另类小偷觊觎手机钱包黑色吸金产业链已形成

■一季度手机安全应用市场份额

今年2月底，央行暂停了阿里和腾讯筹划的虚拟信用卡和二维码支付，给站在风口上快要飞起来的互联网金融泼了一盆冷水，而监管层极为担忧的移动支付安全问题也摆上了台面。那边厢，黑客向万亿用户手机钱包伸出黑手，这边厢，国内移动互联网安全产业尚处于初级阶段。移动互联网的安全领域还有许许多多的新课题待攻破，中国移动互联网安全产业的现有格局仍有变数。

□担忧

三成手机用户没安全防护

手机钱包出现后，一群另类的小偷欢欣雀跃——他们或许不会壮着胆子亲手伸进人们的口袋，但是会通过病毒、伪基站短信等无形的方式窃取手机钱包里的资金。

“透明化生存”或许不再是危言耸听。

近两年互联网界最大的安全事件——OpenSSL大漏洞在今年4月8日被曝光。通过这个漏洞，所有https站点的加密内容、网站用户密码、服务器配置和源码都可以被攻破。

“面对这种罕见大漏洞，不知有多少兴奋的黑客通宵达旦去破解用户的核心信息。”“心脏出血”曝光后，某安全公司技术总监和他的同事连续三个通宵跟看不见的黑客对战。

去年12月百度推出手机安全卫士App，三个多月后市场份额已排名第三，这让百度移动安全总经理张磊激动不已，不过他却担心，因为目前还有30%的手机用户没进行安全防护。

□危机

黑色吸金产业链已经形成

安全领域专家、腾讯公司副总裁丁珂说，对照PC端的黑色吸金产业，移动互联网病毒兴风作浪的背后是移动互联网黑色产业链正形成规模。

张磊对这一观点也深表认同，他说，去年开始，有组织有背景的恶意软件黑色产业链已形成。

移动互联网黑客分两派，一派存在于各大安全厂商团队中，另一派则构成黑产中的一环。两派博弈中，一些顽固的手机病毒成为引爆双方激战的导火索。

这些病毒包括：“银行悍匪”，把母程序和子程序打包到热门游戏中，隐藏在后台窃取用户手机信息和短信信息;“键盘黑手”，嵌入到输入法软件中，可监听用户键盘输入，上传泄露用户账户密码信息;“鬼面银贼”，病毒具备二次打包和仿冒程序的特征，仿冒的程序包括支付宝年度红包大派发、央行等十余款应用，监听用户手机短信，并可将短信内容转发至指定手机号码。

□隐患

厂商过度收集用户信息

3月22日18时许，乌云漏洞平台发布消息称，携程将用于处理用户支付的服务接口开启了调试功能，部分用户的姓名、身份证号码、银行卡卡号、银行卡CVV码以及银行卡6位Bin等信息可能被黑客所读取。

“互联网厂商本来就应该有安全意识，不应过度收集用户信息。”丁珂向记者展示，某在线旅游App在用户首次注册登录时要输入身份证、信用卡和手机号等个人敏感信息，“这种诱导用户无意间泄露隐私的做法令人费解”。

百度手机卫士方面介绍，手机软件收集个人信息有几种方式，一是在安装时有授权确认，在使用中涉及用户信息时，再次出现授权确认让用户明确知晓;二是在用户下载安装软件时，弹出提示让用户确认;还有一种是没有经过用户确认而直接收集信息。不少App不是自己就留有后门，这些App在后台运行时，用户收到的信息他们也收到了，如果这些信息被卖给黑产组织，用户就可能会成为透明人，不再有隐私可言。

□监管

内外监管需形成合力

移动互联网安全隐患重重，国内现在的监管机制又如何?易观国际高级分析师王珺说，我国移动安全现状是，外部政府监管、内部厂商监管仍有薄弱之处。国内手机在销售过程中存在灰色的产业或者黑色的产业，包括刷机、拆包的情况，很多用户买到手机之后手机里面已经内置了一些恶意的软件，对这种情况，政府应加强监管。

公开资料显示，信息泄露问题在立法与监管方面仍有滞后之处，电信领域的基本法——电信法至今尚未出台。目前我国网络信息安全法规体系中相关的100多部法律法规政出多口、九龙治水，不少互联网公司漠视甚至泄露用户个人隐私。

在民间自律及民间监管方面，王珺指出，应用商店作为App应用分发的主要入口，应对应用进行严格审核;互联网企业也要做到加强软件、应用的安全防护;同时厂商、媒体、互联网协会等也应多加宣传，提高普通手机用户的安全意识。（京华时报记者廖丰）

陕西定做西服

阻燃消防救援服

东兴订制职业装