近日360手機(jī)精靈、豌豆莢、騰訊手機(jī)助手等多款安卓(Android)手機(jī)管理軟件曝出安全漏洞，在公共WiFi環(huán)境下，安卓手機(jī)用戶可能會(huì)被處于同一網(wǎng)絡(luò)的攻擊者盜取所有個(gè)人隱私信息，金山安全中心分析認(rèn)為，這 是目前為止國(guó)內(nèi)最嚴(yán)重的智能手機(jī)安全風(fēng)險(xiǎn)，金山網(wǎng)絡(luò)發(fā)布橙色安全預(yù)警，提醒廣大安卓用戶盡快升級(jí)軟件程序修復(fù)漏洞。

　　危及數(shù)千萬(wàn)用戶

　　隨著移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，手機(jī)管理軟件幾乎已經(jīng)成為智能手機(jī)的必備工具。它主要是方便智能手機(jī)與電腦之間的內(nèi)容同步，用戶通過(guò)該軟件，可在電腦中直接管理手機(jī)中的通訊錄、短信、照片、視頻、音樂(lè)等個(gè)人信息，也可以直接為手機(jī)安裝應(yīng)用程序和游戲等。

　　金山網(wǎng)絡(luò)安全專家李鐵軍介紹，這類軟件主要通過(guò) FTP 服務(wù)來(lái)管理手機(jī)文件，但如果技術(shù)實(shí)現(xiàn)存在漏洞，就會(huì)導(dǎo)致在同一網(wǎng)絡(luò)下的計(jì)算設(shè)備均能夠登錄 FTP 訪問(wèn)該手機(jī)。比如 在咖啡館、商務(wù)辦公場(chǎng)所、機(jī)場(chǎng)等公共WiFi網(wǎng)絡(luò)環(huán)境中，攻擊者 不經(jīng)允許就可以惡意訪問(wèn)、上傳、下載或篡改、刪除手機(jī)信息，包括手機(jī)內(nèi)存、存儲(chǔ)卡中的照片、短信、聊天記錄、電話錄音、視頻以及其他文檔等個(gè)人隱私。

　　截至 2011 年第三季度，中國(guó)網(wǎng)民擁有的安卓手機(jī)總量約 2500 萬(wàn)臺(tái)，超過(guò)蘋(píng)果 iPhone ，成為最大的國(guó)內(nèi)智能手機(jī)平臺(tái)。此外，由于安卓平臺(tái)開(kāi)源開(kāi)放、價(jià)格較低，安卓手機(jī)正處于高速爆發(fā)的時(shí)期。上述三款手機(jī)管理軟件覆蓋國(guó)內(nèi)約 80% 的安卓用戶，因此該 WiFi 漏洞可能影響數(shù)千萬(wàn)安卓用戶，是目前為止國(guó)內(nèi)最嚴(yán)重的智能手機(jī)安全風(fēng)險(xiǎn)。

　　360 手機(jī)精靈危害最大

　　由于影響較大，該風(fēng)險(xiǎn)引發(fā)了安全機(jī)構(gòu)的極大重視，金山安全中心對(duì)此進(jìn)行了專門(mén)的技術(shù)分析，并發(fā)布了研究報(bào)告。報(bào)告顯示，在這三款軟件中，360手機(jī)精靈帶給手機(jī)用戶的安全威脅最大。

　　據(jù)分析， 360 手機(jī)精靈也是通過(guò) FTP 服務(wù)來(lái)管理手機(jī)文件，但是它的 FTP 用戶名、密碼是沒(méi)有經(jīng)過(guò)加密的明文保存在程序配置文件中，該密碼固定不變。而且，該 FTP 的登錄也并未限制客戶端，也就意味著，除了用戶自己連線的電腦外，其他電腦或者手機(jī)也可登錄該 FTP 訪問(wèn)該手機(jī)。

