应用安全公司Arxan周四公布最新研究报告称,苹果公司和谷歌的应用商店中均有大量应用已成为黑客攻击的目标,其中Android平台上的财务应用尤其容易受到攻击。
报告称,在很多情况下,应用在遭到黑客攻击后会被上传到Google Play应用商店或第三方应用商店,用以窃取用户身份资料、恶意运行、或删除广告软件以欺诈应用开发者。Arxan首席技术官凯文·摩根(Kevin Morgan)称:“被黑客攻击的应用会以已解密状态出现在很多不同的应用商店中,因此从定义上来说,这些软件已经被黑。”
财务应用的受攻击情况尤其令人担心,因为用户很信任这种应用,因此会向其提供一些至关重要的个人数据,如银行账户和密码等。Arxan称,经取样调查后发现,23%的iOS财务应用已经被黑,Android财务应用中这一比例更是高达53%。Android用户可通过移动设备设置来从第三方商店下载应用,而iOS用户则必须“越狱”。到目前为止,苹果公司今年9月发布的iOS 7操作系统尚无越狱版。
但报告指出,甚至就连谷歌官方应用商店Google Play也已成为恶意软件和被黑应用的发源地。今年9月,黑莓被迫推迟发布Android版BBM通信应用,原因是在官方版本发布以前就已有被黑的版本出现在Google Play商店中,且下载量超过了100万次。摩根警告称,类似的,黑客很容易就能在Google Play商店中发布一个“美国银行”应用来欺骗用户。
摩根指出:“Google Play并不是个经过审查的应用商店,其中倾向于有很多令人讨厌的东西。而在苹果公司的Apple Store应用商店中,你看到的应用几乎都是合法的。在Apple Store,黑客攻击的问题不大。”
苹果公司会对所有应用进行审查,随后才会允许其进入Apple Store;相比之下,谷歌则只会在有用户投诉某个应用或应用被检测到含有恶意程序时才会删除。这两个平台都拥有所谓“终止开关”(kill switch)工具,可回溯性地删除已在用户手机上安装的恶意软件。
Android和iOS谁更安全
Arxan在其第二份有关应用经济安全状态的年度报告中指出:“我们的研究结果与去年保持一致,即在排名最靠前的付费Android应用中,100%都容易受到黑客的攻击。这种研究结果的一致性明显表明,Android操作系统的安全性(比iOS)更差。”
但谷歌董事长埃里克·施密特则曾在10月宣称,Android系统的安全性要好于iOS。他在当时举行的市场研究公司Gartner座谈会上发表了这一言论,引发了与会公司高管的哄堂大笑。对于这种分歧,摩根表示:“我不确定自己想要跟施密特‘开战'。他的说法从技术上来说是一种‘逐点'的比较,但他当时并未详细说明,而只是说Android在其庞大的用户基础中经历了‘现实世界测试'”。
摩根进一步解释道:“从应用商店来看,事实仍旧是(Android应用商店中)被修改的代码远多于苹果公司应用商店。而在Google Play中,有很多应用从一开始就是欺诈性的、感染了恶意软件的。”
标准化的缺失
Arxan还指出:“黑客更愿意将攻击目标对准碎片化的、开放式的Android生态系统,并在Google Play应用商店中插入恶意软件。”报告称,据谷歌自己的平台数据显示,12月初有24.1%用户通过基于Android 2.3“姜饼”系统运行的设备进入Google Play应用商店,该版本是在2010年12月发布的;18.6%用户的设备则基于Android 4.0.x运行,该版本发布于2011年10月。
Arxan称:“标准化的缺失令这个平台变得更不安全。”这份报告是从9月开始筹备的,当时“姜饼”和“冰激凌三明治”系统在进入Google Play商店的设备中占比52.4%。“尤其需要指出的是,多数Android设备都无法接收谷歌提供的最新安全措施,这导致用户容易受到已知威胁的攻击。”
自9月以来,基于较老版本Android系统运行的设备占比已有所下降,但其绝对数量则很可能仍基本保持不变。报告称:“黑客总是会追随着资金的流动(而展开攻击),并将把攻击的重心放在拥有最多用户的平台上。Junpier最近公布的一份移动恶意软件研究报告也证实了这一点,该报告表明,92%的恶意软件都是针对Android平台而被创造出来的,而针对iOS平台的恶意软件则没那么明显。”
Arxan分析表明,第三方应用商店是被黑应用的重要来源。报告显示,在Android应用商店排名前100的付费应用中,在官方应用商店及第三方站点上,所有这些应用都能找到被黑的版本;与此相比,苹果iOS平台排名前100的付费应用中这一比例则仅为56%。就这两个平台整体而言,该比例高达78%。在官方应用商店中,免费应用则是黑客攻击的最大目标,73%的免费Android应用已被篡改。
