扩散 | 质检总局发布安全风险警示：近一半智能手机存安全漏洞

扩散 | 质检总局发布安全风险警示：近一半智能手机存安全漏洞
2017-04-17 质量与认证

针对智能手机可能存在的信息安全危害，质检总局产品质量监督司近期组织开展了智能手机（信息安全）质量安全风险监测。从市场上采集样品40批次进行了检测，结果令人堪忧！

智能手机，是指具有独立操作系统、独立运行空间，用户可以自行安装软件、游戏、导航等第三方服务商提供的程序，并通过移动通讯网络来实现无线网络接入手机类型的总称。

智能手机隐患多

用户隐私和财产安全受威胁

由于智能手机可能存在用户数据操作防护不足、操作系统不安全更新、预置应用软件收集用户隐私和耗费资费、后端信息系统信息安全漏洞等质量安全隐患，若消费者使用不当或超预期使用，可能导致个人隐私信息泄露、财产损失等严重危害。

4月16日，国家计算机病毒应急处理中心发布了一组触目惊心的数据，目前平均每天截获的智能手机新增恶意程序样本超过5万个，一年新增恶意程序样本1800多万。

2017年初，中国互联网络信息中心最新的数据表明，目前我国手机网民已将近7亿。而移动端频频爆发的恶意代码等威胁，却在日益严重地困扰着每一个手机用户的隐私和财产安全

质检总局监测

40批次手机，结果令人堪忧

问题

01

无提示  暗中收集信息 涉及知名应用软件

安全工程师首先给40批次手机样品安装了一个测试木马，检验这些手机对语音、通话、短信等数据的保护。按照《移动智能终端安全能力技术要求》规定，手机系统在遇到木马病毒或恶意程序读取用户数据时，应有一定的提示，提醒用户防范信息泄露。

测试结果显示，大多数手机在木马启动的时候，都会弹出提示框，但有9批次手机当中的相关软件在未提示用户的情况下，暗中收集手机用户的位置、通话记录等私密信息。用户对此完全不能察觉。

同时，一些手机预置应用软件也存在风险，在未提示用户的情况下，暗中收集手机用户私密信息。主要来自于游戏类、社交类、服务类以及工具类的软件，其中不乏知名应用软件。

问题

02

三成智能机云平台存漏洞 无安全标准

此次风险监测暴露出的最大漏洞，是手机云平台的风险。

目前手机都能够连接后端的云平台，实现通讯录、短信、照片等数据备份功能，以及在丢失的特定情况下定位找回、数据清除等功能。但是如果手机云平台存在安全漏洞，也就意味着智能手机不仅没能提供存储便利，反倒增加了信息泄露的途径。

测试结果显示，40批次手机中，有18批次存在安全隐患，而其中12批次就是云平台的漏洞导致，占到全部测试样品的30%。问题包括弱口令、无限次登录，权限不分离等，导致陌生用户可以随意登录他人手机云平台，进而获取短信、通讯录、图片等隐私信息。

经20名风险检测专家评估，目前智能手机信息安全风险等级为中等风险，暴露出一定的安全问题，也凸显出目前相关标准的乏力，特别是针对云平台的标准还处于缺失状态，导致智能手机信息安全监管滞后，埋下安全隐患。

提示：选购智能手机要注意这四个方面

质检总局提示广大消费者，在选购和使用智能手机时，要注意以下几点：

1

选择正规渠道购买智能手机产品，选购时应认准有入网许可证标志的产品；在互联网平台购买时，尽量选择品牌官网或者官方旗舰店，并保留购买记录、发票等有效凭证。留意权威部门发布的相关商品质量信息。

2

选购前最好选择在实体商店试用感兴趣的智能手机。在手机首次开机或者恢复出厂设置后，点击打开智能手机除拨号、联系人、相机等系统核心应用以外的预置应用，看这些预置应用是否有相应收集用户隐私的提示，在权限管理菜单中观察这些预置应用申请的权限情况和可否卸载情况。若这些预置应用有相关收集敏感隐私信息权限申请，打开应用时却无相关的提示信息，这类智能手机可能存在收集消费者隐私信息的安全问题。

3

增强对隐私信息保护的意识，在购买、使用移动智能终端产品和接受相关服务时，仔细查看相关说明和厂商声明，充分了解选购产品和服务的各项功能，注意和防范用户信息可能泄漏的风险，审慎考虑厂商收集、保存和使用用户信息的要求，根据自己实际情况和意愿做出购买和选择决定。

4

及时更新手机操作系统版本，发现异常应立即停止使用，并向生产厂商反馈，等待厂商修复。

- End -