　　此外， 360 手機(jī)精靈目前通過(guò) 360 安全衛(wèi)士捆綁推廣，用戶的電腦和手機(jī)在沒(méi)有得到明確提示的情況下被靜默安裝，并默認(rèn)開(kāi)機(jī)自啟動(dòng)。由于 360 安全衛(wèi)士擁有接近 4 億的電腦用戶，覆蓋國(guó)內(nèi)超過(guò) 80% 的網(wǎng)民，因此 360 手機(jī)精靈帶來(lái)的安全風(fēng)險(xiǎn)應(yīng)該引起所有網(wǎng)民和智能手機(jī)用戶的極大重視。

　　與 360 手機(jī)精靈相比，騰訊應(yīng)用助手雖然也存在安全風(fēng)險(xiǎn)，但騰訊應(yīng)用助手不使用固定的訪問(wèn)用戶名、密碼和端口號(hào)，也不使用 FTP 協(xié)議，而采用較安全的 Socket 方式，有動(dòng)態(tài)驗(yàn)證，因此風(fēng)險(xiǎn)較小。

　　程序升級(jí)后仍存風(fēng)險(xiǎn)

　　目前，這三款軟件在發(fā)現(xiàn)漏洞之后均進(jìn)行了升級(jí)。但金山安全中心分析發(fā)現(xiàn)，即使升級(jí)之后，360手機(jī)精靈提供的新解決方案仍然存在較大的安全風(fēng)險(xiǎn)。

　　360 手機(jī)精靈新版本僅僅對(duì)訪問(wèn)手機(jī)的電腦IP進(jìn)行了過(guò)濾限制，只允許用戶自己的電腦通過(guò)USB數(shù)據(jù)線訪問(wèn)手機(jī)。但金山安全中心分析顯示，360手機(jī)精靈提供的FTP服務(wù)還存在，用戶名、密碼仍然能夠被攻擊者獲取，然后通過(guò)用戶電腦作為跳板訪問(wèn)其手機(jī)。

　　豌豆莢升級(jí)后關(guān)閉了在WiFi環(huán)境下管理手機(jī)文件的功能來(lái)避免漏洞的風(fēng)險(xiǎn)，但豌豆莢使用的WiFi連接驗(yàn)證碼是固定的，仍然存在一定風(fēng)險(xiǎn)。騰訊應(yīng)用助手升級(jí)后只有輸入動(dòng)態(tài)驗(yàn)證碼才能訪問(wèn)手機(jī)，相對(duì)以上兩者都更加安全和完善。

　　倡議構(gòu)建手機(jī)管理安全標(biāo)準(zhǔn)

　　李鐵軍表示，手機(jī)管理軟件確實(shí)為廣大智能手機(jī)用戶帶來(lái)了極大的便利，使得用戶可以通過(guò)電腦便利地管理手機(jī)信息，但是便利性不能以犧牲用戶數(shù)據(jù)安全為代價(jià)。

　　專業(yè)機(jī)構(gòu) LookOut 調(diào)查顯示， 97% 的手機(jī)用戶認(rèn)為個(gè)人隱私最重要。尤其使用智能手機(jī)，其中得到的個(gè)人隱私信息更多，如果泄露，隨時(shí)會(huì)給個(gè)人生活帶來(lái)非常大的麻煩，甚至引發(fā)“艷照門(mén)”、敲詐門(mén)等更大的安全風(fēng)險(xiǎn)。

　　金山網(wǎng)絡(luò)提醒安卓手機(jī)用戶盡快升級(jí)軟件，或者更換更為安全的手機(jī)管理軟件。同時(shí)建議軟件廠商在做技術(shù)方案時(shí)要充分考慮用戶數(shù)據(jù)安全問(wèn)題，軟件通過(guò)升級(jí)可以很快修復(fù)漏洞，但是給用戶已經(jīng)造成的傷害卻難以彌補(bǔ)。金山網(wǎng)絡(luò)倡議手機(jī)管理軟件廠商建立技術(shù)交流機(jī)制，共同構(gòu)建相關(guān)技術(shù)標(biāo)準(zhǔn)，推動(dòng)中國(guó)移動(dòng)互聯(lián)網(wǎng)健康發(fā)展。