星期五, 十二月 15, 2006

病毒凶猛 全球手机噩梦将至

2006-11-30 节选自《环球科学》2006年第12期
撰文 米科许珀宁(Mikko Hypponen)翻译 郭凯声


概述/危机四伏的智能手机

◆2004年,第一款针对智能手机的恶意软件问世。新型的智能手机可以从互联网下载并安装应用软件。

◆到目前为止,已经有300多种以智能手机为攻击目标的恶意软件出笼,包括蠕虫、木马、其他病毒及间谍软件等等。

◆随着智能手机在全球范围内销售量的急剧增加,恶意软件大规模扩散的危险也越来越严重。目前,为了防止这一可怕的前景变为现实,有关方面正在采取措施,但留给我们阻挡恶意软件大举侵袭的时机不会很长,必须立即采取行动。

早在几年前,我和研究形形色色恶意软件的多位反病毒专家就料到,手机有一天会面临病毒的严重威胁,在2004年6月,这一天终于来临了。随着技术的飞速发展,手机变得越来越聪明:智能手机(smartphone)可以从互联网上下载程序,也可以通过短距蓝牙(bluetooth)通信、覆盖全球的多媒体彩信(MMS)通信和存储卡来共享程序。然而,技术的进步是把双刃剑:手机的这些新功能在造福用户的同时,也为病毒的长驱直入打开了方便之门。IT罪犯肯定会拼命寻找手机的漏洞,并利用这些漏洞大肆捣乱。恶作剧还在其次,更糟的是,有些家伙还有可能借此从事犯罪活动。

果然不出所料,那一年夏天,IT安全专家们就发现了第一款专门针对智能手机的流氓程序(rogue program)。受到感染的手机,一开机就会显示“Cabir”的字样,因此这个流氓程序被称为Cabir病毒。这是一种经典的概念论证型病毒,作者制造这一病毒的主要目的,显然是想炫耀自己高超的编程本领,而不是真的要搞破坏。该病毒感染一部手机后,便会瞒着手机主人偷偷打开蓝牙连接,把自己复制到另一部智能手机上,手机蓝牙的传输距离可达10米,这样,手机电池的电能很快就耗个精光。该病毒的匿名作者极有可能藏身于西班牙某地,还好,他本人没有让 Cabir在手机的汪洋大海中自由传播,而仅仅在网上发布。但不到两个月,其他一些不法之徒便让Cabir在东南亚出笼了,而且很快就席卷全球。

尽管我们一直都在密切关注Cabir之类病毒的动向,但IT安全行业的专家仍然有些措手不及。病毒刚一袭来,在F-Secure电脑安全公司,我和我的同事们便立即着手考察这种新的“蠕虫”病毒(参见第54页上关于恶意软件术语的介绍)。不过匪夷所思的是,我们竟然找不到一处安全的地方来研究Cabir。对于普通的电脑病毒,我们可以在一台断开网络的电脑上进行观察和剖析,这样便不用担心它感染其他电脑。然而通过无线电传播的恶意软件则不同,它无须借助网络便可到处肆虐:只要被感染的手机一开机,病毒就立即传播开来,在某些情况下甚至可以远涉重洋。

于是我们不得不带着4部感染了Cabir病毒的手机,钻进F-Secure公司办公大楼的防空地下室内,以阻断手机电波向外传播,同时,在手机开机之前,还设置了一名保安守卫在地下室门口,以防不知情的工作人员闯进来,让他的手机染上病毒。到2004年下半年,F-Secure公司专门建造了两间实验室,用铝和铜包裹得严严实实——金属外壳可以屏蔽无线电波,研究人员就可以放心考察这种传染性极强的新型恶意软件了。

相对而言,Cabir病毒的最初版本没有多大危害,某些肆无忌惮的恶意软件作者心有不甘,便迫不及待地改造Cabir病毒,使它毒性更强、破坏力更大,其他一些不法之徒则忙于编写新型恶意软件。现在,那些横行的传染病毒可以使手机完全瘫痪,或者删掉上面存储的数据,或者强迫它向高价号码不停发送收费昂贵的短信。短短两年之内,手机病毒便从最初的一种猛增至两百多种——这与1986年第一种个人电脑病毒“大脑”(Brain)现身后两年内,电脑病毒数目的迅猛增长不相上下。

尽管反病毒阵营试图全力制服电脑病毒,但恶意电脑软件仍如脱缰野马一般扩散。到现在为止,人们已鉴定出了超过20万种的电脑病毒;一台未采取防毒措施的电脑一旦上网,几分钟内就会感染病毒。电脑病毒横行IT世界已有20年,造成的经济损失与日俱增。另一方面,病毒的类型也开始转型:以前的老式恶意软件正逐渐淡出江湖,取而代之的是各种滥发垃圾邮件、窃取用户资料乃至大肆敲诈勒索的新型“犯罪软件”。

