360首席科學家、北萊羅納州大學蔣旭憲教授蔣旭憲教授

　　當前市場上的安卓手機越來越流行，不少手機廠商也因此推出了基于安卓系統的智能手機。為了尋求與別家手機的差異化，手機廠商往往會在谷歌公開的安卓源代碼的基礎上進行定制。而這也因此導致了定制手機系統而引發的一系列安全問題。

　　令人感到尷尬的是，隨著安卓系統的版本更新，系統漏洞卻并沒有減少，反而有所增加。據周亞金介紹，大約50%的漏洞由廠商定制產生，有些定制系統達到了80%。但如果安全問題是出在定制系統層面，則也不失為一件好事，如果企業能夠因此而引起重視，在出廠前將漏洞解決，用戶的手機也就更加安全。

　　在大會現場，周亞金通過大屏幕，向與會者演示了惡意程序是如何利用定制系統所帶來的漏洞，偽造接收銀行短信的過程。演示過程中，在座嘉賓看到，這些銀行短信并非真實銀行所發，而是由惡意程序偽裝而來，且銀行短信內容及發送號碼可被任意控制的，也就是說，除銀行短信外，還可偽裝成親友號碼等更多的釣魚短信，使接受用戶喪失安全警惕，因此該類漏洞所出現的惡意程序具有非常大的迷惑性。

　　結果顯示，當前手機廠商的定制會引入非常嚴重的安全漏洞。惡意軟件可利用這些漏洞來獲取系統權限，后臺靜默安裝應用以及發送釣魚短信等等。同時，在分析的手機中，64%到85%的漏洞都是由于廠商的定制所造成的。不僅如此，同一廠商的安卓手機的漏洞并不一定會隨著新型號的發布而減少。相反，新發布的手機有可能比舊型號的手機有更多的漏洞。

　　據了解，蔣旭憲教授及其移動研究人員創建的AndroidMalwareGenome Project，已發現了超過25個0-day的安卓惡意軟件家族，并向全球大約300所知名大學和公司共享了該項目的研究成果。

　　據悉，本屆互聯網安全大會由中國互聯網協會和國家計算機網絡應急技術處理協調中心（CNCERT/CC）指導，360公司主辦。本次大會除移動安全論壇外，還開設多個新興安全威脅技術、APT攻擊、軟件安全、云計算、web安全論壇、網絡犯罪與防范、基于云的數據災備恢復與存儲安全等多場專題論壇，進行為期3天的深入交流探討。