报告称Android应用比iOS应用更易受黑客攻击
应用安全公司 Arxan 周四公布最新研究报告称,苹果公司和谷歌的应用商店中均有大量应用已成为黑客攻击的目标,其中 Android 平台上的财务应用尤其容易受到攻击。
报告称,在很多情况下,应用在遭到黑客攻击后会被上传到 Google Play 应用商店或第三方应用商店,用以窃取用户身份资料、恶意运行、或删除广告软件以欺诈应用开发者。Arxan 首席技术官凯文·摩根(Kevin Morgan)称:“被黑客攻击的应用会以已解密状态出现在很多不同的应用商店中,因此从定义上来说,这些软件已经被黑。”
财务应用的受攻击情况尤其令人担心,因为用户很信任这种应用,因此会向其提供一些至关重要的个人数据,如银行账户和密码等。Arxan 称,经取样调查后发现,23% 的 iOS 财务应用已经被黑,Android 财务应用中这一比例更是高达 53%。Android 用户可通过移动设备设置来从第三方商店下载应用,而 iOS 用户则必须“越狱”。到目前为止,苹果公司今年 9 月发布的 iOS 7 操作系统尚无越狱版。
但报告指出,甚至就连谷歌官方应用商店 Google Play 也已成为恶意软件和被黑应用的发源地。今年 9 月,黑莓被迫推迟发布 Android 版 BBM 通信应用,原因是在官方版本发布以前就已有被黑的版本出现在 Google Play 商店中,且下载量超过了 100 万次。摩根警告称,类似的,黑客很容易就能在 Google Play 商店中发布一个“美国银行”应用来欺骗用户。
摩根指出:“Google Play 并不是个经过审查的应用商店,其中倾向于有很多令人讨厌的东西。而在苹果公司的 Apple Store 应用商店中,你看到的应用几乎都是合法的。在 Apple Store,黑客攻击的问题不大。”
苹果公司会对所有应用进行审查,随后才会允许其进入 Apple Store;相比之下,谷歌则只会在有用户投诉某个应用或应用被检测到含有恶意程序时才会删除。这两个平台都拥有所谓“终止开关”(kill switch)工具,可回溯性地删除已在用户手机上安装的恶意软件。
Android 和 iOS 谁更安全
Arxan 在其第二份有关应用经济安全状态的年度报告中指出:“我们的研究结果与去年保持一致,即在排名最靠前的付费 Android 应用中,100% 都容易受到黑客的攻击。这种研究结果的一致性明显表明,Android 操作系统的安全性(比 iOS)更差。”
但谷歌董事长埃里克·施密特(Eric Schmidt)则曾在 10 月宣称,Android 系统的安全性要好于 iOS。他在当时举行的市场研究公司 Gartner 座谈会上发表了这一言论,引发了与会公司高管的哄堂大笑。对于这种分歧,摩根表示:“我不确定自己想要跟施密特‘开战’。他的说法从技术上来说是一种‘逐 点’的比较,但他当时并未详细说明,而只是说 Android 在其庞大的用户基础中经历了‘现实世界测试’”。
摩根进一步解释道:“从应用商店来看,事实仍旧是(Android 应用商店中)被修改的代码远多于苹果公司应用商店。而在 Google Play 中,有很多应用从一开始就是欺诈性的、感染了恶意软件的。”
标准化的缺失
Arxan 还指出:“黑客更愿意将攻击目标对准碎片化的、开放式的 Android 生态系统,并在 Google Play 应用商店中插入恶意软件。”报告称,据谷歌自己的平台数据显示,12 月初有 24.1% 用户通过基于 Android 2.3“姜饼”系统运行的设备进入 Google Play 应用商店,该版本是在 2010 年 12 月发布的;18.6% 用户的设备则基于 Android 4.0.x 运行,该版本发布于 2011 年 10 月。
Arxan 称:“标准化的缺失令这个平台变得更不安全。”这份报告是从 9 月开始筹备的,当时“姜饼”和“冰激凌三明治”系统在进入 Google Play 商店的设备中占比 52.4%。“尤其需要指出的是,多数 Android 设备都无法接收谷歌提供的最新安全措施,这导致用户容易受到已知威胁的攻击。”
自 9 月以来,基于较老版本 Android 系统运行的设备占比已有所下降,但其绝对数量则很可能仍基本保持不变。报告称:“黑客总是会追随着资金的流动(而展开攻击),并将把攻击的重心放在拥有最 多用户的平台上。Junpier 最近公布的一份移动恶意软件研究报告也证实了这一点,该报告表明,92% 的恶意软件都是针对 Android 平台而被创造出来的,而针对 iOS 平台的恶意软件则没那么明显。”
Arxan 分析表明,第三方应用商店是被黑应用的重要来源。报告显示,在 Android 应用商店排名前 100 的付费应用中,在官方应用商店及第三方站点上,所有这些应用都能找到被黑的版本;与此相比,苹果 iOS 平台排名前 100 的付费应用中这一比例则仅为 56%。就这两个平台整体而言,该比例高达 78%。在官方应用商店中,免费应用则是黑客攻击的最大目标,73% 的免费 Android 应用已被篡改。