在过去几周时间,手机恶意软件的活跃度出现了显著的增长。而早在五年前,反恶意软件行业就开始讨论和警告手机领域将出现的恶意软件浪潮。如今看上去,当初的讨论和警告已经成为了现实。
如果你对手机恶意软件还不够了解,那我可以告诉你,我们已经收集了一大堆手机恶意软件样本了。
从针对Windows Mobile, 塞班以及黑莓系统的Zeus变种中,我们意识到,开放环境的手机平台,更容易吸引手机恶意软件制造者。
随着安卓系统的快速发展,这种趋势将更加明显。但是在几周之前,安卓系统还算是相对安全,因为没有什么严重的恶意软件出现。
在这之前所发现的针对安卓系统的恶意软件只存在于第三方软件市场和Web网站上。然而现在,恶意软件已经出现在了google自己的地盘上。这个情况尤其需要引起我们重视,因为有不少服务运营商都不允许用户下载和安装来自非官方的软件和服务产品,同时,人们思想上会对官方发售的软件有一种固有的信任感。
我们已经不能再欺骗自己了,事实上在各个官方软件平台上,也存在有恶意软件。它们可能已经存在很久了,只是我们刚刚才发现而已。
我估计手机软件供应商会在软件产品发布后的几个月后,才会发现软件中包含恶意软件。
更令人担心的是,这些恶意软件会采用所谓的越狱技术获得手机完全的root访问权限。 而目前实现这种越狱技术的代码有很多种,并且不难获取。
这告诉我们Google对于新程序的代码评估过程并不是最佳安全方式。
同时,一个更严重的现实摆在我们面前,即针对安卓,或者其他手机操作系统的安全解决方案都收到严重制约。这是由于手机操作系统的安全模式所造成的。这意味着安全软件必须在恶意软件成功运行前就将其杀死,否则恶意软件有可能会深入到比安全软件更底层的位置。
这种新型攻击最麻烦的地方在于,它能够获取完整的root访问权限。虽然制约性的安全模式是不错,但是也正是由此而引火烧身了。
只要想想windows 64位系统中的PatchGuard (安全内核)就能明白了。安全内核是用来预防和抵御64位rootkit攻击的。同时,这也意味着传统的安全软件将不能在很低的层面上工作了。
这个技术确实在一段时间内阻止了 rootkit对于64位系统的攻击。但是最终rootkit成功了,而安全软件厂商却变得非常被动。
这又给我们带来了另一个问题。虽然 Google在发现软件店中存在恶意软件后,在第一时间删除了恶意软件,同时从用户的手机设备中清除了恶意软件。但是Google能远程恢复已经被越狱的手机系统以及由此带来的各种后果吗?起码来说,我希望受影响的系统最后能收到一条通知,告知用户他们的手机系统完整性已经遭到破坏。
最后但是同样重要的是,我一直在注意安全联盟是如何收集最新的攻击代码范本的。因为Google能够如此快的删除掉受感染的恶意软件,这看上去很令人惊讶。
进一步说,我希望业界能够制定出一个更好的机制。如果Google能够与反恶意软件联盟共享可疑/恶意软件信息,那对于各方来说,都是最好的。
各方面问题都考虑到后,我奇怪为什么在对手机恶意软件的战斗中我们会在一开始就处于劣势。结论就是,限制所有手机软件都以用户模式运行,只是建立在没有人会作弊的前提下。
不幸的是,安卓平台上的第一起严重的攻击就由作弊引发的。但是不代表以后都是这种情况。
目前来说,我看到了很多有关手机恶意软件的问题。其中有一些问题我在本文中没有提及。而最难以置信的就是Google在官方程序中竟然包含了一个可以轻易被检查出来的漏洞代码。