摘要热门活动

    6月13日,由人民网与艾媒咨询集团(iiMedia Research Group)联合主办的2014移动互联发展大会暨第五届中国手机应用开发者大会(大会链接2014cmadc.iimedia.cn/)在北京国际饭店举行。

  中国互联网协会反网络病毒联盟博士何能强先生出席了大会,并发表主题为“移动应用程序安全管理 ”的演讲。演讲中,何能强先生为在场人士介绍了中国反网络病毒联盟的情况,同时也分析了2013年国内移动互联网环境现状以及恶意程序情况。当前互联网环境危机四伏,怎样给移动互联网带来一个好的更安全的环境也成为了大家关注的热点。

  以下为演讲原文:

  何能强:各位尊敬的来宾,移动互联网领域的开发者,大家好,我是国家互联网应急中心的何能强,很高兴接受主办方的邀请,我受工业和信息化部因委托,今天由我向大家介绍一下关于移动互联网应用程序安全管理方面的内容。

  首先介绍一下右上网的LOGO,CN代表中国,ERT代表网络安全应急中心,CC代表网络安全事件的协调组织,这个LOGO代表国家互联网应急中心代表着中国进行国家级网络安全防护、网络安全事件协调协的机构。

  开始今天的报告之前,我向大家介绍一下中国反网络病毒联盟的情况。中国反网络病毒联盟全程是中国互联网协会反网络病毒联盟,成立于2009年7月,中国互联网协会发起成立的,由国家互联网应急中心具体组织运营,秘书处设在国家互联网应急中心。我们联盟目的是致力于通过行业自律机制推动互联网网络病毒的防范,治理工作,净化网络空间,维护公共互联网网络安全。

  目前我们的联盟有37家单位,包括国家互联网应急中心,三家电信运营企业,3家域名注册机构,一家银行,四家设备制造企业,六家增值服务提供商,还有十九架安全企业。

  我今天报告的主要内容分为三个部分,第一部分是2013年国内移动互联网环境现状。

  移动互联网环境跟自然界有着相似的生存法则,存在地上和地下两个黑白世界。地上世界,为人熟知的是知名、热门的,能给用户带来良好用户体验的应用程序,为移动互联网带来了巨大的经济价值。但是在地下世界,面对移动互联网蕴含着巨大的经济利益,不法分子利用病毒窃取个人信息,盗取银行帐户,恶意营销从而获得经济利益,形成了移动互联网的地下黑色产业链。下面我会从正反两个方面介绍一下目前中国移动互联网安全的形势。

  中国是世界上拥有互联网网民最多的国家,自2011年以来,中国移动互联网网民是高速增长的,截至2013年底,移动互联网网民达到5.7亿,超过美国人口总数。使用安卓操作系统的最多,占到正体的67.74%,移动互联网环境的安全直接关系到5.7亿移动互联网网民的切身利益,因此维护移动互联网网络安全是至关重要的。

  在现实的移动互联网环境下危机四伏,由于安卓操作系统用户量居于首位,而且安卓的生态圈是开放的,任何开发者开发的应用程序都可以在这个生态圈里进行流通,这给黑客提供恶意提供了很多的方便,特别是是以信息窃取、恶意扣费、远程控制、电话窃听等程序大量流行,给网民带来大量的危害。

  为了有效地判定和识别互联网恶意程序,工信部于2012年12月发布了恶意程序判定标准,明确了移动互联网恶意程序是指在用户不知情或未授权的情况下,在移动终端系统中安装,运行以达到不正目的,或具有违反国家相关法律法规行为的可执行文件、程序模块和程序片段。在这个规范里面也定义了,将根据恶意程序的恶意行为,将恶意程序分为了八大类,在此我们也希望在座开发者给网民提供良好服务和体验的同时,规避规范中提到的八种恶意行为,进而给安全的移动互联网带来一个好的更安全的环境。

  接下来,我会解释一下根据2013年我们发现的一些恶意程序的情况,做一个总体的概括介绍,分为三个方面:第一方面,移动手机病毒爆炸式增长,带有明显的趋利性。2013年我们发现,国内移动互联网恶意程序超过70万,比2012年增长了3.3倍,安卓平台的恶意程序达到99%以上。有恶意扣费行为的和资费消耗行为的病毒占到85%以上,显示了黑客在制作恶意程序时带有明显的趋利性,也意味着移动互联网地下产业链已经逐渐成熟起来。

  另外,2013年手机应用商店论坛下载站是全国移动互联网恶意程序的主要来源,我们监测发现,通过这些途径传播移动恶意程序的次数超过1200多万次,传播移动互联网恶意程序的网站域名15000多个,存在传播恶意程序的应用商店有超过300家,从这个现象可以说明,现在应用程序上架的时候存在很多机制上的缺陷。今年工信部会组织移动互联网专项行动,会针对应用商店进行专项管理。

