早在“七夕”当天，超级手机病毒“**神器”突然大规模蔓延，群发500万条诈骗短信，按每条短信0 .1元计算，相当于造成中招手机用户50万的话费损失。而“**神器”的制作者李某只是某大学软件系大一学生，这一蔓延全国、造成巨大经济损失的手机病毒事件，为近期愈演愈烈的智能手机安全问题再蒙一层阴影。据猎豹移动上半年安全数据报告显示，2440万个安卓应用样本有215万个病毒，是2012全年的20 .5倍。也就是说，10个应用里有1个是病毒。360安全专家万仁国告诉记者，“安卓手机开发门槛低，恶意软件制作成本低，这种安全威胁不在少数。”与此同时，信息安全问题也再次被提上日程，小米手机日前被曝主动向北京服务器发送用户号码及相关信息，小米手机开头并未承认，而此后，亦是轻描淡写地宣称“已经修复漏洞”。

第三方下载市场是重灾区

    比起只能接收短信、电话通讯的功能机，2010年开始大爆发的智能手机拥有更多延伸功能，无论在操作体验还是应用范围都有了质的飞跃，受到的安全威胁亦更加严峻。万仁国告诉记者，“功能机时代的危害主要是单纯的诈骗、垃圾短信电话等通信安全，传播性及破坏性较弱；而智能机时代则增加了手机系统安全、隐私安全、手机应用安全等安全威胁。”

    与此同时，相比安卓智能手机，iO S系统安全性则受到各大安全厂商的认可。“今年媒体报道的iO S系统窃取并上传用户信息的新闻个人觉得未经证实，不能作为判断依据。iO S作为封闭市场，应用安全性明显好于安卓系统。”猎豹安全专家李铁军如是表示。据卡巴斯基安全实验室数据显示，98%的智能手机病毒发生在安卓手机市场上。

    尽管各大安全厂商统计口径及样本选取不同，但主要安卓威胁分析基本一致：主要的威胁来源是手机论坛及第三方下载市场，类似于“**神器”这种“点对点”的A PK传播相对少数；主要表现为短信木马、广告软件和获得root权限，窃取上传用户数据，其中，用户数据最易受到攻击；主要的类别是恶意付费类、资费消耗类以及窃取隐私。

    不同于iO S的应用下载官方渠道，安卓可以通过第三方市场下载，而在没有googleplay的中国市场，这个问题则更甚。“第三方下载市场审核不严，没有制度保障，是病毒重灾区。60%的病毒来源于此。”李铁军认为，第三方下载市场应该通过联合设立黑名单的形式强化制度保障。“不能一个恶意软件换个名字，在另一个下载市场又通过审核。”

手机网银病毒增长最快

    “值得关注的是，随着手机购物和手机支付应用的快速发展，以盗窃用户网银信息为目的的手机木马病毒开始兴起。”卡巴斯基移动安全部负责人徐新华告诉记者，2013年底，以窃取手机网银授权码为目的的变异病毒ZeuS在欧洲蔓延，盗取金额达4700万美元。李铁军补充说，“这种盗取验证码的病毒是今年增长最快的恶意软件。”上半年的病毒样本中，64%的病毒是支付及恶意扣费类，而类似于“**神器”的资费消耗类则降为17%。

    腾讯安全2014年上半年报告称，“目前手机支付病毒一般通过两种智能化的方式抢劫用户资金。首先，通过伪装银行、支付类A PP诱导用户输入银行账号密码信息，然后再通过病毒拦截、转发手机支付验证码、支付成功回执短信完成资金的窃取。”

    同时，手机网银客户端的盗版问题同样严重。据《2014年第二期中国移动[1.99%]支付安全报告》显示，手机网银客户端软件均存在盗版现象，个别客户端甚至有20个以上不同的盗版版本，这客观上又增加了手机安全的潜在威胁。李铁军认为，银行应该与安全厂商合作，通过签名校验或加固处理等形式，提高盗版软件篡改的难度。

数据上传的“红与黑”

    “数据上传是把双刃剑，可以方便我们信息保管，例如微信，云端存储聊天内容，方便我们查询信息，但一旦被窃取并恶意利用，同样也会对用户造成伤害。”徐建国并不否认数据读取及上传对软件功能的辅助作用，但很多应用过度读取信息，杀毒软件则以“必要与否”判断是否为恶意软件。“比如手电筒A PP就没必要读取用户地理信息及通讯录，甚至上传数据。”


    但“必要性”的界定如此模糊，更多时候需要法律的监管。“政府加强立法监管，一方面从源头治理隐私倒卖产业链，另一方面在应用分发渠道层层设岗。”徐建国如是表示。

    “窃取用户信息的基本判断条件是：用户是否具有知情权及选择权。”广东人和律师事务所律师李军红告诉记者，目前没有专门的法律保护用户隐私，但用户可以运用《民法通则》的规定来，运用举证责任倒置的原则来厘定是否非法。“用户即使没有因为信息泄露而造成损失，倘若用户不知道其个人信息被利用造成商业利益，同样被视为非法。”同时，李军红还表示，如果操作系统不是人为故意造成系统漏洞，则视为技术问题无需负相关责任。