北京時(shí)間12月13日凌晨消息，應(yīng)用安全公司Arxan周四公布最新研究報(bào)告稱，蘋(píng)果公司和谷歌的應(yīng)用商店中均有大量應(yīng)用已成為黑客攻擊的目標(biāo)，其中Android平臺(tái)上的財(cái)務(wù)應(yīng)用尤其容易受到攻擊。
報(bào)告稱，在很多情況下，應(yīng)用在遭到黑客攻擊后會(huì)被上傳到Google Play應(yīng)用商店或第三方應(yīng)用商店，用以竊取用戶身份資料、惡意運(yùn)行、或刪除廣告軟件以欺詐應(yīng)用開(kāi)發(fā)者。Arxan首席技術(shù)官凱文·摩根(Kevin Morgan)稱：“被黑客攻擊的應(yīng)用會(huì)以已解密狀態(tài)出現(xiàn)在很多不同的應(yīng)用商店中，因此從定義上來(lái)說(shuō)，這些軟件已經(jīng)被黑。”
財(cái)務(wù)應(yīng)用的受攻擊情況尤其令人擔(dān)心，因?yàn)橛脩艉苄湃芜@種應(yīng)用，因此會(huì)向其提供一些至關(guān)重要的個(gè)人數(shù)據(jù)，如銀行賬戶和密碼等。Arxan稱，經(jīng)取樣調(diào)查后發(fā)現(xiàn)，23%的iOS財(cái)務(wù)應(yīng)用已經(jīng)被黑，Android財(cái)務(wù)應(yīng)用中這一比例更是高達(dá)53%。Android用戶可通過(guò)移動(dòng)設(shè)備設(shè)置來(lái)從第三方商店下載應(yīng)用，而iOS用戶則必須“越獄”。到目前為止，蘋(píng)果公司今年9月發(fā)布的iOS 7操作系統(tǒng)尚無(wú)越獄版。

但報(bào)告指出，甚至就連谷歌官方應(yīng)用商店Google Play也已成為惡意軟件和被黑應(yīng)用的發(fā)源地。今年9月，黑莓被迫推遲發(fā)布Android版BBM通信應(yīng)用，原因是在官方版本發(fā)布以前就已有被黑的版本出現(xiàn)在Google Play商店中，且下載量超過(guò)了100萬(wàn)次。摩根警告稱，類似的，黑客很容易就能在Google Play商店中發(fā)布一個(gè)“美國(guó)銀行”應(yīng)用來(lái)欺騙用戶。
摩根指出：“Google Play并不是個(gè)經(jīng)過(guò)審查的應(yīng)用商店，其中傾向于有很多令人討厭的東西。而在蘋(píng)果公司的Apple Store應(yīng)用商店中，你看到的應(yīng)用幾乎都是合法的。在Apple Store，黑客攻擊的問(wèn)題不大。”
蘋(píng)果公司會(huì)對(duì)所有應(yīng)用進(jìn)行審查，隨后才會(huì)允許其進(jìn)入Apple Store；相比之下，谷歌則只會(huì)在有用戶投訴某個(gè)應(yīng)用或應(yīng)用被檢測(cè)到含有惡意程序時(shí)才會(huì)刪除。這兩個(gè)平臺(tái)都擁有所謂“終止開(kāi)關(guān)”(kill switch)工具，可回溯性地刪除已在用戶手機(jī)上安裝的惡意軟件。

