央视调查:近半智能手机存安全漏洞 云平台风险高

（原标题：安全测试显示近半智能手机存漏洞 云平台风险高）

智能手机与我们的生活越来越紧密，目前我国手机网民已将近7亿，但智能手机的信息安全问题不容忽视。今天国家质检总局发布的智能手机产品信息安全专项风险警示显示，智能手机在手机系统、应用软件和云平台等方面，存在安全风险。

手机系统风险 木马暗中读取数据

日前，国家质检总局组织了一次智能手机产品信息安全的专项风险监测，测试机型包括了市场上大部分高中低端的手机产品，共40批次。记者了解到，按照进网标准要求，手机系统在遇到木马病毒或恶意程序读取用户数据时，应有一定的提示，提醒用户防范信息泄露。那么这些最新的智能手机，系统的安全性能会怎么样呢？工程师随后在多款智能手机上都安装了一个测试木马，检验这些手机对语音、通话、短信等数据的保护。

测试发现，大多数手机在木马启动的时候，都会弹出提示框，但个别手机却毫无动静，任由测试木马暗中读取隐私数据。

应用软件未经提示暗中收集用户信息

工程师透露，除了手机系统本身的安全防护要求，目前的进网标准还对预置软件提出了安全提示等要求。记者了解到，存在于手机当中的各类应用软件都会因功能需要，要求获取用户的相关权限。比如地图软件需要获取位置信息，聊天软件要求获取通话记录信息等等，按照要求，获取涉及用户隐私的这些信息必须要经过用户同意。

工信部电子五所质检中心工程师 李乐言：提示有文字图片或者一些按钮，比如弹出一个对话框，这个对话框会告知收集你的位置，或者是联系人，或者是图片信息，如果你不点确认的话，它是不会再收集你的信息的。不符合的话是打开应用的时候，用户看不到提示内容。

工程师随后对所有手机样品进行了测试，在专门的测试软件监控下，总共40批次手机样品中，发现有9批次手机当中的相关软件在未提示用户的情况下，暗中收集手机用户私密信息。

近半智能手机存漏洞 云平台风险高

经过对手机系统安全和预置应用安全的相关测试，工程师都发现了存在风险的手机产品。而在随后进行的智能手机后端云平台系统的安全测试中，工程师发现，云平台对用户身份鉴别和权限控制方面的安全风险，是最主要的安全隐患所在。

工程师告诉记者，智能手机的后端信息系统，也就是人们所说的云平台。随着手机智能化的提升，目前手机都能够连接后端的云平台，实现通讯录、短信、照片等数据备份功能，以及在丢失的特定情况下定位找回、数据清除等功能。但是如果手机云平台存在安全漏洞，也就意味着智能手机不仅没能提供存储便利，反倒增加了信息泄露的途径。

李乐言：云平台连接了大量的智能手机，如果云平台出现问题，这些手机存储在云平台的数据，或者和云平台建立的连接如果被恶意分子利用，将导致大面积的信息泄露。

云平台对密码强度要求低 安全风险高

那么，目前智能手机云平台会存在什么样的安全漏洞呢？记者了解到，守护智能手机云平台安全门槛的，首当其冲的一个要素就是身份鉴别，也就是云平台对密码强度的要求。

工程师告诉记者，符合测试要求的智能手机会在云平台注册时，提示不能使用简单或连续的数字作为密码。随即进行的测试显示，工程师使用123456作为密码注册时，部分智能手机立即弹出提示框，提示密码不能使用连续的字符。但是部分智能手机却没有提示密码强度，工程师用记者的手机号码在一个云平台注册时，用简单的密码就通过了身份验证。

记者发现，用简单的连续数字，或者用666888等重复性数字测试时，多款智能手机的云平台都能够注册成功。工程师透露，用这样的简单密码面临最大的风险，就是容易被黑客破解，造成个人隐私的泄露。工程师随后用暴力破解软件对10余位志愿者的手机号进行了密码分析，发现有3个志愿者都使用了简单的123456的云平台密码，导致其存储在云平台的个人信息，轻易地就被工程师获取到。

云平台对权限控制弱 信息易泄露

工程师告诉记者，关乎智能手机云平台安全的，除了身份鉴别的因素，还有一个重要因素，就是权限控制。

工程师告诉记者，一个云平台如果能够做到控制权限，会对所有手机用户的权限请求进行验证，并会发送验证码到手机上，验证是否为本人操作，以保护用户的各种私密信息。而在测试中记者发现，在工程师尝试通过数据包获取一个志愿者的位置信息时，部分智能手机的云平台竟然没有向志愿者手机发送验证，轻易地就允许了陌生用户的请求。工程师在全国范围内征集了十余名使用相同手机云平台的志愿者，在获取地理位置的测试中，一一输入了这些志愿者的手机号码，记者看到，仅仅一秒钟之后，测试工具就将这些志愿者的所在区域以明文形式显示出来。

经过大量测试，总共40批次智能手机当中，共发现18批次的产品存在不符合项，占比高达45%。涉及的项目包括智能手机的后端信息系统、预置应用软件安全等。最后，经过20名风险评估专家的分析和打分，此次智能手机的信息安全风险等级被评估为中等风险。

安全漏洞六成以上问题出在云平台

记者发现，没有标准和规范要求的云平台信息安全，暴露出的安全漏洞明显要多于其它项目，在不符合监测要求的18批次智能手机中，12批次问题集中在云平台。专家建议，针对智能手机的安全标准建设要加快日程，以保护信息安全。