整理时间：2011-9-7

<wbr></wbr>

采访方式

电子邮件

采访者

林斐（IT时报记者）

采访时间

2011-9-7 13:00

采访对象

江海客（肖新光）

采访内容

记：IT时报记者林斐。

Seak：安天首席技术架构师 肖新光 的ID。

<wbr></wbr>

记：在你CERT年会报告中提到了“移动互联网Gn 口病毒传播”，Gn口指的是？

seak：Gn口是一个术语，相对官方解释是同一个运营商内部SGSN和SGSN或者SGSN和GGSN之间的接口，GGSN是网关GPRS支撑节点（Gateway GPRS Support Node）的缩写，SGSN是GPRS服务的支撑节点（Serving GPRS Support Node）缩写，当然如果这样解释起来术语越解释牵出的术语就会越多，简单来说，你可以这样理解，实际上G就是GPRS的意思，n就是节点（node）意思，可以把它看成依托于GPRS通讯上层使用TCP/IP协议进行格式组织的接口，它是能够让移动通讯网络与传统的互联网体系进行对接的偏上层通讯接口。

记：“Java opcode代码使得反编译结果相当 ‘美观’” <wbr>美观是指的什么意思？？</wbr>

seak：实际上我们拿到的产品一般情况下并不是它的开发源码，而是源码经过编译或者伪编译后的2进制结果，目前很多手机恶意软件或者恶意应用的作者的常见手法是，通过找到合法软件，再把它逆向工程成源代码，再把自己的恶意代码模块、或者提权代码插进去，之后重新编译为发布软件，在作为原来产品的破解版或同功能产品等进行传播。这个和PC下也是有所不同的，PC下的主流编译器（如VS）的反编译结果一般不具备的可直接利用价值，因此恶意代码嵌入多是以破解器、汉化等方式。但在手机上，由于其机制和环境的不同，反编译非常容易，病毒作者采用直接源码级结合的方式则比较普遍，而他这个工作是否顺利往往取决于反编译工具的效果，当前对JAVA的反编译的技术是比较成熟的，一些反编译工具所反编译出来的代码，不仅具有直接可用性而且可以按照规范的编程风格来整理代码。所谓美观就是这种反汇编出来的代码的风格规范，可读性好。

<wbr></wbr>

记：在你报告中，手机恶意代码规模中提到了家族的概念，Android家族47个，家族是什么意思？

seak：病毒家族的术语语汇也是family，反病毒工作者按照某种聚类方法把可能存在关联的病毒放在一起进行评价和统计，能根据这些方法聚合在一起的样本就组成家族。早期家族评价的方法是同一个人、同一个作者集团或者同一套代码的基础上进行修改的所生成的具有基因关联的聚合为同一类恶意代码，但随着恶意代码规模的不断膨胀，完全的判定恶意代码样本的基因关联比较困难。因此也引入了共同的行为、共同的危害对象等这种关联也可以作为一种家族统计，我们依托相关方法把android平台的数千种样本进行相关聚类方法的组合，最后把现有样本概括成47个家族的聚类，当然这个数量会随着恶意代码数量的膨胀，和我们聚类方法的更新发生不断地变化。

<wbr></wbr>

记：据你们监控，目前传统手机网站传播病毒的情况相对1月份是否已经好转？

seak：首先说明一下，我们说的传统手机网站我们讲的是就是基于互联网的手机资源的发布站（包括BBS），对这些站点来说，注册用户都可以提交自己的软件，编辑也难以有效完成安全辨识的工作。

过去几个月内智能机应用进一步快速膨胀，从2011年一月份至今，根据我们的监控统计，传统手机资源站本身访问总量据我们观测大概大了三倍左右，但其中访问对象带有恶意代码的事件数量上升了大概5倍左右，这个事例说明，安全事件增加一部分是随着应用上升的自然增长，但同时在整个网络访问的资源中带有恶意代码的比重在提高。

