智能手機(jī)黑洞

正文：每天，神秘的力量制造超過五萬個(gè)手機(jī)病毒，并廣為散播。

同期：這個(gè)就是嘗試獲取追蹤你的位置信息，這個(gè)是在獲取我們的位置信息。這個(gè)是在后臺(tái)進(jìn)行的，如果沒有相關(guān)提示的話，用戶是完全不能察覺的。

正文：你以為你的手機(jī)是個(gè)人私密的通信工具，事實(shí)證明這只是你的以為。

同期：現(xiàn)在我們可以看到短信同步，還包括他的這些通話記錄，包括這些聯(lián)系人

演播室：共同打造高質(zhì)量的生活，歡迎收看《每周質(zhì)量報(bào)告》。今天早些時(shí)候，國家計(jì)算機(jī)病毒應(yīng)急處理中心發(fā)布了一組觸目驚心的數(shù)據(jù)，目前平均每天截獲的智能手機(jī)新增惡意程序樣本超過5萬個(gè)。那么，這些惡意程序?qū)ξ覀儙缀趺總€(gè)人每天都用的手機(jī)有什么危害，又是誰，出于什么目的大量生產(chǎn)制造這些惡意程序呢?來看今天的記者調(diào)查。

小標(biāo)題一：我國每天截獲針對(duì)智能手機(jī)惡意程序樣本超五萬個(gè)

正文：國家計(jì)算機(jī)病毒應(yīng)急處理中心發(fā)布的最新一次全國信息網(wǎng)絡(luò)安全狀況暨計(jì)算機(jī)和移動(dòng)終端病毒疫情調(diào)查結(jié)果顯示，在移動(dòng)終端的病毒感染比例呈上升趨勢(shì)，一年當(dāng)中智能手機(jī)新增惡意程序樣本1800多萬，平均每天截獲新增惡意程序樣本也高達(dá)51000多個(gè)。

同期：工信部電子五所質(zhì)檢中心技術(shù)總監(jiān)李倩050223

在近兩年安全事件的確呈一個(gè)下降的趨勢(shì)，達(dá)到了20%多，但是在移動(dòng)終端這一塊，呈上升的趨勢(shì)已經(jīng)高達(dá)50%，甚至，相比前兩年已經(jīng)上升到18%左右。

小標(biāo)題二：我國手機(jī)網(wǎng)民近七億

正文：2017年初，中國互聯(lián)網(wǎng)絡(luò)信息中心最新的數(shù)據(jù)表明，目前我國手機(jī)網(wǎng)民已將近7億，在這樣一個(gè)數(shù)字面前，智能手機(jī)的信息安全不容忽視。而現(xiàn)實(shí)當(dāng)中的數(shù)據(jù)顯示，移動(dòng)端頻頻爆發(fā)的惡意代碼等威脅，卻在日益嚴(yán)重地困擾著每一個(gè)手機(jī)用戶的隱私和財(cái)產(chǎn)安全。那么，在手機(jī)越來越智能化的今天，是什么樣的因素會(huì)影響著手機(jī)的信息安全呢?日前，國家質(zhì)檢總局組織了一次智能手機(jī)產(chǎn)品信息安全的專項(xiàng)風(fēng)險(xiǎn)監(jiān)測(cè)，測(cè)試機(jī)型包括了市場(chǎng)上大部分高中低端的手機(jī)產(chǎn)品，共40批次。

正文：記者了解到，(動(dòng)畫字版)目前依據(jù)《移動(dòng)智能終端安全能力技術(shù)要求》這個(gè)行業(yè)標(biāo)準(zhǔn)，進(jìn)入市場(chǎng)的手機(jī)產(chǎn)品都要進(jìn)行進(jìn)網(wǎng)檢測(cè)，檢驗(yàn)手機(jī)產(chǎn)品能否保護(hù)通話記錄、短信數(shù)據(jù)等用戶數(shù)據(jù)，系統(tǒng)更新時(shí)是否安全，預(yù)置應(yīng)用軟件是否未經(jīng)用戶同意，收集、修改數(shù)據(jù)、讀取隱私信息等。

