智慧型手機成資安重要議題

RIM曾進行過14款手機的修補，共費時近200日才與500餘家合作電信業者完成測試。法新社

隨著智慧型手持裝置的銷售數量日益增加，雖然目前尚未成為惡意軟體的首要攻擊目標，但仍有跡象顯示手持裝置資安的未來重要性。尤其在愈來愈多的企業要求員工必須配備智慧型手持裝置，如房仲業透過iPad提供房價即時查詢，並利用push mail讓企業與員工保持隨時隨地的聯繫關係，更是基本功能。

目前有愈來愈多的企業架設私有雲，讓員工隨時隨地只要能上網，就可使用企業提供的軟體或資料庫服務。但如此一來，也讓網路犯罪份子有機可乘，其中又以目前最流行的手機作業系統Android為最主要的鎖定目標。

手機近年來受到的安全威脅愈來愈多，除了透過簡訊、多媒體簡訊、電子郵件、網頁瀏覽、藍牙、記憶卡等途徑傳播外，更有高達40%的應用軟體有安全威脅。網秦科技(NetQin)國際業務副總裁周遠指出，手機病毒軟體在過去幾年以等比級數方式快速成長，2010年新增手機病毒已高達1,700種，遠高於2009年的400多種，至今累計手機病毒已達2,500種。

事實上，2010年包括美國及大陸等地，都曾爆發大規模的手機病毒感染事件，如2010年底大陸出現「惡靈古堡」簡訊病毒，超過150萬手機用戶受到感染，駭客藉此大量發放廣告簡訊，造成用戶損失大筆簡訊費用；2010年7月美國則爆發Carrot Tip Calculator病毒，用戶下載計算小費的應用程式後，每隔1小時就會將用戶簡訊上傳到指定的電子郵件信箱，導致個人隱私資訊嚴重洩漏。

智慧型手機漏洞　成不法份子新目標

值得注意的是，儘管資安研究單位不斷向手機大廠示警，如白帽駭客研究機構TEHTRI-Security在2010年便已發現RIM、蘋果、Google的手機存在缺陷，駭客可使用惡意網路代碼癱瘓手機，但各手機廠商得知此訊息之後的態度，反應不一。

據研究機構創辦人暨執行長Laurent Oudot指出，Android的缺陷，可讓駭客針對Gmail應用程式，進而癱瘓瀏覽器應用程式，並於舉辦的黑帽駭客大會中簡略分享攻擊代碼，但並將公開攻擊代碼公開發布在網路上，僅希能藉機吸引開放式社群投入Android作業系統的修補工作。

Oudot在2010年初，亦曾將類似的資訊傳達給RIM，雖然RIM認為發生資安問題的風險並不高，但仍是該公司必須面對的問題，因此決定修補14款手機，沒想到的是，居然費時近200日才與500餘家合作電信業者完成測試，終於在2011年1月11日發布修補建議。包含本次在內，RIM僅發生過3次資安修補問題。

而Android的最大特色由於是採用開放策略，任何人都可為Android系統寫程式，並在不受審核的情況下發布，自然也讓病毒有散布的機會。如Google在3月初就將Android Market裡由Myournet所上傳的21款Android App下架，就是因為這些軟體有些會企圖root Android 手機、有些會將手機中的通話相關資料，甚至包括IMEI碼偷偷上傳，有些軟體甚至會在手機中裝上後門程式，以規避使用者額外設置的密碼。

甚至有些軟體本來是付費軟體，卻在重新上傳後，成為免費軟體，許多人不疑有他，還以為撿到便宜，就在不知不覺中掉入陷阱。而且Google雖然在Android Police回報後，在5分鐘內就將這些軟體下架，但下載數仍已經超過50,000次。

更可怕的是，Google本來還特別提供了1個名為Android Market Security Tool的工具，來清除這些惡意軟體對手機所做的修改，進而防止手機在感染惡意軟體後，將手機中的重要資訊上傳給不法份子。結果這些歹徒居然也將Google開發的反木馬工具，變成了木馬化應用程式。這個被稱為AndroidOS_BGSERV.A的軟體，不但會蒐集手機中的相關資訊，再傳送到1個遠端的網站，還會不經使用者允許就執行某些功能和動作，包括修改通話紀錄、攔截或監控訊息，以及下載影片，可見手機惡意軟體的可怕程度，絕對不輸給個人電腦的惡意軟體。

事實上，相較於PC用戶對下載軟體已有基本戒心，由於智慧型手機用戶尚未建立起相同習慣，也讓中毒的可能性大增。賽門鐵克也認為，Android系統的開放性，以及搭載裝置的龐大數量，使其更容易成為惡意軟體下個攻擊目標。

手機資安的問題，也因為愈來愈多的社交網站都已經推出多平台移動設備用戶端，而變得更加嚴重。因為這些移動設備端的安全防禦，也比PC端要差很多。加上咖啡廳、機場、旅館等公共場所所提供的無線網路安全問題，讓網路犯罪份子可以利用的攻擊管道，變得愈來愈多。

