我是一名IT從業人員,也是一名身在客鄉的遊子,每年的這個時候都會随着春運大軍在網絡上搶票,12306從以前的被人噗之以鼻到今年的廣泛被業界認為是最成功的電商平台,我們一起見證了12306的成長,一起見證了中國鐵道部的成長。
今年最讓人買票人員眼前一亮的我想就是12306釋出了移動用戶端,從12月8日釋出到今天僅Android平台就有數百萬的使用者下載下傳使用,這對所有人無疑都是一個好消息,老百姓又多了一個購買車票回家的管道。
但因為工作的關系,我比較關心移動用戶端的安全問題,移動平台的安全技術和相關法律法規還遠遠沒有成熟,但滲透技術卻日新月異,這不能不讓我們對所有移動用戶端擔憂,特别是像12306這樣關系重大的應用,它不僅關系到金錢,更關系到春節是否能回家與家人團聚,我想這件事對在外漂泊的人來說是至關重要的。
我存在這樣的擔憂主要是由移動平台自身的安全隐患所決定的:
(1)據2012年的統計結果顯示,僅2012年,CNCERT監測和網絡安全企業通報的移動網際網路惡意程式樣本有162981個,較2011年增長25倍,其中約有82.5%的樣本針對Android平台,已成為移動平台第一重災區,這主要是緣于Android平台的使用者數量快速增長和Android平台的開放性。
(2) 而按照惡意程式的行為屬性統計,惡意扣費類的惡意程式數量仍居第一位,占39.8%,流氓行為類(占27.7%)、資費消耗類(占11.0%)分列第二、三位。2012年,CNCERT組織通信行業開展了多次移動網際網路惡意程式專項治理行動,所重點打擊的遠端控制類和資訊竊取類惡意程式所占比例分别較2011年的17.59%和18.88%大幅度下降至8.5%和7.4%。
(3)目前一些APP大面積被山寨,存在洩露隐私的風險,同時由于APP山寨版和正版外觀相似,要一眼分辨存在困難。其實,除了一些App被山寨外,還面臨着被破解、二次打包、資料篡改、注入等危機。
諸多安全問題都已經存在并且嚴重危害到我們的人生财産安全,但是最令人擔憂的是移動安全行業還沒有非常優秀的解決方案,目前行業内的如單一安全加強等移動安全解決方案還遠遠不能滿足移動安全的要求。
為了驗證12306用戶端的安全性,前不久我對12306用戶端進行了全面的安全評估,從代碼到結構都進行了研究,結果不容樂觀,好幾個方面都存在漏洞。但是我相信就想12306的網站一樣,這款應用也一定會越做越好、越做越安全;但作為一名安全研究人員,對12306用戶端的擔憂卻又不得不說,望有關部門重視,防患于未然。
![Android安全測試神器大全[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)