(1)网络层面临的安全问题分析
移动互联网具有的网络开放性、IP化以及无线传输的特性,使安全成为其接入网以及核心网面对的关键性问题之一。但是受限于现有技术能力,移动互联网尚缺乏对隐藏在所传输信息中的恶意攻击进行识别与限制的能力。按照攻击的方式,移动互联网的网络面对的威胁方式有窃听、伪装、破坏完整性、拒绝服务、非授权访问服务、否认使用/提供、资源耗尽等。
(2)应用层面临的安全问题
移动互联网带动了大批具有明显个性化特征,并且带有移动特色的创新型和融合型移动应用的快速发展。这类移动互联网应用一般都具有很强的信息安全敏感度,拥有如用户位置、通信录及交易密码等用户隐私信息。按照通行的分类方法,移动互联网应用面临的安全威胁(来源:保密科学技术,2014(3))主要包括SQL注入、分布式拒绝服务(DDOS)攻击、隐私敏感信息泄漏、移动支付安全威胁、恶意扣费、恶意商业广告传播、业务盗用、业务冒名使用、业务滥用、违法信息及不良信息等。在内容安全方面,还面临着非法、有害和垃圾信息的大量传播,严重污染了信息环境。
有10%被核查APP存在篡改手机号行为。通过篡改用户手机号,在他人手机上显示任意号码,能让人对各类电信诈骗犯罪虚构的事实信以为真,是通信信息诈骗的重要环节。12321举报中心截至2015年年底共下架处置改号软件34款。还有8%被核查APP存在滥发短信息以及恶意发送大量短信给他人行为。2015年12321举报中心共下架处置短信轰炸类APP25款。5
(3)移动互联网应用平台软硬件漏洞
此外,移动互联网应用平台由于软硬件存在的漏洞,也极易受到来自外界的攻击。
截至2015年,网络不良与垃圾信息举报受理中心共接到来自移动应用软件举报72.8万件。根据上海市信息安全测评认证中心数据显示,截至今年8月,测评中心接受送检的31款移动应用软件中,共发现安全漏洞302个,逾七成为中高风险漏洞,其中数据泄露类漏洞达25%。“近半的安全漏洞发生在软件设计阶段。”
(4)应用提供商缺乏移动应用软件的安全防护意识
而另一方面,由于进行安全防护将会给应用平台带来附加的检测支出,且不会带来额外收入,导致应用提供商通常缺乏为用户提供安全防护的意愿。
王嘉捷表示,在移动安全方面从产业的角度来说,在产业开发运行上一些开发者的安全意识还比较淡薄,造成很多应用程序安全无保障。
在许传朝看来,由于各方防范意识较薄弱,骗子通过各种钓鱼软件、恶意APP等获得的信息更加全面,目前已形成了集团化产业化运作。
(5)移动APP市场审核不严,缺乏监管
王嘉捷还表示审核不严也是一个问题。目前国内有300多家应用市场,不仅应用发布门槛较低,大量恶意应用还提供了便捷服务,导致恶意APP市场野蛮生长;此外,对应用市场也缺乏相应有效的监管和有力的措施。