行動支付誘因大　駭客蠢蠢欲動

而手機與錢包的整合支付應用，如Square與Intuit的GoPayment，可透過外接讀卡機，支援手機刷卡交易；PayPal用戶則可透過應用程式，連線不同手機進行轉帳；許多大型金融機構也已推出應用程式，提供手機銀行服務，雖然讓智慧型手機應用更加方便，但也可能成為網路犯罪份子鎖定的目標，也因此可能拖緩行動支付應用的發展速度。

其實在過去，就曾有不法份子透過掃描方式，攔截手機訊號，並複製手機辨識碼，進而利用他人門號通話，卻無須繳納任何費用的案例。因此不法份子想要利用智慧型手機本身或傳輸資訊的漏洞，竊取行動支付資訊，並非痴人說夢。

金融機構Celent也指出，2009年有1,200萬人啟用手機銀行服務，推估2010年手機銀行用戶將成長5成，上探1,800萬名。而根據市調機構IE Market Research統計，2009年全球行動支付交易額達374億美元，用戶數達3.51億名，預估2014年的行動支付交易規模將超越1兆美元，全球用戶將上探10.6億名，複合年均成長率高達20.5%，為2009年產值的30倍，這麼大的誘惑，要叫不法份子不關切都難。

此外，金融機構提供的應用程式亦可能存在安全漏洞，如華爾街日報(WSJ)就曾報導，富國銀行(Wells Fargo)、美國銀行、摩根大通(JPMorgan Chase)與PayPal提供的應用程式存在缺陷，手機用戶若是透過應用程式登錄銀行帳戶，一旦手機遭竊，不肖人士便可輕易取得用戶的銀行帳戶名與密碼，引發一波應用程式修補潮。

反手機病毒　資安商機湧現

雖然Google推出的Android 2.3版本已修復這些漏洞。但目前已經採用Android 2.3的手機並不多，而使用中的Android手機也不見得能升級，也讓智慧型手機反病毒軟體市場出現商機。

如摩托羅拉行動(Motorola Mobility)在去年底就購併新創業者Three Laws Mobility(3LM)，藉此增添Android手機的資安功能。3LM是由2名前Google Android開發團隊員工於2010年7月所創立，專門設計提升Android平台資安功能的軟體。

網秦科技也與索尼愛立信(Sony Ericsson)合作，免費提供Android手機X10、X10 mini、X10 mini pro、X8用戶手機防毒及通訊管家軟體，提供防毒及防盜功能，並有完整的來電管理、私密空間通訊保護等功能。

據了解，網秦目前已提供Symbian、Windows Mobile及Android等平台的手機資安解決方案，另外也與中國移動合作，針對聯發科平台的功能手機提供安全防護，在大陸市場的佔有率高達64.8%，預計2011年底前也會正式與中國聯通及中國電信合作，同時也將積極擴張海外市場。

趨勢科技也已推出「Android手機資安防護」，並已進駐Hami Apps供中華電信Android手機用戶免費下載，提供手機通話攔截、垃圾簡訊過濾，以及運用趨勢SPN(Smart Protection Network)網站評等技術的網站過濾、掃毒等功能。

賽門鐵克也已在智慧型手機、平板電腦提供防護軟體，支援包括Android、Windows Mobile、Symbian、BlackBerry與iOS等平台，企業應用方面更結合身分認證、裝置管理、加密工具，讓企業可控管員工使用的智慧型手機或平板電腦。

手機遺失　影響資安

手機遺失的管理問題，也是資安重要議題，許多名人的照片就是因此而流入市面，對個人名譽造成重要影響。據了解，美國每年有200萬台智慧型手機遭竊，而有80%用戶在手機中儲存個人資訊，更有24%用戶儲存銀行資訊，如何讓用戶在遺失手機時，能迅速尋獲或是遠端遙控鎖定或刪除重要資訊，也是手機資安的重要趨勢。

如蘋果提供的Mobile Me服務，就可以提供用戶上述功能，趨勢科技也已在iPhone、Android平台分別推出免費的網頁信譽評等(WRS)應用軟體；賽門鐵克則是推出「諾頓無所不在計畫(Norton Everywhere)」，先推出Norton Security for Android，提供簡訊過濾、檔案與應用程式下載掃毒、遠端資料刪除等保護功能，及防止惡意網站連結的Norton DNS。

2011年肯定將是非主流作業系統、程式與瀏覽器的漏洞遭受更多攻擊的1年，而針對應用程式漏洞所設計的病毒或惡意軟體數量，也將大幅成長。趨勢科技技術長Raimund Genes也指出，中國大陸的惡意軟體開發者，甚至已有自己的應用程式商店(App Store)，用來發布惡意軟體。Genes預估，手機惡意軟體將會在2012年大量爆發。

智慧型手機的普及，加上雲端運算和虛擬化，雖然能為企業帶來大量工作效益，進而節省成本，但也因為將伺服器外移到企業的安全環境之外，讓網路犯罪者有更大的發揮空間，不管是企業用戶、手機業者及平台設計者，都應該戒慎恐懼，攜手共同面對這項威脅。