同期：工信部電子五所質(zhì)檢中心安全工程師李樂言044817

目前現(xiàn)有的標(biāo)準(zhǔn)的話，對(duì)手機(jī)的一個(gè)操作系統(tǒng)，它的預(yù)置應(yīng)用，內(nèi)容安全，還有一些外圍接口的安全都會(huì)進(jìn)行的一些要求，

正文：在廣州，工信部電子五所質(zhì)檢中心的工程師首先對(duì)這些進(jìn)網(wǎng)必檢項(xiàng)目進(jìn)行了測(cè)試。記者了解到，按照進(jìn)網(wǎng)標(biāo)準(zhǔn)要求，手機(jī)系統(tǒng)在遇到木馬病毒或惡意程序讀取用戶數(shù)據(jù)時(shí)，應(yīng)有一定的提示，提醒用戶防范信息泄露。那么這些最新的智能手機(jī)，系統(tǒng)的安全性能會(huì)怎么樣呢?工程師隨后在多款智能手機(jī)上都安裝了一個(gè)測(cè)試木馬，檢驗(yàn)這些手機(jī)對(duì)語音、通話、短信等數(shù)據(jù)的保護(hù)。

同期：工信部電子五所質(zhì)檢中心安全工程師 李樂言0317

現(xiàn)在我們有兩款手機(jī)都安裝了一個(gè)偽裝成正常應(yīng)用的一個(gè)木馬，就是我們桌面上這個(gè)，現(xiàn)在我看一下左邊這款手機(jī)，我們點(diǎn)開它的時(shí)候，你會(huì)看見木馬正在讀取我們的一些手機(jī)狀態(tài)。我們?cè)倏聪孪旅娴?，你看這個(gè)木馬正在進(jìn)行一個(gè)錄音的操作。

記者：都會(huì)提示是嗎

對(duì)，都會(huì)提示。然后我們看下右邊這款手機(jī)，我們?cè)邳c(diǎn)開時(shí)候完全沒有任何提示內(nèi)容。其實(shí)這個(gè)時(shí)候木馬已經(jīng)在讀取我們的操作。

正文：測(cè)試發(fā)現(xiàn)，大多數(shù)手機(jī)在木馬啟動(dòng)的時(shí)候，都會(huì)彈出提示框，但個(gè)別手機(jī)卻毫無動(dòng)靜，任由測(cè)試木馬暗中讀取隱私數(shù)據(jù)。

正文：工程師透露，除了手機(jī)系統(tǒng)本身的安全防護(hù)要求，目前的進(jìn)網(wǎng)標(biāo)準(zhǔn)還對(duì)預(yù)置軟件提出了安全提示等要求。記者了解到，存在于手機(jī)當(dāng)中的各類應(yīng)用軟件都會(huì)因功能需要，要求獲取用戶的相關(guān)權(quán)限。比如地圖軟件需要獲取位置信息，聊天軟件要求獲取通話記錄信息等等，按照要求，獲取這些涉及用戶隱私的這些信息必須要經(jīng)過用戶同意。

同期：工信部電子五所質(zhì)檢中心工程師李樂言032348

提示有文字圖片或者一些按鈕，都會(huì)有一些提示內(nèi)容，比如彈出一個(gè)對(duì)話框，這個(gè)對(duì)話框會(huì)告知收集你的位置，或者是聯(lián)系人，或者是圖片信息，這樣的一個(gè)提示內(nèi)容，如果你不點(diǎn)確認(rèn)的話，它是不會(huì)再收集你的信息的。

不符合的話是打開應(yīng)用的時(shí)候，用戶是看不到提示內(nèi)容。

小標(biāo)題三：發(fā)現(xiàn)九批次手機(jī)暗中收集用戶私密信息

正文：工程師隨后對(duì)所有手機(jī)樣品進(jìn)行了測(cè)試，在專門的測(cè)試軟件監(jiān)控下，總共40批次手機(jī)樣品中，發(fā)現(xiàn)有9批次手機(jī)當(dāng)中的相關(guān)軟件在未提示用戶的情況下，暗中收集手機(jī)用戶私密信息。

