

可換國家質(zhì)檢總局風(fēng)險管理中心(待采)045506

中等風(fēng)險就意味著只能手機(jī)這款產(chǎn)品的話，是目前信息安全存在一定問題，但是也不是說存在非常嚴(yán)重的問題，也就是說目前也進(jìn)行了一些把關(guān)一些監(jiān)控，有一些現(xiàn)行的標(biāo)準(zhǔn)，但是也會出現(xiàn)一些標(biāo)準(zhǔn)之外的一些安全問題，這塊兒是沒有進(jìn)行一個限制。

演播室：專家告訴我們，不法人員和機(jī)構(gòu)竊取個人信息主要目的就是為了以各種方式經(jīng)營或直接實(shí)施犯罪，所以當(dāng)消費(fèi)者的實(shí)時位置，個人帳戶等信息可以被不法分子如此輕易的拿到的時候，恐懼就成了使用智能手機(jī)時如影隨行的贈品，可謂揮之不去。

小標(biāo)題九：手機(jī)云平臺安全方面無標(biāo)準(zhǔn)

正文：采訪中記者了解到，目前關(guān)于智能手機(jī)信息安全的相關(guān)標(biāo)準(zhǔn)，主要是通信行業(yè)推薦性標(biāo)準(zhǔn)，以及部分國家推薦性標(biāo)準(zhǔn)。而問題頻出的智能手機(jī)云平臺，更是缺乏針對性的安全技術(shù)要求，導(dǎo)致手機(jī)生產(chǎn)廠家在云平臺的安全建設(shè)上，無標(biāo)準(zhǔn)可依。

同期：工信部電子五所質(zhì)檢中心技術(shù)總監(jiān) 李倩050632內(nèi)

那我們可能主要是一個標(biāo)準(zhǔn)這一塊不夠完善，或者是更多的標(biāo)準(zhǔn)是一些行業(yè)性的標(biāo)準(zhǔn)，尤其是在標(biāo)準(zhǔn)的內(nèi)容中可能也有內(nèi)容的一些缺失，比如說我們這次，問題比較多的就是后臺的信息系統(tǒng)安全的一些漏洞，移動智能終端的后臺信息安全的一些漏洞，其實(shí)這在標(biāo)準(zhǔn)鐘都沒有體現(xiàn)出來，尤其是一些云平臺方面的，也沒有體現(xiàn)出來相應(yīng)的檢測方法，和測試標(biāo)準(zhǔn)。

正文：記者發(fā)現(xiàn)，沒有標(biāo)準(zhǔn)和規(guī)范要求的云平臺信息安全，暴露出的安全漏洞明顯要多于其它項(xiàng)目，在不符合監(jiān)測要求的18批次智能手機(jī)中，12批次問題集中在云平臺。其中9批次暴露出身份鑒別漏洞，3批次在權(quán)限控制方面存在安全風(fēng)險。

正文：隨著智能手機(jī)越來越頻繁的應(yīng)用，其信息安全的重要性不言而喻。風(fēng)險評估專家認(rèn)為，在做好預(yù)置應(yīng)用安全、手機(jī)系統(tǒng)安全等手機(jī)進(jìn)網(wǎng)必檢項(xiàng)目的同時，針對智能手機(jī)這種技術(shù)更新迅速產(chǎn)品的標(biāo)準(zhǔn)建設(shè)也要加快日程，以此促進(jìn)智能手機(jī)的信息安全。

同期：工信部電子五所質(zhì)檢中心技術(shù)總監(jiān) 李倩0507

我們希望國家來完善這一套標(biāo)準(zhǔn)體系，那比如說我們要跟蹤一些新的技術(shù)，然后對整個標(biāo)準(zhǔn)的內(nèi)容進(jìn)行了一個擴(kuò)充，比如送說我們以前那些行業(yè)標(biāo)準(zhǔn)上升到一些國家標(biāo)準(zhǔn)，然后標(biāo)準(zhǔn)的內(nèi)容擴(kuò)充到比如說有硬件的安全，還有應(yīng)用軟件的安全，還有內(nèi)容的安全，云平臺的安全等等。

演播室：

專家告訴我們，智能手機(jī)，通俗的說就是能上網(wǎng)的手機(jī)，所以所謂智能手機(jī)的安全問題本質(zhì)上就是網(wǎng)絡(luò)安全問題，而網(wǎng)絡(luò)安全問題之所以總是很突出，重要的根源之一就是相當(dāng)一部分互聯(lián)網(wǎng)相關(guān)從業(yè)人員總是認(rèn)為網(wǎng)絡(luò)是另一個世界，不受現(xiàn)實(shí)世界的道理倫理和法律法規(guī)約束，甚至制造出，網(wǎng)絡(luò)上賣的不合格產(chǎn)品不屬于假冒偽劣產(chǎn)品而應(yīng)該叫網(wǎng)貨一類荒誕不經(jīng)的說法，其實(shí)，網(wǎng)絡(luò)的背后就是人，網(wǎng)絡(luò)世界里追逐的也是現(xiàn)實(shí)利益，網(wǎng)絡(luò)世界里竊取個人信息也是傷害受害人現(xiàn)實(shí)的利益，一句話，互聯(lián)網(wǎng)不是法外之地，用更現(xiàn)實(shí)更嚴(yán)厲的手段使互聯(lián)網(wǎng)及其從業(yè)人員回歸法制，是緊迫而又重要的任務(wù)。好，感謝收看我們的節(jié)目，下周同一時間再見。