網秦2011第一季全球Android手機安全報告

免責聲明：

該報告綜合網秦「雲安全」資料分析中心、網秦全球手機安全中心等部門的統計、研究資料和分析資料，針對 2011 第一季度全球 Android 手機安全形勢發展進行統計、研究和分析。本報告提供給媒體、公眾和相關政府及行業機構、廠商作為移動互聯網資訊安全狀況的介紹和研究資料，請相關單位酌情使用，如若本報告闡述之狀況、資料與其它機構研究結果有差異，請使用方自行辨別，北京網秦天下科技有限公司不承擔於此相關的一切法律責任。

一、安全報告概要

近日，領先的移動安全服務企業 – 北京網秦天下科技有限公司（以下簡稱網秦）發佈了《2011 年第一季度全球 Android 手機安全報告》（以下簡稱報告），報告資料顯示，據網秦「雲安全」資料分析中心統計：2011 年第一季度新增 Android 手機病毒 101 個、惡意軟體 1014 款，單月平均新增超過 300 款以上，累積 253 萬用戶被感染。網秦「雲安全」資料中心一季度累計處理病毒、惡意軟體 2005 萬次，其中 45% 感染使用者使用 Android 2.2 作業系統。

進入 2011 年，Android 手機出貨量持續上升，僅 HTC 預計其 Android 手機在 2011 年第一季度的出貨量就將達到 850 萬部以上。但在用戶享受到 Android 手機帶來的便捷應用體驗同時，一系列 Android 惡意軟體的衍生，也正在對全球手機用戶的安全構成嚴重威脅。2011 年 2 月 Google 下架數十款惡意應用和近期因安全等問題暫時對 Android 3.0 進行 「閉源」操作，也體現了 Android 安全威脅的嚴峻性。

另據權威的市場調研機構 Frost & Sullivan（沙利文）近期發佈了《2011 年中國手機安全產品市場白皮書》，報告顯示：截至 2010 年底，Android 應用程式數量已超過 20 萬個，累計下載次數達到 25 億次。但惡意軟體比例也持續增長，目前在中國市場上，約有 8% 的 Android 應用程式存在各種惡意扣費的程式設置.

網秦報告顯示，感染地域方面，全球範圍內中國大陸地區以 64.1% 的感染比例成為威脅重災區，美國（7.6%）、俄羅斯（6.1%）、印度（3.4%）、印尼（3.2%）位居其後。國內方面，廣東省以 21.3% 的感染比例居首，江蘇（16.4%）、北京（13.8%）、湖北（7.5%）、福建（6.8%）、上海（5.1%）等同樣飽受威脅。

Android 作業系統版本分類方面，Android 2.2 以超過 45% 的感染率成為最易被手機病毒、惡意軟體攻擊的作業系統。Android 2.1、2.3 以 34%、16% 的感染比例位居其後，Android 1.6 及以前版本的感染率已降低至 5% 以內。這與 Android 2.2 市場份額的遞增有明顯關係。

惡意軟體分類方面，扣費類惡意軟體的增長速度迅猛，以超過 45% 的感染比例位居首位。隱私竊取（30%）、後門軟體（12%）、資費消耗程式（7%）、流氓軟體（5%）位居其後。另有 1% 的 Android 惡意軟體存在破壞系統運行等特徵。

其中，超過 53% 的惡意扣費軟體會誘騙使用者開通 SP 業務，並攔截相關業務確認短信。超過 31% 的惡意軟體則以頻繁聯網下載用於惡意推廣的軟體、大量上傳使用者隱私而瘋狂消耗流量資費，另有 2% 的惡意程式通過外發彩信等方式扣費。

在以竊取隱私為目的惡意軟體中，超過 49% 會感染用戶手機聯網上傳使用者的隱私內容，33% 的惡意軟體在植入使用者手機後會通過短信外發隱私內容，另有 13% 的惡意軟體以遠端竊聽方式竊取使用者通話隱私。另有 5% 通過其它方式（如彩信等形式）竊取用戶隱私。

惡意軟體的傳播途徑方面，超過 57% 的用戶通過 Android 應用商店下載感染。17% 的用戶則因在「刷機」時不慎安裝了被植入扣費軟體的「刷機包」後感染，另有 14% 的用戶通過 WAP / WWW 網站下載軟體時感染，7% 的使用者通過藍牙傳輸方式感染，3% 的使用者通過存儲卡途徑感染，2%的用戶通過其它途徑感染。