同期：032046工信部電子五所質(zhì)檢中心安全工程師 李樂言

我們?cè)倏匆豢顒偛诺哪强顟?yīng)用，看，這個(gè)時(shí)候我們的監(jiān)控軟件就會(huì)監(jiān)控到獲取一些信息，

記者：什么信息呢

這個(gè)就是嘗試獲取追蹤你的位置信息，這個(gè)是在獲取我們的位置信息。這個(gè)是在后臺(tái)進(jìn)行的，如果沒有相關(guān)提示的話，用戶是完全不能察覺的。

小標(biāo)題三：知名預(yù)置軟件讀取地理位置不提示

正文：工程師告訴記者，目前測(cè)試到的一些有風(fēng)險(xiǎn)的預(yù)置應(yīng)用，主要是游戲類、社交類、服務(wù)類以及工具類的軟件，其中也不乏知名的預(yù)置應(yīng)用軟件。記者看到的這款生活服務(wù)類軟件，就在啟動(dòng)時(shí)沒有讀取地理位置的提示。

正文：經(jīng)過對(duì)手機(jī)系統(tǒng)安全和預(yù)置應(yīng)用安全的相關(guān)測(cè)試，工程師都發(fā)現(xiàn)了存在風(fēng)險(xiǎn)的手機(jī)產(chǎn)品。而在隨后進(jìn)行的智能手機(jī)后端信息系統(tǒng)的安全測(cè)試中，工程師發(fā)現(xiàn)，智能手機(jī)存在的安全風(fēng)險(xiǎn)，要大得多。

小標(biāo)題四：云平臺(tái)成信息泄露重要途徑

正文：工程師告訴記者，智能手機(jī)的后端信息系統(tǒng)，也就是人們所說的云平臺(tái)。隨著手機(jī)智能化的提升，目前手機(jī)都能夠連接后端的云平臺(tái)，實(shí)現(xiàn)通訊錄、短信、照片等數(shù)據(jù)備份功能，以及在丟失的特定情況下定位找回、數(shù)據(jù)清除等功能。但是如果手機(jī)云平臺(tái)存在安全漏洞，也就意味著智能手機(jī)不僅沒能提供存儲(chǔ)便利，反倒增加了信息泄露的途徑。

同期：工信部電子五所質(zhì)檢中心技術(shù)總監(jiān) 李倩045318

這樣一個(gè)與平臺(tái)連接了大量的智能手機(jī)，如果這樣一個(gè)云平臺(tái)出現(xiàn)問題，你這些手機(jī)存儲(chǔ)在云平臺(tái)的數(shù)據(jù)，或者和云平臺(tái)建立的連接如果被惡意分子利用，+這塊兒會(huì)將導(dǎo)致大面積的信息泄露

正文：那么，目前智能手機(jī)云平臺(tái)會(huì)存在什么樣的安全漏洞呢?記者了解到，守護(hù)智能手機(jī)云平臺(tái)安全門檻的，首當(dāng)其沖的一個(gè)要素就是身份鑒別，也就是云平臺(tái)對(duì)密碼強(qiáng)度的要求。

同期：工信部電子五所質(zhì)檢中心安全工程師 李樂言內(nèi)032905

成熟的一個(gè)后端信息系統(tǒng)的話，針對(duì)這個(gè)密碼強(qiáng)度的要求，一般是會(huì)要求一些大小寫，或者是數(shù)字和字母的組合，還有一些可能會(huì)加上一些特殊字符，還會(huì)對(duì)密碼長(zhǎng)度進(jìn)行要求，

正文：工程師告訴記者，符合測(cè)試要求的智能手機(jī)會(huì)在云平臺(tái)注冊(cè)時(shí)，提示不能使用簡(jiǎn)單或連續(xù)的數(shù)字作為密碼。隨即進(jìn)行的測(cè)試顯示，工程師使用123456作為密碼注冊(cè)時(shí)，部分智能手機(jī)立即彈出提示框，提示密碼不能使用連續(xù)的字符。但是部分智能手機(jī)卻沒有提示密碼強(qiáng)度，工程師用記者的手機(jī)號(hào)碼在一個(gè)云平臺(tái)注冊(cè)時(shí)，用簡(jiǎn)單的密碼就通過了身份驗(yàn)證。

