多款安卓手機(jī)管理軟件存WiFi漏洞

　　近日，360手機(jī)精靈、豌豆莢、騰訊手機(jī)助手等多款安卓手機(jī)管理軟件曝出安全漏洞，在公共WiFi環(huán)境下，安卓手機(jī)用戶可能會被處于同一網(wǎng)絡(luò)的攻擊者盜取所有個人隱私信息，金山安全中心分析認(rèn)為，這是目前為止國內(nèi)最嚴(yán)重的智能手機(jī)安全風(fēng)險，金山網(wǎng)絡(luò)發(fā)布橙色安全預(yù)警，提醒廣大安卓用戶盡快升級軟件程序修復(fù)漏洞。

　　危及數(shù)千萬用戶

　　隨著移動互聯(lián)網(wǎng)的快速發(fā)展，手機(jī)管理軟件幾乎已經(jīng)成為智能手機(jī)的必備工具。它主要是方便智能手機(jī)與電腦之間的內(nèi)容同步，用戶通過該軟件，可在電腦中直接管理手機(jī)中的通訊錄、短信、照片、視頻、音樂等個人信息，也可以直接為手機(jī)安裝應(yīng)用程序和游戲等。

　　金山網(wǎng)絡(luò)安全專家李鐵軍介紹，這類軟件主要通過FTP服務(wù)來管理手機(jī)文件，但如果技術(shù)實現(xiàn)存在漏洞，就會導(dǎo)致在同一網(wǎng)絡(luò)下的計算設(shè)備均能夠登錄FTP訪問該手機(jī)。比如在咖啡館、商務(wù)辦公場所、機(jī)場等公共WiFi網(wǎng)絡(luò)環(huán)境中，攻擊者不經(jīng)允許就可以惡意訪問、上傳、下載或篡改、刪除手機(jī)信息，包括手機(jī)內(nèi)存、存儲卡中的照片、短信、聊天記錄、電話錄音、視頻以及其他文檔等個人隱私。

　　截至2011年第三季度，中國網(wǎng)民擁有的安卓手機(jī)總量約2500萬臺，超過蘋果iPhone，成為最大的國內(nèi)智能手機(jī)平臺。此外，由于安卓平臺開源開放、價格較低，安卓手機(jī)正處于高速爆發(fā)的時期。上述三款手機(jī)管理軟件覆蓋國內(nèi)約80%的安卓用戶，因此該WiFi漏洞可能影響數(shù)千萬安卓用戶，是目前為止國內(nèi)最嚴(yán)重的智能手機(jī)安全風(fēng)險。

　　由于影響較大，該風(fēng)險引發(fā)了安全機(jī)構(gòu)的極大重視，金山安全中心對此進(jìn)行了專門的技術(shù)分析，并發(fā)布了研究報告。該報告顯示，在這三款軟件中，360手機(jī)精靈帶給手機(jī)用戶的安全威脅最大。據(jù)分析，360手機(jī)精靈也是通過FTP服務(wù)來管理手機(jī)文件，但是它的FTP用戶名、密碼是沒有經(jīng)過加密的明文保存在程序配置文件中，該密碼固定不變。而且，該FTP的登錄也并未限制客戶端，也就意味著，除了用戶自己連線的電腦外，其他電腦或者手機(jī)也可登錄該FTP訪問該手機(jī)。此外，360手機(jī)精靈目前通過360安全衛(wèi)士捆綁推廣，用戶的電腦和手機(jī)在沒有得到明確提示的情況下被靜默安裝，并默認(rèn)開機(jī)自啟動。

　　倡議構(gòu)建手機(jī)管理安全標(biāo)準(zhǔn)

　　目前，這三款軟件在發(fā)現(xiàn)漏洞之后均進(jìn)行了升級。但金山安全中心分析發(fā)現(xiàn)，即使升級之后，360手機(jī)精靈提供的新解決方案仍然存在較大的安全風(fēng)險。

　　360手機(jī)精靈新版本僅僅對訪問手機(jī)的電腦IP進(jìn)行了過濾限制，只允許用戶自己的電腦通過USB數(shù)據(jù)線訪問手機(jī)。但金山安全中心分析顯示，360手機(jī)精靈提供的FTP服務(wù)還存在，用戶名、密碼仍然能夠被攻擊者獲取，然后通過用戶電腦作為跳板訪問其手機(jī)。

　　豌豆莢升級后關(guān)閉了在WiFi環(huán)境下管理手機(jī)文件的功能來避免漏洞的風(fēng)險，但豌豆莢使用的WiFi連接驗證碼是固定的，仍然存在一定風(fēng)險。騰訊應(yīng)用助手升級后只有輸入動態(tài)驗證碼才能訪問手機(jī)，相對以上兩者都更加安全和完善。

　　李鐵軍表示，手機(jī)管理軟件確實為廣大智能手機(jī)用戶帶來了極大的便利，使得用戶可以通過電腦便利地管理手機(jī)信息，但是便利性不能以犧牲用戶數(shù)據(jù)安全為代價。

　　專業(yè)機(jī)構(gòu)LookOut調(diào)查顯示，97%的手機(jī)用戶認(rèn)為個人隱私最重要。尤其使用智能手機(jī)，其中得到的個人隱私信息更多，如果泄露，隨時會給個人生活帶來非常大的麻煩，甚至引發(fā)“艷照門”、敲詐門等更大的安全風(fēng)險。

　　金山網(wǎng)絡(luò)提醒安卓手機(jī)用戶盡快升級軟件，或者更換更為安全的手機(jī)管理軟件。同時，建議軟件廠商在做技術(shù)方案時要充分考慮用戶數(shù)據(jù)安全問題，軟件通過升級可以很快修復(fù)漏洞，但是給用戶已經(jīng)造成的傷害卻難以彌補(bǔ)。金山網(wǎng)絡(luò)倡議手機(jī)管理軟件廠商建立技術(shù)交流機(jī)制，共同構(gòu)建相關(guān)技術(shù)標(biāo)準(zhǔn)，推動中國移動互聯(lián)網(wǎng)健康發(fā)展。