通過資料可以看出，當前 Android 平臺的安全形勢正在持續惡化，由於 Android 手機用戶的安全意識還相對較為單薄，缺乏如許可權保護、流量管理等方面的知識，導致極易感染各類手機病毒及惡意軟體。此外，包括 Android 應用商店、WAP / WWW 下載站對其提供的資源也缺乏安全驗證，且 Android 應用存在可被批量植入惡意程式碼的隱患，導致手機使用者正籠罩在惡意軟體的陰影之下。

對此，報告指出，迫在眉睫的嚴重安全形勢，已令用戶亟待安全廠商儘快拿出專業的解決方案，而在目前，「雲安全」技術的實施力度、研發技術的創新，都將決定安全形勢的走向。

二、平臺安全趨勢

走勢：單月新增惡意軟體 300 款以上

威脅走勢方面，據網秦「雲安全」資料分析中心的資料統計，2011 年 1 至 3 月累計發現 Android 手機病毒 101 個，惡意軟體 1014 款，其中 1 月發現病毒 25 個、惡意軟體 268 款，2 月發現病毒 31 個、惡意軟體 401 款，3月發現病毒 45 個、惡意軟體 345 款，平均單月新增惡意軟體以及變種 300 款以上，資料相對波動不大。


▲2011 年 1 ~ 3 月 Android 手機病毒 / 惡意軟體增長狀況。

地域：中國大陸成重災區 廣東省居首

地域分佈情況，2011 年第一季度，中國大陸地區以超過 64.1% 的感染量成為重災區，美國（7.6%）、俄羅斯（6.1%）、印度（3.4%）、印尼（3.2%）位居其後。國內廣東省以 21.3% 的感染比例居首，江蘇（16.4%）、北京（13.8%）、湖北（7.5%）、福建（6.8%）、上海（5.1%）等地位居其後。


▲2011 年 1 ~ 3 月中國大陸地區以 64.1% 的比例排名第一。


▲2011 年 1 ~ 3 月廣東省以 21.3% 的感染比例位居首位。

版本：Android 2.2 成主要感染對象

Android 作業系統版本分類方面，Android 2.2 以超過 45% 的感染率成為最易被手機病毒、惡意軟體攻擊的作業系統。Android 2.1、2.3 以 34%、16% 的感染比例位居其後，Android 1.6 及以前版本的感染率已降低至 5% 以內。這與 Android 2.2 市場份額的遞增有明顯關係。


▲2011 年 1 ~ 3 月 Android 惡意軟體感染系統版本分類。

類型：45% 惡意軟體存在扣費行為

惡意軟體類型方面，其中扣費類惡意軟體的增長速度迅猛，以超過 45% 的感染比例位居首位。隱私竊取（30%）、後門軟體（12%）、資費消耗程式（7%）、流氓軟體（5%）位居其後。另有 1% 的 Android 惡意軟體存在破壞系統運行等特徵。


▲2011 年 1 ~ 3 月新增 Android 惡意軟體特徵分類。

其中，超過 53% 的惡意扣費軟體會誘騙使用者開通 SP 業務，並攔截相關業務確認短信。超過 31% 的惡意軟體則以頻繁聯網下載用於惡意推廣的軟體、大量上傳使用者隱私而瘋狂消耗流量資費，另有 2%的惡意程式通過外發彩信等方式扣費。


▲2011 年第一季度 Android 惡意軟體主要扣費方式。

同時，在比例高達 30% 的隱私竊取類惡意軟體中，有超過 49% 會感染用戶手機聯網上傳使用者的隱私內容，33% 的惡意軟體在植入使用者手機後會通過短信外發隱私內容，另有 13% 的惡意軟體以遠端竊聽方式竊取使用者通話隱私。另有 5% 通過其它方式（如彩信等形式）竊取用戶隱私。