同期：工信部電子五所質(zhì)檢中心安全工程師李樂言034153

好我們現(xiàn)在輸入一個(gè)簡(jiǎn)單的密碼，123456，再輸入，確認(rèn)我的密碼，123456，點(diǎn)一下注冊(cè)，現(xiàn)在是完全沒有提示，然后我們注冊(cè)成功。

小標(biāo)題五：簡(jiǎn)單密碼更容易被破解

正文：記者發(fā)現(xiàn)，用簡(jiǎn)單的連續(xù)數(shù)字，或者用666888等重復(fù)性數(shù)字測(cè)試時(shí)，多款智能手機(jī)的云平臺(tái)都能夠注冊(cè)成功。工程師透露，用這樣的簡(jiǎn)單密碼面臨最大的風(fēng)險(xiǎn)，就是容易被黑客破解，造成個(gè)人隱私的泄露。工程師隨后用暴力破解軟件對(duì)10余位志愿者的手機(jī)號(hào)進(jìn)行了密碼分析，發(fā)現(xiàn)有3個(gè)志愿者都使用了簡(jiǎn)單的123456的云平臺(tái)密碼，導(dǎo)致其存儲(chǔ)在云平臺(tái)的個(gè)人信息，輕易地就被工程師獲取到。

同期：工信部電子五所質(zhì)檢中心安全工程師 李樂言035045

現(xiàn)在我們可以看到短信同步，還包括他的這些通話記錄，包括這些聯(lián)系人

正文：記者了解到，智能手機(jī)云平臺(tái)密碼強(qiáng)度要求不嚴(yán)，帶來危害遠(yuǎn)不止個(gè)人信息泄露，云平臺(tái)密碼被破解的智能手機(jī)，還可能被黑客遠(yuǎn)程操控。國內(nèi)發(fā)生的一些案例顯示，黑客破解了云平臺(tái)的簡(jiǎn)單密碼后對(duì)手機(jī)進(jìn)行了遠(yuǎn)程鎖屏，導(dǎo)致手機(jī)不能使用，黑客進(jìn)而勒索手機(jī)用戶出錢才能解鎖。

小標(biāo)題六：九批次手機(jī)云平臺(tái)存安全漏洞

正文：經(jīng)過對(duì)智能手機(jī)云平臺(tái)的安全測(cè)試，記者發(fā)現(xiàn)40批樣品中，多達(dá)9批次云平臺(tái)都存在身份鑒別方面的安全漏洞，暴露出密碼強(qiáng)度驗(yàn)證不足的問題。工程師通過測(cè)試還發(fā)現(xiàn)，存在安全漏洞的云平臺(tái)沒有限制非法登錄和驗(yàn)證碼錯(cuò)誤次數(shù)，使測(cè)試者可以無限次地嘗試登錄其它手機(jī)的云平臺(tái)，留下極大的安全隱患。

正文：工程師告訴記者，關(guān)乎智能手機(jī)云平臺(tái)安全的，除了身份鑒別的因素，還有一個(gè)重要因素，就是權(quán)限控制。

同期：工信部電子五所質(zhì)檢中心安全工程師 李樂言內(nèi)033803

云平臺(tái)正常的一個(gè)權(quán)限控制的話，實(shí)際上是應(yīng)該達(dá)到一個(gè)權(quán)限分離，也就是說+用戶和用戶之間是不能相互查看對(duì)方的數(shù)據(jù)，是有一個(gè)權(quán)限的一個(gè)隔離，

小標(biāo)題七：通過云平臺(tái)可以輕易獲得手機(jī)使用者位置

正文：工程師告訴記者，一個(gè)云平臺(tái)如果能夠做到控制權(quán)限，會(huì)對(duì)所有手機(jī)用戶的權(quán)限請(qǐng)求進(jìn)行驗(yàn)證，并會(huì)發(fā)送驗(yàn)證碼到手機(jī)上，驗(yàn)證是否為本人操作，以保護(hù)用戶的各種私密信息。而在測(cè)試中記者發(fā)現(xiàn)，在工程師嘗試通過數(shù)據(jù)包獲取一個(gè)志愿者的位置信息時(shí)，部分智能手機(jī)的云平臺(tái)竟然沒有向志愿者手機(jī)發(fā)送驗(yàn)證，輕易地就允許了陌生用戶的請(qǐng)求。而工程師也就輕而易舉地掌握了志愿者的地理位置。

