原標題：安全測試顯示近半智能手機存漏洞 云平臺風險高

智能手機與我們的生活越來越緊密，目前我國手機網(wǎng)民已將近7億,，但智能手機的信息安全問題不容忽視,。今天國家質(zhì)檢總局發(fā)布的智能手機產(chǎn)品信息安全專項風險警示顯示,，智能手機在手機系統(tǒng),、應用軟件和云平臺等方面，存在安全風險,。

手機系統(tǒng)風險 木馬暗中讀取數(shù)據(jù)

日前,，國家質(zhì)檢總局組織了一次智能手機產(chǎn)品信息安全的專項風險監(jiān)測，測試機型包括了市場上大部分高中低端的手機產(chǎn)品,，共40批次,。記者了解到，按照進網(wǎng)標準要求,，手機系統(tǒng)在遇到木馬病毒或惡意程序讀取用戶數(shù)據(jù)時,，應有一定的提示，提醒用戶防范信息泄露,。那么這些最新的智能手機,，系統(tǒng)的安全性能會怎么樣呢？工程師隨后在多款智能手機上都安裝了一個測試木馬,，檢驗這些手機對語音,、通話、短信等數(shù)據(jù)的保護,。

測試發(fā)現(xiàn),，大多數(shù)手機在木馬啟動的時候，都會彈出提示框,，但個別手機卻毫無動靜,，任由測試木馬暗中讀取隱私數(shù)據(jù)。

應用軟件未經(jīng)提示暗中收集用戶信息

工程師透露,，除了手機系統(tǒng)本身的安全防護要求,，目前的進網(wǎng)標準還對預置軟件提出了安全提示等要求。記者了解到,，存在于手機當中的各類應用軟件都會因功能需要,，要求獲取用戶的相關權限。比如地圖軟件需要獲取位置信息,，聊天軟件要求獲取通話記錄信息等等,，按照要求，獲取涉及用戶隱私的這些信息必須要經(jīng)過用戶同意。

工信部電子五所質(zhì)檢中心工程師 李樂言：提示有文字圖片或者一些按鈕,，比如彈出一個對話框,，這個對話框會告知收集你的位置，或者是聯(lián)系人,，或者是圖片信息,，如果你不點確認的話，它是不會再收集你的信息的,。不符合的話是打開應用的時候,，用戶看不到提示內(nèi)容。

工程師隨后對所有手機樣品進行了測試,，在專門的測試軟件監(jiān)控下,，總共40批次手機樣品中，發(fā)現(xiàn)有9批次手機當中的相關軟件在未提示用戶的情況下,，暗中收集手機用戶私密信息,。

近半智能手機存漏洞 云平臺風險高

經(jīng)過對手機系統(tǒng)安全和預置應用安全的相關測試，工程師都發(fā)現(xiàn)了存在風險的手機產(chǎn)品,。而在隨后進行的智能手機后端云平臺系統(tǒng)的安全測試中,，工程師發(fā)現(xiàn)，云平臺對用戶身份鑒別和權限控制方面的安全風險,，是最主要的安全隱患所在,。

工程師告訴記者，智能手機的后端信息系統(tǒng),，也就是人們所說的云平臺。隨著手機智能化的提升,，目前手機都能夠連接后端的云平臺,，實現(xiàn)通訊錄、短信,、照片等數(shù)據(jù)備份功能,，以及在丟失的特定情況下定位找回、數(shù)據(jù)清除等功能,。但是如果手機云平臺存在安全漏洞,，也就意味著智能手機不僅沒能提供存儲便利，反倒增加了信息泄露的途徑,。

李樂言：云平臺連接了大量的智能手機,，如果云平臺出現(xiàn)問題，這些手機存儲在云平臺的數(shù)據(jù),，或者和云平臺建立的連接如果被惡意分子利用,，將導致大面積的信息泄露。

云平臺對密碼強度要求低 安全風險高

那么，目前智能手機云平臺會存在什么樣的安全漏洞呢,？記者了解到,，守護智能手機云平臺安全門檻的，首當其沖的一個要素就是身份鑒別,，也就是云平臺對密碼強度的要求,。

工程師告訴記者，符合測試要求的智能手機會在云平臺注冊時,，提示不能使用簡單或連續(xù)的數(shù)字作為密碼,。隨即進行的測試顯示，工程師使用123456作為密碼注冊時,，部分智能手機立即彈出提示框,，提示密碼不能使用連續(xù)的字符。但是部分智能手機卻沒有提示密碼強度,，工程師用記者的手機號碼在一個云平臺注冊時,，用簡單的密碼就通過了身份驗證。

記者發(fā)現(xiàn),，用簡單的連續(xù)數(shù)字,，或者用666888等重復性數(shù)字測試時，多款智能手機的云平臺都能夠注冊成功,。工程師透露,，用這樣的簡單密碼面臨最大的風險，就是容易被黑客破解,，造成個人隱私的泄露,。工程師隨后用暴力破解軟件對10余位志愿者的手機號進行了密碼分析，發(fā)現(xiàn)有3個志愿者都使用了簡單的123456的云平臺密碼,，導致其存儲在云平臺的個人信息,，輕易地就被工程師獲取到。

云平臺對權限控制弱 信息易泄露

工程師告訴記者,，關乎智能手機云平臺安全的,，除了身份鑒別的因素，還有一個重要因素,，就是權限控制,。

工程師告訴記者，一個云平臺如果能夠做到控制權限,，會對所有手機用戶的權限請求進行驗證,，并會發(fā)送驗證碼到手機上，驗證是否為本人操作,，以保護用戶的各種私密信息,。而在測試中記者發(fā)現(xiàn),，在工程師嘗試通過數(shù)據(jù)包獲取一個志愿者的位置信息時，部分智能手機的云平臺竟然沒有向志愿者手機發(fā)送驗證,，輕易地就允許了陌生用戶的請求,。工程師在全國范圍內(nèi)征集了十余名使用相同手機云平臺的志愿者，在獲取地理位置的測試中,，一一輸入了這些志愿者的手機號碼,，記者看到，僅僅一秒鐘之后,，測試工具就將這些志愿者的所在區(qū)域以明文形式顯示出來,。

經(jīng)過大量測試，總共40批次智能手機當中,，共發(fā)現(xiàn)18批次的產(chǎn)品存在不符合項,，占比高達45%。涉及的項目包括智能手機的后端信息系統(tǒng),、預置應用軟件安全等,。最后，經(jīng)過20名風險評估專家的分析和打分,，此次智能手機的信息安全風險等級被評估為中等風險,。

安全漏洞六成以上問題出在云平臺

記者發(fā)現(xiàn)，沒有標準和規(guī)范要求的云平臺信息安全,，暴露出的安全漏洞明顯要多于其它項目,，在不符合監(jiān)測要求的18批次智能手機中，12批次問題集中在云平臺,。專家建議,，針對智能手機的安全標準建設要加快日程，以保護信息安全,。