<wbr></wbr>

记：目前移动平台上，Symbian和Android病毒是不是占了绝大部分？如果是的话，是否原因是因前者用户多？而后者Android目前发展势头最为凶猛？或者还有其它你们认为的更多的原因？（<wbr>Android急速增加=Linux的设备承载数量急剧增加、 <wbr>Linux病毒，蠕虫，开源软件漏洞，系统核心模块篡改等。） <wbr></wbr></wbr></wbr>

seak：关于病毒的载体平台现状确实如你所说，Symbian和Android病毒加在一起是占了绝大的部分；我认为Symbian平台恶意代码数量非常多是因为历史比较悠久，长期占有移动终端绝对主流地位的时候，因此恶意代码的作者在上面积累了大量的经验并且很快的与地下产业链产生了对接，所以它的数量多是因为它是一个历史传承积累的结果，总体来看总量大，但是从新增的恶意事件速度来看它是下降的；android平台的威胁快速增长主要来自其装机量的快速增长，但从另一个原因也与其开放性有关，从开放性角度来看android面临着不仅是其上海量应用的安全问题，其OS本身安全性也面临很大挑战；普及率和开放性都是带来安全威胁的重要因素。苹果的IOS是一个自己做OS自己做硬件的封闭体系，他的APP STORE的审计相对于android market也更加严格，包括对于自己的硬件的“越狱”的控制也是非常苛刻的，而相对于android他本身就是可以自己定制的，根本不存在“越狱”的概念，所以对苹果来说一个三封闭系统（OS、应用、硬件）恶意代码数量相对较少是必然的，这并不是说苹果就是安全的，比如其上很早就出现了手机僵尸网络的雏形（iBot）。但其封闭性导致制造传播威胁的成本较高，当然苹果自身对越狱后的其他来源应用也是无法保证安全的。微软的windows mobile是一个起大早赶晚集的系统，它还没有形成自己的应用商店体系，它装机量呈飞速下滑的状态，在“芒果”出来之前似乎是不值得恶意作者在其上经营的。

关于Linux漏洞有可能连带出现在android之中这个问题，这是对整个安全潜在威胁的一个潜在威胁点的预判，只是说在Linux新出现的漏洞或着漏洞利用的思路方法可以很快过渡到android上，但与android上病毒木马的快速增长并不存在明显的直接关联。

<wbr></wbr>

记：目前能够远程控制的木马病毒是不是已经出现？

seak：按照传统反病毒的Backdoor的观点来看，可以肯定的是早就已经出现了，但是需要澄清的是这种远程控制并不是大家想象的传统计算机上的早期一些操作键盘输入和鼠标移动的远控，实际上无论是手机上还是计算机上绝大部分远控后门在受害主机上的功能是通过API调用或者shell命令来完成，而并不是操作你得桌面，去替代你完成某个操作。手机和计算机的操作形态也是不同的，计算机屏幕大、键盘鼠标等外设都便于操作，这个是手机无法比拟的，因此后门的作者，在手机上利用相应接口API去实现获取隐私内容、添加/删除某些东西、替你打电话发短信或者抓取你的屏幕这些要比实现一个模拟操作方便得多，而且也隐蔽的多，因此这种后门很早之前就已经存在了。

<wbr></wbr>

记：病毒的传播途径除了网站、恶意ROM，不怀好意的销售者之外，还有那些？

seak：我在年会报告的PPT上，引用了一个产业链的说明。我们讲整个产业链的每一个环节都是不可靠的，从他的固件方面也曾见发现过某小厂商就出现过问题，再往上的环节中如从通讯协议上Symbian曾出现过彩信主动传播，然后基于格式识别漏洞感染主机的蠕虫，也出现过基于蓝牙主动发送骗取用户主动安装的，再往上服务提供商往往有很多也是不可信的，因为这种利益链的存在，回到产业链上就是手机出问题很大程度是由于他的产业结构过于复杂，产业链过于长导致的，在这个链条上每一个环节都是非常脆弱的。

