360首席科學家、北萊羅納州大學蔣旭憲教授蔣旭憲教授

　　當前市場上的安卓手機越來越流行，不少手機廠商也因此推出了基于安卓系統(tǒng)的智能手機。為了尋求與別家手機的差異化，手機廠商往往會在谷歌公開的安卓源代碼的基礎上進行定制。而這也因此導致了定制手機系統(tǒng)而引發(fā)的一系列安全問題。

　　令人感到尷尬的是，隨著安卓系統(tǒng)的版本更新，系統(tǒng)漏洞卻并沒有減少，反而有所增加。據(jù)周亞金介紹，大約50%的漏洞由廠商定制產(chǎn)生，有些定制系統(tǒng)達到了80%。但如果安全問題是出在定制系統(tǒng)層面，則也不失為一件好事，如果企業(yè)能夠因此而引起重視，在出廠前將漏洞解決，用戶的手機也就更加安全。

　　在大會現(xiàn)場，周亞金通過大屏幕，向與會者演示了惡意程序是如何利用定制系統(tǒng)所帶來的漏洞，偽造接收銀行短信的過程。演示過程中，在座嘉賓看到，這些銀行短信并非真實銀行所發(fā)，而是由惡意程序偽裝而來，且銀行短信內(nèi)容及發(fā)送號碼可被任意控制的，也就是說，除銀行短信外，還可偽裝成親友號碼等更多的釣魚短信，使接受用戶喪失安全警惕，因此該類漏洞所出現(xiàn)的惡意程序具有非常大的迷惑性。

　　結果顯示，當前手機廠商的定制會引入非常嚴重的安全漏洞。惡意軟件可利用這些漏洞來獲取系統(tǒng)權限，后臺靜默安裝應用以及發(fā)送釣魚短信等等。同時，在分析的手機中，64%到85%的漏洞都是由于廠商的定制所造成的。不僅如此，同一廠商的安卓手機的漏洞并不一定會隨著新型號的發(fā)布而減少。相反，新發(fā)布的手機有可能比舊型號的手機有更多的漏洞。

　　據(jù)了解，蔣旭憲教授及其移動研究人員創(chuàng)建的AndroidMalwareGenome Project，已發(fā)現(xiàn)了超過25個0-day的安卓惡意軟件家族，并向全球大約300所知名大學和公司共享了該項目的研究成果。

　　據(jù)悉，本屆互聯(lián)網(wǎng)安全大會由中國互聯(lián)網(wǎng)協(xié)會和國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心（CNCERT/CC）指導，360公司主辦。本次大會除移動安全論壇外，還開設多個新興安全威脅技術、APT攻擊、軟件安全、云計算、web安全論壇、網(wǎng)絡犯罪與防范、基于云的數(shù)據(jù)災備恢復與存儲安全等多場專題論壇，進行為期3天的深入交流探討。