▲2011 年第一季度 Android 惡意軟體主要隱私竊取方式。

途徑：應用商店 /「刷機包」成傳播溫床

感染途徑方面，據網秦「雲安全」資料分析中心統計，Android 應用商店成為手機病毒、惡意軟體的主要傳播途徑，超過 57% 的用戶因此「中招」。17% 的用戶則因在「刷機」時不慎安裝了被植入扣費軟體的「刷機包」後感染，另有 14% 的用戶通過 WAP / WWW 網站下載軟體時感染，7% 的使用者通過藍牙傳輸方式感染，3% 的使用者通過存儲卡途徑感染，2% 的用戶通過其它途徑感染。

小貼士：何為「刷機」？何為「刷機包」？

「刷機」就是更新、升級手機作業系統。可以突破手機本來的限制，個性化自己的手機，可以 DIY 個性化手機，更改、替換機內的各圖片、鈴聲、開關機畫面及功能表字元等等。

「刷機包」則指將相應設定進行打包便於使用者一次性安裝的程式集，作者可將其打包到系統 ROM 鏡像中，上傳到相關論壇，網友直接下載批量安裝後享受到全套應用服務。儘管相當方便，但因部分病毒作者會在「刷機包」中植入惡意扣費代碼，故用戶在下載安裝後極易感染惡意軟體。


▲超過 57% 的 Android 惡意軟體通過應用商店感染手機用戶。

三、安全隱患解讀

進入 2011 年，Android 手機平臺的安全性備受用戶關注，據權威的市場調研機構 Frost & Sullivan（沙利文）近期發佈了《2011 年中國手機安全產品市場白皮書》，報告顯示：截至 2010 年底，Android 應用程式數量已超過 20 萬次，累計下載次數達到 25 億個。但惡意軟體比例也持續增長，目前在中國市場上，約有 8% 的 Android 應用程式存在各種惡意扣費的程式設置，「惡意扣費」行為一般在用戶下載安裝相應的應用軟體過程中「自動」產生，用戶很難覺察。

同時，Android 手機存在的 ROOT 許可權隱患、聯網流量隱患和 Android 應用商店普遍存在的應用上傳時的審核機制隱患以及 Android 應用存在的易被批量植入惡意程式碼的隱患等，也正在嚴重威脅 Android 用戶的安全。

ROOT 許可權被輕易獲取

眾所周知，Android 作業系統底層為 Linux 內核，ROOT 是 Linux 超級管理員用戶，具有最大的許可權。在 Android 的安全設計中，預設情況下使用者不具有 ROOT 許可權。

但是，近年來， Android 系統出現了多個可讓用戶獲取 ROOT 許可權的途徑，例如：

1. 預設情況下，系統不具有 ROOT 許可權，而導致很多操作無法進行（如備份系統），使用者為使用更方便，主動利用漏洞或者協力廠商提供的軟體獲取 ROOT 許可權。
2. 用戶使用其他人自製的 ROM 刷機，而該 ROM 在製作時已經獲取了 ROOT 許可權，從而使用者在不知情情況下具有了 ROOT 許可權。
3. 使用者安裝了某個惡意程式，該程式為了達到某種惡意目的，在使用者不知情情況下獲取了 ROOT 許可權。

一旦獲取了 ROOT 許可權，不但可以做到應用程式的靜默安裝，還可以訪問其他應用程式以及隨意讀寫使用者隱私資料，修改或刪除非其他應用程式的檔等等，對用戶的 Android 手機造成的安全隱患。

聯網管理意識淡薄

隨著移動互聯網的發展，越來越多的應用需要頻繁使用網路，如天氣資訊與IM類軟體；同時應用開發者在產品（尤其是免費產品）中植入了廣告外掛程式（如 AdMob），而廣告外掛程式需要聯網更新廣告內容。這些導致用戶在手機使用過程中流量大增，按照國內以流量為計費單位的方式，很容易讓使用者產生高額的流量費用。

但在 Android 手機系統中預設並不具備流量管理功能，且多數手機用戶尚未養成即時管理上網流量的意識，用戶很難察覺到是否超支或是否有惡意軟體在惡意聯網消耗流量。使得駭客有了在使用者毫不知情的狀態下，肆意上傳隱私和實施扣費的機會。