Android和iOS誰(shuí)更安全
Arxan在其第二份有關(guān)應(yīng)用經(jīng)濟(jì)安全狀態(tài)的年度報(bào)告中指出：“我們的研究結(jié)果與去年保持一致，即在排名最靠前的付費(fèi)Android應(yīng)用中，100%都容易受到黑客的攻擊。這種研究結(jié)果的一致性明顯表明，Android操作系統(tǒng)的安全性(比iOS)更差。”
但谷歌董事長(zhǎng)埃里克·施密特(Eric Schmidt)則曾在10月宣稱，Android系統(tǒng)的安全性要好于iOS。他在當(dāng)時(shí)舉行的市場(chǎng)研究公司Gartner座談會(huì)上發(fā)表了這一言論，引發(fā)了與會(huì)公司高管的哄堂大笑。對(duì)于這種分歧，摩根表示：“我不確定自己想要跟施密特‘開(kāi)戰(zhàn)’。他的說(shuō)法從技術(shù)上來(lái)說(shuō)是一種‘逐點(diǎn)’的比較，但他當(dāng)時(shí)并未詳細(xì)說(shuō)明，而只是說(shuō)Android在其龐大的用戶基礎(chǔ)中經(jīng)歷了‘現(xiàn)實(shí)世界測(cè)試’”。
摩根進(jìn)一步解釋道：“從應(yīng)用商店來(lái)看，事實(shí)仍舊是(Android應(yīng)用商店中)被修改的代碼遠(yuǎn)多于蘋(píng)果公司應(yīng)用商店。而在Google Play中，有很多應(yīng)用從一開(kāi)始就是欺詐性的、感染了惡意軟件的。”

標(biāo)準(zhǔn)化的缺失
Arxan還指出：“黑客更愿意將攻擊目標(biāo)對(duì)準(zhǔn)碎片化的、開(kāi)放式的Android生態(tài)系統(tǒng)，并在Google Play應(yīng)用商店中插入惡意軟件。”報(bào)告稱，據(jù)谷歌自己的平臺(tái)數(shù)據(jù)顯示，12月初有24.1%用戶通過(guò)基于Android 2.3“姜餅”系統(tǒng)運(yùn)行的設(shè)備進(jìn)入Google Play應(yīng)用商店，該版本是在2010年12月發(fā)布的；18.6%用戶的設(shè)備則基于Android 4.0.x運(yùn)行，該版本發(fā)布于2011年10月。
Arxan稱：“標(biāo)準(zhǔn)化的缺失令這個(gè)平臺(tái)變得更不安全。”這份報(bào)告是從9月開(kāi)始籌備的，當(dāng)時(shí)“姜餅”和“冰激凌三明治”系統(tǒng)在進(jìn)入Google Play商店的設(shè)備中占比52.4%。“尤其需要指出的是，多數(shù)Android設(shè)備都無(wú)法接收谷歌提供的最新安全措施，這導(dǎo)致用戶容易受到已知威脅的攻擊。”
自9月以來(lái)，基于較老版本Android系統(tǒng)運(yùn)行的設(shè)備占比已有所下降，但其絕對(duì)數(shù)量則很可能仍基本保持不變。報(bào)告稱：“黑客總是會(huì)追隨著資金的流動(dòng)(而展開(kāi)攻擊)，并將把攻擊的重心放在擁有最多用戶的平臺(tái)上。Junpier最近公布的一份移動(dòng)惡意軟件研究報(bào)告也證實(shí)了這一點(diǎn)，該報(bào)告表明，92%的惡意軟件都是針對(duì)Android平臺(tái)而被創(chuàng)造出來(lái)的，而針對(duì)iOS平臺(tái)的惡意軟件則沒(méi)那么明顯。”

Arxan分析表明，第三方應(yīng)用商店是被黑應(yīng)用的重要來(lái)源。報(bào)告顯示，在Android應(yīng)用商店排名前100的付費(fèi)應(yīng)用中，在官方應(yīng)用商店及第三方站點(diǎn)上，所有這些應(yīng)用都能找到被黑的版本；與此相比，蘋(píng)果iOS平臺(tái)排名前100的付費(fèi)應(yīng)用中這一比例則僅為56%。
就這兩個(gè)平臺(tái)整體而言，該比例高達(dá)78%。在官方應(yīng)用商店中，免費(fèi)應(yīng)用則是黑客攻擊的最大目標(biāo)，73%的免費(fèi)Android應(yīng)用已被篡改。
(完)