19

智能手机应用安全现状及前瞻

作者: wuzhimin 分类:坊间人语   阅读:26,860 次 添加评论

/王颖奇


智能手机越来越被大众所接受,而用户根据以往使用电脑的经验,往往认为智能手机也应该和电脑一样,有病毒、恶意软件,木马等等。而对研发人员来讲,也理所当然地认为有智能手机软件安全这个领域,然而这个领域和电脑上的情况是否类似?用户是否需要一个手机安全软件?手机安全软件的市场方向如何?或者如何使开发出来的手机应用更为安全呢?在回答这些问题之前,我们可以先看一下目前市场上主流智能手机操作系统的安全特性。目前主流的智能手机操作系统有SymbianWindows MobileRIMPalmiPhoneLinux等,这里仅就其中几个作以介绍。


几大手机操作系统的安全特性

先说iPhone,一个iPhone如果想要安装软件,只能到苹果官方的软件商店上搜索。而苹果对软件的功能和安全性的审查极其严格,虽然有人对这种封闭、垄断行为很是不满,但是对最广大的普通用户来说,至少在安全这个问题上,iPhone的用户根本不用操心。

Android,也就是Google推出的智能手机操作系统,目前也是沿用这个策略,用户只能安装官方软件商店上的软件。而Symbian是一个比较复杂的系统,市面上能见到的有Symbian S40S60第一、第二、第三、第五版,UIQ等。Symbian S60第三版以及之后的所有版本,包括UIQ,在上面正常安装的所有软件都必须通过Symbian官方进行安全认证。Symbian虽然没有官方的软件商店限制,但是官方安全认证这一点就已经给S60高端智能机一个很好的安全保证。不用说做一个病毒传播出去,就连做一个正常的软件想要发布都会有很多门槛:必须购买一个200美元一年的开发者资格;每次发行一个版本都要付给官方20美元认证后才能大范围地安装使用。要想写一个恶意软件很容易,但是要装到很多手机上来用并传播开来,基本上不可能。至于S60的第一、第二版本,诺基亚在2005年的N90以后就再也没出过这两个版本的智能手机了。他们的安全认证等级比较低,市面上已经没有产品卖了。

在智能手机领域,大家可以认为Palm OS已经溃败退出,近来要推出的Palm pre会搭载全新的Web OS。目前没有看到真机,但相信这种现代的操作系统,会十分注重安全性。至于Linux,其实手机上用的很少,摩托罗拉一直在使用,单从血统来看,Linux的手机安全性肯定不必担心。另外,像这种比较偏门的机型,目前占有率不高,未来发展方向也不很明朗。而这一点反而使得Linux操作系统的智能手机更加安全。Blackberry,也就是RIM的软件安装,目前未见到严格的安全认证限制,同上面未说完的Symbian S40一样,是目前在市场上占有率较高且有中毒风险的系统,而Windows Mobile的安全认证机制基本是空谈,也属于高危范围。


智能手机安全现状

这样看来某些智能手机还是有一定的危险性,那为什么目前没有很多手机病毒呢?其实,目前在电脑上,单纯的病毒已经无利可图了,病毒已经不再是一种技术的发泄和炫耀工具,病毒作者已是无利不起早的经济利益偷窃者,电脑上的网游盗号,网银盗号才是他们要关心的,手机上没有他们想要的,我们认为重要的亲密短信,隐私图片,对犯罪者是没有吸引力的。这也是目前在这些相对危险的操作系统上也没有手机病毒爆发的重要原因。

说到这,可以看一下现有智能手机安全软件情况,目前针对智能手机的安全软件大概分两种,一种是杀毒类的硬安全;另一种是隐私保护或恶意电话屏蔽等的软安全,如果说还能找出一种的话,就是前面两种的结合体。手机杀毒软件实际上目前处在雷声大、雨点小的状态,手机操作系统有一个很重要的概念就是任何软件都只能在特定操作系统平台上运行,也就是说Symbian的软件不可能在Windows Mobile的手机上运行,iPhone的软件也不可能在Android上跑。实际上一些Java的程序是有可能在各种不同的智能手机平台上传播的。但是有一个前提要说的是,Java程序能做的事情很有限,访问网络,访问手机上的文件,发送短信这些都会有十分明显的提示,让用户确认后才会进行。这个安全限制是在Java这一层次就已经解决了。