  第三方面,关于恶意程序的控制服务器,主要是国外注册,在国内接入。恶意程序控制服务器通俗来讲就是指手机肉机的口头服务器,是黑客通过这些服务器可以控制一些感染病毒的手机,在PC上我们可以称它为“肉鸡”,手机上也有“肉鸡”,控制这些手机的服务器我们称为恶意控制服务器。这些服务器主要是在美国注册。

  移动恶意程序安全管理工作。目前移动恶意程序有三个来源,一是黑客篡改,二是预计预装,三是手机商店在传播恶意程序。2014年,工信部、公安部、工商总局联合发起一个专项行动,这个专项行动里面有几个工作,一是应用商店的安全管理,二是开发者第三方签名,三是流通环节对手机安全检测,四是移动互联网白名单。

  举一个案例,2013年7月份时,我们发现一个第三方应用商店安丰市场,传播了很多恶意程序,累计传播次数超过200万次,说明这个应用商店在传播恶意程序方面起到了很危险的角色。2013年我们做应用商店的管理工作,通过每周一次的频率协调应用商店下架恶意程序,我们发现有些应用商店比较配合我们的工作,但是有一些应用商品出现不及时下架、不及时删除恶意程序的现象。总体发现国内知名度较高的应用商品都是比较配合我们工作的,但是像国外的谷歌、诺基亚、HTC等厂商存在很多的APP,但是不会及时下架。

  今年工信部会开展对应用商店的管理工作,最近我们梳理了一千家手机应用商店,主要集中在北京、上海、江苏、四川这些互联网发达地区。今年的管理工作会把应用商店进行属地化管理,各地通信管理局对应用商店做检查工作,严肃处罚应用商店。

  第二个管理对象是开发者的管理。这次专项行动中我们会推行第三方签名认证试点工作,工作目标就是加强移动互联网应用程序开发源头的管理,实现应用程序的防篡改和可溯源,保护用户和原始开发者的合法权益。工作方法是针对安卓手机目前恶意程序泛滥的现象,我们会探索安卓手机应用程序开发者采用依法设立的电子认证服务机构来颁发数字证书,对自身的应用程序进行签名,然后建立应用商店、安全软件、手机终端对签名进行验签的过程,我们希望以后安卓平台上自签名会减少,多数利用第三方的证书去签名。

  第三个管理对象是流通环节的手机。讲一个案例,2013年9月,我们监测发现,一号店会出售带有扣费软件的行货的联想手机,在用户不知情的情况下扣取用户话费,我们累计监测有200多万用户感染了这个病毒。

  专项行动关于流通手机安全检查的说明,加强移动智能终端生产企业预装应用程序管理,确保获证终端符合安全管理要求,进一步落实工信部《关于加强移动智能终端进网管理的通知》要求,强化移动智能终端进网安全检测和预装应用程序管理,我们会在工信部、公安部、工商总局的联合部署下各地通讯管理局、公安局、工商局会对这些流通环节里面的手机进行安全检查。

  最后,简单介绍一下移动互联网白名单工作。由于目前恶意程序爆发式的增长,使得很多优质移动互联网应用埋没在篡改、山寨的应用里,使得优质的应用不能被用户识别,存在劣币驱逐良币的效应,一方面对程序的爆发式增长,传统的黑名单已经很难识别这些恶意程序,所以我们推出了移动互联网白名单,通过引导开发者开发白色、安全的应用,在应用商店里引导用户去下载白色应用,然后在安全软件防护白色用户。白名单的生态圈有几个特点,是孩子的、自律的、安全的、受保护的,我们欢迎移动应用程序开发者申请我们的白名单,目前我们的白名单是完全免费的,申请发布的过程都是不收取任何费用的。

  我们会组织一些安全企业对这些白名单做一个审核的工作。目前我们成立了一个白名单工作组,主要是目前主流的安全软件对白名单生产企业有个审核,我们会组织很多应用商店显示这个白名单,在应用商店里推荐用户下载。我们也成立了相应的工作组,举行了签约仪式,督促这些应用商店和安全软件识别白名单,促进用户下载。这是我们白名单申请发布的平台,如果开发者有愿意申请白名单,可以通过这个平台登录申请。

  2013年12月底,我们在工信部指导下我们发布了首批移动互联网白名单,包括中国移动、腾讯、360、金山、瑞星、安全管理、高德和UC首批进入了我们的白名单。目前,我们做白名单的标识和推广工作,首先是在应用商店的网站,我们会对白名单里的应用做一个标记,像白名单里的应用在应用商店里有个LOGO进行推荐。另外应用商店的APP里,我们会让这些应用商店对白名单进行标记,像腾讯手机应用保、91助手、360手机助手,都会对这些白名单里的应用做一个标识。我们会要求安全软件也对这些白名单的应用做一个标识,在用户使用这些白名单的时候,安全软件会提示说这里面的应用是安全的、正版的、可信的。

  我今天的报告会在2013年治理报告里面,大家有兴趣可以找我索要,欢迎大家申请白名单。谢谢大家。