360蒋旭宪：安卓定制引发漏洞可伪造银行短信

360首席科学家、北莱罗纳州大学蒋旭宪教授蒋旭宪教授

　　当前市场上的安卓手机越来越流行，不少手机厂商也因此推出了基于安卓系统的智能手机。为了寻求与别家手机的差异化，手机厂商往往会在谷歌公开的安卓源代码的基础上进行定制。而这也因此导致了定制手机系统而引发的一系列安全问题。

　　令人感到尴尬的是，随着安卓系统的版本更新，系统漏洞却并没有减少，反而有所增加。据周亚金介绍，大约50%的漏洞由厂商定制产生，有些定制系统达到了80%。但如果安全问题是出在定制系统层面，则也不失为一件好事，如果企业能够因此而引起重视，在出厂前将漏洞解决，用户的手机也就更加安全。

　　在大会现场，周亚金通过大屏幕，向与会者演示了恶意程序是如何利用定制系统所带来的漏洞，伪造接收银行短信的过程。演示过程中，在座嘉宾看到，这些银行短信并非真实银行所发，而是由恶意程序伪装而来，且银行短信内容及发送号码可被任意控制的，也就是说，除银行短信外，还可伪装成亲友号码等更多的钓鱼短信，使接受用户丧失安全警惕，因此该类漏洞所出现的恶意程序具有非常大的迷惑性。

　　结果显示，当前手机厂商的定制会引入非常严重的安全漏洞。恶意软件可利用这些漏洞来获取系统权限，后台静默安装应用以及发送钓鱼短信等等。同时，在分析的手机中，64%到85%的漏洞都是由于厂商的定制所造成的。不仅如此，同一厂商的安卓手机的漏洞并不一定会随着新型号的发布而减少。相反，新发布的手机有可能比旧型号的手机有更多的漏洞。

　　据了解，蒋旭宪教授及其移动研究人员创建的AndroidMalwareGenome Project，已发现了超过25个0-day的安卓恶意软件家族，并向全球大约300所知名大学和公司共享了该项目的研究成果。

　　据悉，本届互联网安全大会由中国互联网协会和国家计算机网络应急技术处理协调中心（CNCERT/CC）指导，360公司主办。本次大会除移动安全论坛外，还开设多个新兴安全威胁技术、APT攻击、软件安全、云计算、web安全论坛、网络犯罪与防范、基于云的数据灾备恢复与存储安全等多场专题论坛，进行为期3天的深入交流探讨。