應用發佈前缺乏安全審核

作為用戶下載 Android 應用的主要管道，當前應用商店卻正在成為惡意軟體的傳播溫床。網秦《2011 年第一季度全球 Android手 機安全報告》顯示，超過 57% 的使用者正在通過應用商店下載。伴隨穀歌批量剔除數十款惡意軟體等事件的發生，和國內多家 Android 商店爆出發現惡意軟體的消息，應用商店安全性已愈發引起關注。

實際上，造成 Android 惡意軟體肆意傳播的原因在於當前應用商店存在的審核隱患。其中以 Google Market 為例，如果用戶要在 Google Market 發佈應用，使用者首先需要註冊，然後支付一定的費用後才能發佈應用，如果要發佈付費應用，還需要提供一個銀行帳號，Google 需要認證。這已經很大程度上規避了使用者虛假身份資訊。一旦出現法律問題，Google 可以追究其法律責任。

但是 Google 在應用上架時，沒有二次認證的審核流程，開發者上傳後的 APP 會立刻發佈，如果開發者發佈了惡意應用，雖然被發現後會被下架，事後也可能會被追究法律責任，但是對在發佈後和下架前的時間段內下載該軟體的使用者，已經造成了損失。由於開發者能夠通過伺服器控制用戶端惡意行為的發作時間，在應用通過審核上架後再來啟動惡意行為，即使通過審核也難以完全確保程式安全性。

批量植入惡意程式碼

與塞班平臺不同，當前 Android 平臺的惡意軟體數量正在呈幾何級增長，其中，部分外掛程式在被發現時已累積植入到數十、乃至數百款普通應用軟體之中。例如「安卓吸費王」病毒自 2011 年初被發現以後，累積植入到包括手機 QQ、塔防等超過數百款 Android 應用軟體之中。

究其原因，由於 Android 應用開發主要使用 Java 語言，Java 語言本身反編譯較為容易，惡意程式開發者可以反編譯獲取應用源碼，繼而修改原代碼並植入惡意外掛程式程式碼，最後再重新編譯生成新應用套裝程式，採用該方式生成的新應用仍然保留了原應用的正常功能，從而具有較高的欺騙性。該方法可以批量進行，使得惡意軟體（尤其是變種）的數目劇增。

同時，由於 Android 平臺和塞班平臺不同，缺乏全面的測試及數位簽章驗證機制，導致其批量植入惡意程式碼的成本被進一步降低，從而導致了如「安卓吸費王」等惡意程式的大面積氾濫。

對此，由 於 Android 平臺存在批量植入惡意程式碼的隱患，導致在管道操控中一旦存在安全問題，用戶下載應用時極易遭到感染，若未安裝專業手機安全軟體，將面臨極大的安全風險。

四、技術發展趨勢

面對錯綜複雜的 Android 安全形勢，也正在對安全廠商的技術研發提出新的課題。其中，為積極應對Android 面臨的安全問題，在眾多的應用中第一時間發現惡意程式並且及時回應，「雲 + 端」結合的「雲安全」技術模式正在被應用到專業的手機安全軟體之中，也將成為當前和未來在移動安全領域的技術發展趨勢。

其中，「雲端」將重點解決惡意軟體的發現問題，從各種管道收集軟體資訊，並按照某種演算法評估軟體的風險，對其風險排序，從而第一時間發現高風險軟體中的惡意軟體，並形成解決方案。雲可以將解決方案發放給端提供服務，也可以直接提供服務。

而「終端」重點解決惡意軟體的查殺與防護問題，通過安裝部署在智慧終端機上的用戶端及時應用的解決方案，對惡意軟體進行查殺，並防止惡意軟體進入。同時，端也可以作為雲的一個重要輸入，在用戶許可前提下，向其回饋必要的軟體資訊。

對此，通過「雲安全」技術的系統融合，將從包括管道、終端等多個層面，實現對惡意軟體的全面排查。目前，作為擁有全球最大的移動「雲安全」資料庫的專業移動安全廠商，網秦公司正在為全球超過 7100 萬手機用戶提供安全保護，並已在 2010 年底對外開放了「雲安全」平臺的 APK 介面，並已與中國移動、中國電信等多家電信運營商和多家 Android 應用商店達成了合作意向，可實現對其線上資源的全面、即時的安全檢測，避免用戶下載時遭遇惡意軟體威脅。

水杉而 於 2015-05-25 08:59:35 修改文章內容