作者: Rik Ferguson 趨勢科技資深資安顧問
不要再輕忽行動惡意軟體
資安業界有個令人尷尬的問題。這些年來,幾家資安大廠每年都會發出警告,「明年」會是行動惡意軟體的一年。「小心呀!」我們說,「行動惡意軟體就要來了……」,但它從未發生。它依然沒有出現在威脅環境的雷達裡。在現實世界中,自從二〇〇四年的Cabir蠕蟲病毒開始,我們每年都會看到行動惡意軟體出現和進化(原本是Symbian、J2ME和Windows CE),但一直沒有達到相當的量或擺脫惡作劇的範圍。
但現在是真的來了(因為好幾個原因,過去這兩年都被稱「行動惡意軟體的一年」),我們有困難去說服世界大眾這並不是另一次的「狼來了!」。有個被堅定相信的懷疑論就是資安產業會想辦法去替一個不存在的問題提供解決方案,就算這問題真的存在,也只是出現在遙遠的國家或很少被使用到的應用程式商店。因此,為了澄清這些問題,底下有些數字可以幫忙讓這懷疑論永久消失。
趨勢科技的行動應用程式信譽評比服務[PDF]會主動收集和分析來自世界各地的Android應用程式。我們會給予三個領域的信譽評比分數:惡意、資源使用和隱私。底下的數字是公佈於二〇一三年三月八日,請記住,這些數字每分鐘都會向上成長……
趨勢科技分析了超過200萬個應用程式,這是個不容忽視的樣本數量,想想看整個Google Play也才大約70萬個應用程式。底下是殘酷的事實。
- 293,091個應用程式被分類為惡意,其中有150,203個被分類為高風險。在微軟的Windows上,花了十四年才達到這樣數量的惡意程式!
- 在293,091個惡意應用程式中,68,740個直接來自Google Play。而非中國或俄羅斯的應用程式商店。
- 22%的應用程式被發現會不適當地洩露使用者資料,透過網路、簡訊或電話。被洩露的資料通常包含了IMEI、ICCID、聯絡人和電話號碼。有些應用程式甚至被發現有利用麥克風和攝影機(及其他幾種類型私人資料)的資料外洩。
- 此外,32%的應用程式被評等為電池使用效率「差」,24%是網路使用效率「差」,以及28%是記憶體使用效率「差」。 繼續閱讀