因此,如果要做一个智能手机杀毒软件的话,只可能针对特定平台来开发,并且要有专门的人来负责该平台的病毒样本收集、分析、特征提取等。就前面讲到的各个智能手机操作系统的情况来看,实际上在国内目前只有Windows Mobile的杀毒软件才有可能有一定的用户需求,而从真正的手机病毒流行情况来看,这个用户需求也只停留在有可能有的阶段。现在已知的手机病毒不过300种左右,而且是分布在各个平台之上,甚至大多只能运行在老版本的操作系统平台上。由于目前大部分平台良好的安全性限制,手机病毒没有爆发的迹象。市面上能看到的手机杀毒软件的实用性非常有限,甚至有些厂商有故意控制舆论导向,鼓吹手机病毒爆发的嫌疑。作为一个有良知的厂商,不应该从该方面牟取用户钱财。


用户的真实需求

那么智能手机安全软件是否真的无事可做呢?手机作为个人通信工具,每天跟随用户,保存了很多个人隐私。并且近年来收费电话,垃圾短信,电话和短信诈骗等层出不穷。如果能从这些方面着眼,解决用户的实际问题,才是目前真正要做的。而这一类的软安全软件目前市场上也有很多,比如,一些来电显示软件,就可以很准确的告知用户来电的归属地,一定程度上杜绝了电话欺诈;另外一些软件可以由用户自定义号码黑名单,主动的屏蔽掉骚扰电话和短信。

当然,也不能保证将来的智能手机操作系统就不会有杀毒软件的真正需求,这个要看各大厂商对安全的重视程度。理论上讲,哪个操作系统厂商不重视安全性,哪个厂商的平台就会有被淘汰的风险。软件病毒爆发和流行的根源在于操作系统平台厂商的设计失误,第三方软件永远只是亡羊补牢,不具有杜绝病毒的能力。

此外,智能手机软件绝不是将电脑上的软件移植到手机上,而是要针对手机的特性做全新的设计和产品规划,因此,智能手机安全软件绝对不是学电脑安全软件的文件监控和病毒查杀。理解手机用户的真正需求,了解智能手机操作系统平台的安全特性,就不难找到这个领域的正确方向。


怎样做到安全

而对于一般的智能手机应用软件要做到安全,或是说被用户认为是安全的,大概要从几个方面着手:首先,在任何会造成用户付费的功能上给出明显的提示,比如:访问网络造成的数据流量费用,发送短信造成的信息费用,软件本身的注册产生的费用都该及时明确地给用户提醒,这是基本的商业道德,国内的几个流行的智能手机产品在这方面都作了很好的示范。

其次,作为一个商业软件,要打数字签名,从被授权的证书厂商处购买数字签名证书,一般的费用是一年几百美元,在初次购买的时候会有很严格的开发商身份验证机制。而这个步骤从市场推广和用户体验来讲是必需的。

最后,利用平台固有的销售和推广渠道是一个双赢的事情,比如现有较成熟的iPhoneAppStoreAndroidMarket,以及会相继推出或完善的BlackberryAppWorldPalmApp StoreWindows MobileMarketplaceNokiaOvi等,传统的找软件方式将会被AppStore模式取代,这种目录式的软件查找方式填平了软件开发者与用户之间的鸿沟,为用户方便地找到合适的软件提供便利,而更重要的是,这些软件在用户的心目中是安全的。


作者简介:

王颖奇王颖奇,2004年加入金山软件,参与WPS V6研发,曾任金山毒霸水银平台项目经理,关注智能手机研发。


(本文来自《程序员》杂志09年05期)

《程序员》107月刊精彩内容:http://www.programmer.com.cn/3484/

《程序员》订阅:http://book.csdn.net/programmer/



转播到腾讯微博

----->立刻申请加入《程序员》杂志读者俱乐部,与杂志编辑直接交流,参与选题,优先投稿

3 Responses to “智能手机应用安全现状及前瞻”

  1. seed 说道:

    居然说黑莓不安全,美国总统奥巴马都用的手机会不安全吗?

  2. 0旭日东升0 说道:

    我知道的诚迈科技就是用的Android在做手机系统的。测试效果不错

  3. tom 说道:

    智能手机!

请评论

preload preload preload
京ICP备06065162