目前看来,恶意手机软件还只是令人不快的恶作剧而已,但是,如果反病毒阵营的有关各方(包括信息安全行业、手机运营商、智能手机设计师以及手机用户等)不赶快通力合作,遏制其发展势头的话,那么不出几年,后果将不堪设想,甚至比个人电脑恶意软件更加令人望而生畏。回顾个人电脑病毒在全球泛滥成灾的历史,让人不寒而栗,也为我们提供了不少宝贵的启示,有助于我们摸清手机病毒作者发起下一轮攻击的某些规律,以便及时采取措施,防患于未然。

病毒猖獗,手机遭殃

手机越先进,病毒就越容易入侵。如果手机都采用单一的操作系统,那么很容易受到病毒攻击。携带受到病毒感染的手机四处走动,病毒便会大肆攻击附近的其他手机,并相互“交叉感染”,众多手机就这样沦为病毒的牺牲品。


在电脑病毒出现两年后的1988年,许多电脑专家还认为它只不过是无足轻重的新奇玩意,成不了气候,然而非常遗憾的是,事实证明这种看法太过于天真了—— 病毒从此开始大肆泛滥。对于恶意手机软件来说,现在就是“1988年”,我们还有一些时间来采取行动,以免重蹈覆辙。

在对付电脑病毒时,我们所犯的错误之一就是低估了这个可怕的对手,没有料到它会传播得如此之快、种类会如此之多、手段会如此之高。病毒泛滥成灾的程度,与病毒潜在宿主的数量以及病毒的感染速率有关。对于恶意手机软件来说,病毒宿主就是手机,而手机队伍庞大得惊人—目前,全球手机数量已经超过20亿部,而且还在继续飙升。

当然,这些手机中的大多数还是老式手机,它们采用专用的封闭式操作系统,基本上不会感染病毒。然而手机用户中不乏追风族,不断换用最新款式的智能手机,这类手机可以运行开放式的操作系统、网络浏览器、电子邮件以及其他各种消息收发客户端软件,安装了闪存卡插槽和短距蓝牙通信装置。所有这些新功能都为恶意手机软件的传播提供了有利条件。

例如,某些手机蠕虫犹如流感病毒一样,可以借助蓝牙功能实现近距离接触传染。配备了蓝牙功能的智能手机,可以在10米乃至更远的距离内识别出其他蓝牙手机,并交换文件。手机主人带着感染了蠕虫的手机走动时,所到之处的手机都可能跟着遭殃,在他们身后留下一长串受害者。要是有什么活动吸引了大群的人围观或参与,那就更是为蓝牙病毒的传播提供了大好机会。

例如,Cabir病毒的一种特别令人厌恶的变种就非常厉害。在2005年芬兰赫尔辛基举行世界田径锦标赛期间,这种病毒在观众的手机中迅速蔓延开来,传播速度快得惊人,以至体育场工作人员不得不在大屏幕上提醒观众防范。绝大多数手机可以将蓝牙设定为“隐蔽”模式(non-discoverable mode),这样就可以将蠕虫拒之门外。但是启用了这一功能的用户却寥寥无几。2006年春季,我在一次有关电脑安全的会议上发言时,顺便作了一项小小的测试:我迅速扫描了一下会场,结果发现听众中有将近一半的专业人士敞开着自己手机上蓝牙无线装置的大门。专家尚且如此,普通用户就可想而知了。因此,蓝牙装置为看不见的手机“寄生虫”提供了一种特别有效的传播途径,格外令人担忧。

为手机病毒提供藏身之所的人群正在迅速膨胀。智能手机刚问世时,还是价格昂贵的商用机型,然而最近它已开始流行。每一代新的智能手机问世,都向电脑靠进了一步。同时,手机的新颖功能也与日俱增,越来越多的手机上安装了摄像头,具备了GPS(全球定位系统)导航能力,还可当作MP3来使用,而价格却稳步下降。2005年,手机制造商售出了大约4,000万部智能手机,而业内分析人士预计,到2009年时,将有3.5亿部智能手机投入运营使用。

在一定的时间里,在电脑保有量仍然相对较低的各新兴经济国家,智能手机的增长势头将最为迅猛。英国雷丁市附近的Canalys高科技咨询公司的研究表明, 2006年第一季度,东欧、非洲和中东的智能手机销售量增长率为西欧的两倍。业内分析人士预测,某些发展中国家可能会放弃有线互联网的建设,转而升级数字无线网络,并大力促进智能手机的发展,使它成为大家都买得起的“电脑”。这样一种无线互联网的建造和维护费用要低得多,从监管的角度来看,此类网络也更易于监控。

如果这些预测准确的话,在不久的将来,智能手机就有可能成为全球电脑的绝对主力军。众多基本上没有玩过或根本没有玩过电脑的手机用户,可能很快就会用手机上网冲浪、与他人共享文件。这会让制作恶意手机软件的黑客们喜出望外:一大群毫无戒备之心也毫无抵抗之力的猎物,正等待着他们肆意攻击!