正文：記者了解到，同一個(gè)云平臺(tái)的智能手機(jī)成千上萬，在云平臺(tái)存在權(quán)限管理不嚴(yán)的情況下，同一云平臺(tái)所有的手機(jī)信息被泄露的可能性極大。工程師在全國范圍內(nèi)征集了十余名使用相同手機(jī)云平臺(tái)的志愿者，在獲取地理位置的測(cè)試中，一一輸入了這些志愿者的手機(jī)號(hào)碼，記者看到，僅僅一秒鐘之后，測(cè)試工具就將這些志愿者的所在區(qū)域以明文形式顯示出來。

同期：工信部電子五所質(zhì)檢中心安全工程師 李樂言035837

我們看一下第一個(gè)，這是南昌市的一個(gè)志愿者，他現(xiàn)在是在南昌市西湖區(qū)新洲路這個(gè)地方，我們?cè)倏聪乱粋€(gè)志愿者的位置信息，下一個(gè)志愿者在北京市十八里店這個(gè)位置，好我們?cè)倏聪乱粋€(gè)，石家莊的。

正文：工程師告訴記者，云平臺(tái)權(quán)限控制的漏洞所導(dǎo)致的越權(quán)操作，影響的絕不僅僅是一兩個(gè)手機(jī)用戶的個(gè)人隱私，還存在著私密信息的集體泄露危險(xiǎn)，關(guān)系到公共信息安全。

小標(biāo)題八：45%手機(jī)存在信息安全風(fēng)險(xiǎn)

正文：經(jīng)過大量測(cè)試，總共40批次智能手機(jī)當(dāng)中，共發(fā)現(xiàn)18批次的產(chǎn)品存在不符合項(xiàng)，占比高達(dá)45%。其中有1000塊錢左右的低端手機(jī)，也有3000塊錢以上的高端智能手機(jī)，也不乏國外名牌產(chǎn)品。涉及的項(xiàng)目包括智能手機(jī)的后端信息系統(tǒng)、預(yù)置應(yīng)用軟件安全等。最后，經(jīng)過20名風(fēng)險(xiǎn)評(píng)估專家的分析和打分，此次智能手機(jī)的信息安全風(fēng)險(xiǎn)等級(jí)被評(píng)估為中等風(fēng)險(xiǎn)。

同期：工信部電子五所質(zhì)檢中心安全工程師 李樂言

可換國家質(zhì)檢總局風(fēng)險(xiǎn)管理中心(待采)045506

中等風(fēng)險(xiǎn)就意味著只能手機(jī)這款產(chǎn)品的話，是目前信息安全存在一定問題，但是也不是說存在非常嚴(yán)重的問題，也就是說目前也進(jìn)行了一些把關(guān)一些監(jiān)控，有一些現(xiàn)行的標(biāo)準(zhǔn)，但是也會(huì)出現(xiàn)一些標(biāo)準(zhǔn)之外的一些安全問題，這塊兒是沒有進(jìn)行一個(gè)限制。

演播室：專家告訴我們，不法人員和機(jī)構(gòu)竊取個(gè)人信息主要目的就是為了以各種方式經(jīng)營或直接實(shí)施犯罪，所以當(dāng)消費(fèi)者的實(shí)時(shí)位置，個(gè)人帳戶等信息可以被不法分子如此輕易的拿到的時(shí)候，恐懼就成了使用智能手機(jī)時(shí)如影隨行的贈(zèng)品，可謂揮之不去。

小標(biāo)題九：手機(jī)云平臺(tái)安全方面無標(biāo)準(zhǔn)

正文：采訪中記者了解到，目前關(guān)于智能手機(jī)信息安全的相關(guān)標(biāo)準(zhǔn)，主要是通信行業(yè)推薦性標(biāo)準(zhǔn)，以及部分國家推薦性標(biāo)準(zhǔn)。而問題頻出的智能手機(jī)云平臺(tái)，更是缺乏針對(duì)性的安全技術(shù)要求，導(dǎo)致手機(jī)生產(chǎn)廠家在云平臺(tái)的安全建設(shè)上，無標(biāo)準(zhǔn)可依。