<wbr></wbr>

记：据你们监控分析，病毒制作者主要想达到那些目的？破坏硬件、获取用户隐私进而获得商业利益或者还有那些其他的？其中以那些目的最常见？

seak：从整个形势来看手机的地下经济产业是和互联网地下经济产业是对接的，已经形成一个整体。很有可能还是同样的一些人。他们主要还是获利为目的，首先手机平台获利的价值比计算机平台获利价值还要大一些，因为手机平台就是一个支付节点，具备着通过短信支付费用的方式，早期的获利性木马多半是通过短信扣费，包括截取确认短信，再替用户回复的方式，同时当前很多网银也用手机作为一个安全环节，在大会报告中我们也介绍，一些复合的恶意代码体系，可以在计算机上捕获网银账号密码输入，以及手机上的验证码的输入，再进行聚合。这些都是直接能够构成用户实际财产损失的；另一种就是带来用户的流量损失，如广告点击、刷流量、刷排名、刷安装量等等，这些从我们对相关恶意代码的分析来看，行为非常普遍。当然窃取手机通讯录等信息，可能也有一些二次的牟利，如贩卖用户隐私信息、贩卖用户关联关系等，但相对前面是更直接的通道，至于搞破坏等目前不是主流。

<wbr></wbr>

记：对于终端用户来说，防范病毒有哪些有效的办法？或者你有哪些提醒？

seak：安全性本身和方便性、和用户体验之间都存在一些矛盾，安全需要用户有更多的了解、审视，包括更多的确认。而这些则是反方便性、反体验的。而手机却恰恰是用户特别在意方便性和体验的环境，因此安全模型本身在手机上是有一定的尴尬的。

我们可以假定如果用户从一个主流的可信渠道获得手机，基本不安装应用或者只从app store、android market来安装或购买应用，那么出问题的可能性也有（android market出现过两次批量提交带有恶意应用或提权代码的软件并获得审核通过的事件），但概率确实相对较低的。但如果这样要求用户是不现实的，国内市场情况就是很大比例的智能手机是水货，ROM都不是原厂的，也没有商家需要对设备的安全负责，第二个问题是用户已经习惯了将手机拿到装机店进行“越狱”、大量拷贝非授权应用，而这些应用中又有必然有很多是不安全的。同时，手机上的安全产品基本都不太成熟，比如目前主流的PC反病毒产品对主流病毒都有较好的检出率，但手机上应该说检测效果都不理想。因此希望依赖一款安全工具就可以百毒不侵、安全自由驰骋的可能性不大。当然我本身不是虚无主义者，我认为手机安全工具的使用还是必须的。有一层防范总比没有好。

用户如何在要达到的用户体验和安全性中达到一种平衡，我想比较现实的还是需要用户来判定自己的用手机做什么，用户如果觉得自己的手机很重要，经常有一些支付活动，包括通讯录或者信息非常重要、非常敏感，那他就要牺牲一些方便性体验，但如果用户只是一般的应用，觉得手机如同一个游戏机的感觉更重要，安全工作者也没有理由要求用户为了达到某种“安全境界”而去影响用户的体验。用户可以根据手机信息价值考虑使用策略。用户也要及时留意手机资费、流量等情况，发现可能情况之后及时地做出处理。

<wbr></wbr>

<wbr></wbr>

相关资料

1 <wbr><wbr><wbr><wbr><wbr><wbr><wbr><wbr><wbr><wbr><wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr>

<wbr></wbr>

2001年应急年会Seak报告《移动互联网背景下的传统反病毒方法困局》，下载地址

http://2011.cert.org.cn/slides/7.pdf

<wbr></wbr>

2 <wbr><wbr><wbr><wbr><wbr><wbr><wbr><wbr><wbr><wbr><wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr></wbr>

<wbr></wbr>