60秒轻松攻破iPhone5，热门手机安全漏洞吓人！

一个充电器，60秒轻松攻破iPhone5

在大会上，来自美国佐治亚理工学院的博士生宋程昱做了现场演示，一台恶意充电器60秒就“黑”掉了苹果手机，并且“移花接木”，将手机中的Facebook替换为山寨恶意软件。

据宋程昱透露，这种最新的山寨充电器名为“Mactans”，中文名“黑寡妇”，不仅不需要“越狱”，而且只需与手机连接即可完成攻击，“它可在用户不知情的情况下，偷偷为手机安装任意应用并将其隐藏，偷窥手机屏幕，窃取应用密码甚至完全操控手机。”

业内专家认为，目前智能手机的操作系统还不能实现可控，设备的多样性造成难以对终端配置管理。很多企业以为构造了安全城堡，但新技术的流行使得企业很难建立信息的孤岛。今天绝大部分公司都不得不允许员工使用自己的移动设备进入公司，手机相当于在原来严密保护的企业边界上打开了无数的缺口。对此，三星副总裁宁鹏认为，只有从底层架构入手解决安全问题，才是解决移动安全问题的重要方式。

红米等热门手机存在安全隐患，系统安全漏洞不减反增

在中国互联网安全大会上，移动安全高峰论坛猛料不断，360首席科学家蒋旭宪披露一个惊人的数据：智能手机上70%的安全漏洞都是由手机厂商定制系统引发的，目前非常火爆的红米手机也未能幸免。演示证明，黑客攻击者利用漏洞，可以造成红米手机无线网络密码泄漏和删除短信，拦截短信，拦截电话等过度使用权限问题。

360移动安全研究院评测了9个主流安卓手机厂商的十余款机型，涉及的Android系统版本从2.X-4.X。在测试的过程中，研究发现从谷歌公布新版本到手机厂商普及大概需要6个月的周期，而在这期间出现的系统级漏洞就很难解决。而手机厂商往往会修改安卓原生应用，并设置内置应用。经测试发现，平均80%的内置应用过度申请权限，这也给手机安全带来了严重隐患。

另一个触目惊心的事实是，在360移动安全研究院测试的十余款手机中，无一幸免全部存在系统漏洞。利用这些系统漏洞，黑客可以伪造任意短信实施诈骗。这一问题分布在几乎所有评估的手机中。而厂商定制则引入了短信欺诈漏洞。有些厂商虽然修复了原生代码漏洞，但却又引入新的漏洞。这多少让手机厂商有些应接不暇，穷于应付。

在演示环节中，360安全研究人员周亚金使用红米手机现场演示了怎样获得无线网络密码。只需要一个恶意网址就可以获得邮件的登录名和密码，邮件内容、通讯录信息同样也遭到了泄露。更为严重的是，所有接收和发送的短信内容同样会被窃取。

周亚金表示，定制系统也并非一无是处，诸如三星S 3安全启动和完整校验就是非常好的安全尝试。而红米的权限管理和恶意软件扫描同样颇具亮点。现在移动安全是行业内外最为关心的问题，手机厂商和渠道商需要共同维护手机安全，为用户提供更放心使用的手机。

安全威胁向应用层面转移

现今的安全威胁正从底层向应用层面转移。中国工程院院士、中国互联网协会理事长邬贺铨曾盘点过2012年网络安全事件，发现属于应用层的安全事件占到1/4，而且这一特点在移动安全方面显得尤为突出。

“在手机端，黑客更多借助恶意应用进行攻击。而一些正规应用也会出现越权行为，令人防不胜防。”奇虎360董事长周鸿祎表示，移动安全是未来大趋势，当手机等移动端出现安全问题时，不仅是系统慢、电量消耗大等小问题，还可能是涉及敏感数据、个人信息的严重威胁。

数据显示，360互联网安全中心去年新增手机恶意软件样本17.49万款，比2011年增长1907%，感染7166万人次，比2011年增长160%。目前仅360手机卫士每天就能拦截手机上的恶意应用、恶意插件2500款。不过微软今年3月的报告显示，得益于安全软件的免费使用，中国已成为全球恶意软件感染率最低的国家。

为了阻止应用层面的安全威胁，目前美国一些新型网络安全公司已经有了新想法，就是通过大数据自动对付位置威胁。“很多APP攻击只发生一次，也可能只攻击一次，非常难以防范，靠传统的木马收集、破解是滞后的。”有安全专家表示，现在美国一些公司试图把整个网络流量的所有数据采集起来，通过服务端大数据建模，只要有任何潜在的攻击、移动，就会发现有数据会偏离模型而发出警报，这对于中国未来的移动安全发展有参考意义。