同期：工信部電子五所質(zhì)檢中心技術(shù)總監(jiān) 李倩050632內(nèi)

那我們可能主要是一個(gè)標(biāo)準(zhǔn)這一塊不夠完善，或者是更多的標(biāo)準(zhǔn)是一些行業(yè)性的標(biāo)準(zhǔn)，尤其是在標(biāo)準(zhǔn)的內(nèi)容中可能也有內(nèi)容的一些缺失，比如說我們這次，問題比較多的就是后臺(tái)的信息系統(tǒng)安全的一些漏洞，移動(dòng)智能終端的后臺(tái)信息安全的一些漏洞，其實(shí)這在標(biāo)準(zhǔn)鐘都沒有體現(xiàn)出來，尤其是一些云平臺(tái)方面的，也沒有體現(xiàn)出來相應(yīng)的檢測(cè)方法，和測(cè)試標(biāo)準(zhǔn)。

正文：記者發(fā)現(xiàn)，沒有標(biāo)準(zhǔn)和規(guī)范要求的云平臺(tái)信息安全，暴露出的安全漏洞明顯要多于其它項(xiàng)目，在不符合監(jiān)測(cè)要求的18批次智能手機(jī)中，12批次問題集中在云平臺(tái)。其中9批次暴露出身份鑒別漏洞，3批次在權(quán)限控制方面存在安全風(fēng)險(xiǎn)。

正文：隨著智能手機(jī)越來越頻繁的應(yīng)用，其信息安全的重要性不言而喻。風(fēng)險(xiǎn)評(píng)估專家認(rèn)為，在做好預(yù)置應(yīng)用安全、手機(jī)系統(tǒng)安全等手機(jī)進(jìn)網(wǎng)必檢項(xiàng)目的同時(shí)，針對(duì)智能手機(jī)這種技術(shù)更新迅速產(chǎn)品的標(biāo)準(zhǔn)建設(shè)也要加快日程，以此促進(jìn)智能手機(jī)的信息安全。

同期：工信部電子五所質(zhì)檢中心技術(shù)總監(jiān) 李倩0507

我們希望國家來完善這一套標(biāo)準(zhǔn)體系，那比如說我們要跟蹤一些新的技術(shù)，然后對(duì)整個(gè)標(biāo)準(zhǔn)的內(nèi)容進(jìn)行了一個(gè)擴(kuò)充，比如送說我們以前那些行業(yè)標(biāo)準(zhǔn)上升到一些國家標(biāo)準(zhǔn)，然后標(biāo)準(zhǔn)的內(nèi)容擴(kuò)充到比如說有硬件的安全，還有應(yīng)用軟件的安全，還有內(nèi)容的安全，云平臺(tái)的安全等等。

演播室：

專家告訴我們，智能手機(jī)，通俗的說就是能上網(wǎng)的手機(jī)，所以所謂智能手機(jī)的安全問題本質(zhì)上就是網(wǎng)絡(luò)安全問題，而網(wǎng)絡(luò)安全問題之所以總是很突出，重要的根源之一就是相當(dāng)一部分互聯(lián)網(wǎng)相關(guān)從業(yè)人員總是認(rèn)為網(wǎng)絡(luò)是另一個(gè)世界，不受現(xiàn)實(shí)世界的道理倫理和法律法規(guī)約束，甚至制造出，網(wǎng)絡(luò)上賣的不合格產(chǎn)品不屬于假冒偽劣產(chǎn)品而應(yīng)該叫網(wǎng)貨一類荒誕不經(jīng)的說法，其實(shí)，網(wǎng)絡(luò)的背后就是人，網(wǎng)絡(luò)世界里追逐的也是現(xiàn)實(shí)利益，網(wǎng)絡(luò)世界里竊取個(gè)人信息也是傷害受害人現(xiàn)實(shí)的利益，一句話，互聯(lián)網(wǎng)不是法外之地，用更現(xiàn)實(shí)更嚴(yán)厲的手段使互聯(lián)網(wǎng)及其從業(yè)人員回歸法制，是緊迫而又重要的任務(wù)。好，感謝收看我們的節(jié)目，下周同一時(shí)間再見。