PC病毒肆虐的历史给我们留下这样的教训:目标越大,对恶意软件作者的吸引力就越强。微软的Windows操作系统是台式电脑操作系统的绝对主流,因此台式电脑恶意软件几乎全都是冲着Windows操作系统而来的。同样,迄今为止出笼的手机蠕虫和木马所攻击的对象,几乎全是装有Symbian操作系统的手机,因为装配这种操作系统的手机占全球智能手机总数的70%左右,其中包括诺基亚、三星、索尼爱立信和摩托罗拉等名牌手机。反观微软的PocketPC掌上电脑和Windows Mobile手机操作系统、奔迈(Palm)公司的Treo系列手机,以及RIM(Research in Motion)公司的黑莓(Blackberry)系列手机,则只受到区区几种恶意软件的侵扰。在一定程度上,这一事实可以说明,为何恶意手机软件目前横行欧洲和东南亚,在北美则比较罕见,而在日本和韩国却几乎闻所未闻。欧洲和东南亚等地的手机普遍采用Symbian操作系统;而在北美的手机市场上,多种手机操作系统基本上平分秋色;日本和韩国的手机市场则是Linux操作系统的天下,而且在这两个国家,手机运营商严格限制着用户在手机上安装的应用程序类型。

面对这种形势,电信运营商应该审时度势,对手机用户进行大力宣传,让他们懂得如何识别并避开手机病毒,而不应该坐视恶意手机软件泛滥成灾。手机制造商也应该效仿个人电脑制造商,在手机上安装杀毒软件。相关管理部门和手机公司也可以发挥作用:它们应该提倡并采取措施,鼓励智能手机操作系统市场的多元化发展,避免个人电脑市场上因某种操作系统一家独大而带来的种种弊端。

从恶作剧到犯罪

如果说最初的恶意手机软件仅仅是恶作剧,那么现在的恶意软件则已涉嫌犯罪。这并非危言耸听:随着智能手机新功能的使用,种种犯罪也应运而生:诈骗、盗窃……不法之徒利用恶意软件大发不义之财。

当然,操作系统的多元化也是一把双刃剑。面对多种操作系统,恶意软件一开始可能难以应对,但它肯定会通过突变而渐渐进化出新的变种,花样翻新,对正常软件进行攻击和破坏。早期的电脑病毒就是如此,它们最终进化出了木马、蠕虫、间谍软件等新花样,最近又有所谓的“钓鱼”(phishing)软件跳出来兴风作浪。从2003年起,在个人电脑上逞凶的很大一部分恶意软件已经不再是单纯的恶作剧,而是为了捞钱。有组织的网络犯罪团伙现在已经把魔爪伸向了全球。网上窃贼通过种种犯罪软件盗窃金融资料、商业机密和电脑资源。滥发垃圾邮件的黑客把被他们黑掉的电脑拼凑成所谓的"僵尸网络"(botnet,又称波特网,指黑客通过一种或多种传播手段使大量主机感染bot——“僵尸”程序,从而形成一个受其控制的电脑群),发送不计其数的垃圾邮件和钓鱼诱饵。网上犯罪分子则对受害者大肆敲诈勒索,威胁受害公司必须交出网络买路钱,否则就要采取数字破坏或虚拟封锁等手段,关掉它们的网络服务器或邮件服务器。在有些国家,主管当局缺乏打击电脑犯罪的必要技术和资源,也缺乏铁腕推行网络执法的决心,致使网络罪犯大多逍遥法外。

随着以捞钱为目标的电脑病毒日益泛滥,类似的恶意手机软件大肆逞凶的危险性也与日俱增。不管怎么说,每打一次电话、每发一条短信或彩信,都意味着一笔金钱交易,因此黑客奸商和病毒作者从中看到了许多赚钱的机会。电脑没有内置的计费系统,但手机却有,众多不法之徒很快就会利用手机的这一功能,大敛不义之财。

其实,迄今至少有一个家伙已经得手了。这位黑客制作出一种名为RedBrowser的木马,手机在感染此木马后,将连续不断地向俄罗斯的一个手机号码发送短信,直到用户关闭中毒手机为止。每条短信都会被收取大约5美元的额外费用,因此这些倒霉的受害者将收到巨额手机话费账单。有些手机运营商要用户自己承担这些从天而降的巨额话费,拥有那个高价手机号码的网络罪犯就会坐收渔利,把大笔话费揽入自己的口袋。幸运的是,迄今为止, RedBrower仅仅在俄罗斯境内出现过。

与此同时,许多国家的手机服务商已开始推出所谓“手机钱包”(mobile wallet)的服务项目。客户只要在自己的手机上发送专门格式的短信,便可完成转账,客户还可以通过自己的手机购物。虽然这些新的业务大大方便了客户,但也成了恶意软件作者垂涎三尺的猎物。

恶意手机软件越来越狡猾,而手机的技术水平和理财功能也在不断提高。面对这样的形势,我们必须在今后几年内迅速采取必要措施,趁恶意手机软件尚未形成气候,而智能手机服务的设计也还有充分的改善余地,将恶意软件拒之于门外。

没有评论: