360首席科学家：主流定制手机平均含20个安全漏洞

日前，在中国互联网安全大会移动安全分论坛上，360首席科学家、北莱罗纳州大学蒋旭宪教授表示，当前主流定制手机中，平均每款含有20个漏洞，黑客可以借助这些漏洞伪造欺诈短信，并窃取手机用户隐私，而目前，约有70%的Android手机漏洞是由厂商定制引起。

蒋旭宪介绍，他与其360移动研究人员对当前国内外9个主流安卓手机厂商，包括三星S4在内共20多款主流手机进行测试研究，结果发现，这些参测手机无一幸免全部含有漏洞，而且每款手机漏洞数量惊人。

研究发现，这些漏洞的主要类型为欺诈短信和签名漏洞，即欺诈漏洞一旦被黑客利用，可造成恶意程序伪造银行短信等欺诈行为，而签名漏洞更加可怕，使黑客可在不破坏数字签名的情况下篡改任意应用。大会上，蒋旭宪及其研究人员周亚金还针对黑客如何利用短信欺诈漏洞伪造银行短信进行了现场演示，并针对此案例进行了深入剖析。

会议中研究人员表示，针对短信欺诈漏洞，虽然安卓4.2版本的原生系统已得到修复，但是由于相当数量的厂商开始定制系统，在修复了一些原生代码漏洞的同时，导致短信欺诈漏洞再次作为新漏洞被引入。即厂商的定制系统可能带来比原生系统更多的漏洞。

而接下来大会现场展示的的一组研究数据，令人对定制手机系统给的安全感到担忧。当前一款主流定制手机被预装应用及插件数量最多达到190款，手机的定制程度高达70%;同时在内置应用中80%拥有过度申请权限;由厂商定制引起的漏洞占到全部漏洞的70%。研究结果还发现，漏洞次数出现最多的为HTC、三星，最少的为Google、索尼。蒋旭宪在大会上号召，安卓手机安全需要生态链各方的共同维护。