手持装置的安全风险与病毒现况

过去十年内，多数手持式装置及智能型手机的操作系统都是在摸索中设计的。在所有的必备要件中，设计时的主要考虑在于更少的内存使用量、更少的操作系统使用量（OS footprint）、低耗电率的芯片及小屏幕设计以维持24小时联机操作（always-on）及支持特殊的硬件装置等。虽然安全是一个重要的课题，然而多数手持式行动装置的操作系统并没有把安全因素考虑在内。

手持式行动装置上的恶意威胁，最早的阶段是2004年5月以前，在此之前，手持式的恶意威胁多半只是「概念验证型prove-of-concept」，并没有造成严重的危害及大规模扩散。Palm OS曾经出现过病毒及木马程序，于2000年9月首次被发现。当时这些手持式装置的韧体内藏弱点，概念验证型病毒多半利用这些韧体弱点下达指令；Symbian平台亦发现过几只恶作剧/开玩笑病毒，西门子的手机也有发生过两个案例。

2004年6月、7月首只Windows CE平台上的恶意软件，以及首只针对Pocket PC平台的概念验证型病毒Dust，先后被发现。而首只针对Symbian 60平台的手机病毒食人鱼病虫Cabir被发现，则是当时最具影响的消息，这只病毒可以算是手持式行动装置威胁的元老，主要利用蓝芽传输感染有限距离内的其他Symbian手机。

2005年则是手持式行动装置威胁大鸣大放的时期，主要针对Symbian 60作业平台而来，基本上可以分为三种：

第一类是以蓝芽为主要感染扩散方式的手机病虫﹕此类以食人鱼病虫(SymbOS.Cabir)为代表。食人鱼病毒（SymbOS.Cabir）为手机病毒始祖，至今已出现20余只变种，且在美国加州地区传出店内手机交叉感染的具体事例。

第二类则是透过网络图铃下载等服务方式感染﹕其中以骷髅头病毒(SymbOS.Skulls)为代表，如（图一）所示。骷髅头病毒会在用户下载图片铃声的屏幕管理程序后，将手机屏幕上的应用程序图像都改成骷髅头的图片，接着使手机无法收发简讯，无法读取电话簿或者行事历，中毒后的手机只能接打电话。2005年七夕情人节前夕则出现了一只手法与骷髅头病虫类似的手机病毒SymbOS.Skulls.K，唯一的不同处是会将图像改为红心图样。

《图一 骷髅头病毒(SymbOS.Skulls)》

＜注:数据源：趋势科技＞

第三类则是透过MMS简讯及蓝芽进行散播﹕此类则以武士病虫(SymbOS.Commwarrior)为代表，如（图二）所示。武士病虫发出的讯息包括告知手机用户下载防病毒软件、手机桌面管理程序、3D游戏程序和情色图片，或利用社交工程手法诱骗用户上当。受感染手机将会从通讯簿搜寻256个用户，散发有毒档案的MMS讯息，因此用户如果在国外，将会启动漫游服务，可能造成庞大的通讯费用。

《图二 武士病虫(SymbOS.Commwarrior)》

手持式行动装置威胁现况

根据2006年3月公布的第九期赛门铁克全球网络安全威胁报告ISTR的数据指出，由2005下半年看来，目标瞄准行动装置，尤其是针对智能型手机的恶意代码数量渐增。手持式装置及智能型手机威胁的发展重点如下：

● 2005下半年，包括手机、PDAs及各式手持式行动装置的威胁变种，数量较2005上半年巨幅成长了230%。

● 手持式行动装置的威胁约有25种病虫/威胁家族。

● 125只被侦测出是针对无线平台而来。

● 手持式行动装置威胁中，有七种被证实是「扩散中 （in-the-wild）」的威胁，包括武士病毒CommWarrior、食人鱼病毒Cabir、骷髅头病毒Skulls、蠢猪病毒Dampig、Doombot病毒、隐藏选单病毒Hidmenu以及Hobbes病毒。

● 其中透过蓝芽传输的武士病毒CommWarrior是最为活跃的手持式行动装置病毒。

● 2006年2月赛门铁克安全机制应变中心的数据显示，手持式行动装置威胁中，118只属于Symbian操作系统；4只属于Palm操作系统；2只是Pocket PC平台；1只并没有针对特殊的平台（Trojan.Redbrowser.A）。

报告中更指出其他多种新兴智能型手机恶意代码的攻击形式。例如Cardtrp，是第一只跨平台的智能型手机威胁，能够同时感染Symbian及Windows操作系统。2005年底亦发现Pbstealer，它是一个佯装为智能型手机通讯簿功能的档案，藉此引诱用户上当下载该档案并加以执行。一旦这些手持式行动装置遭到上述任何木马程序的感染，用户的信息，包括通讯簿数据、记事本、行事历、以及计划列表（to-do list）将会传到蓝芽传输范围内，蓝芽功能开启的装置上。这便暴露出了相当严重的安全风险，企业的机密信息极有可能透过上述的方式而外泄，敏感的联络内容及任务指派都有可能被外界窥知。

随着行动装置的网络逐渐扩大，将成为网络罪犯眼中的肥美标的，连带使这些在行动装置上的数据衍生外泄的风险逐渐升高；而手持式行动装置的威胁将会在数量及复杂度上都持续攀升。越来越多的黑客正研究着具备蓝芽功能的手持式行动装置上的弱点，可以预见的是，未来利用这些手持式行动装置弱点的恶意代码、病毒/病虫的数量也会持续增加。而随着行动装置的普及，未来这些行动装置也极有可能成为间谍程序、广告程序等威胁散播的媒介。

手持式行动装置安全部署的现况

随着产业逐渐朝向更为安全的运算模式，再加上上述的威胁日益升高，除了各家资安业者纷纷研发手持式行动装置的安全防护软件外，手持式行动装置的操作系统也开始加装安全功能如VPN（虚拟私有网络）、SSL加密、隐藏模块（crypto modules）、登入密码及程序代码签章（code signing）等。

虽然如此，对多数的企业而言，手持式行动装置的安全隐忧已经严重影响企业M化的进度。根据赛门铁克委托Economist Intelligence Unit针对全球240家企业主管所进行的调查结果显示，6成的受访企业表示将延缓企业M化的计划，其中成本与部署的复杂度是其主因。受访企业中，仅有26%的企业在考虑企业资安风险时，会将智能型手机等纳入考虑，相较于81%企业已将笔记本电脑纳入安全防护架构下，相较起来企业对手持式行动装置的思维仍显不足。

由于手持式行动装置的作业平台目前仍然不像PC世界的Windows OS般，有某一款平台成为垄断式的占有率，使手持式行动装置的安全防护，目前仍停留在安全厂商针对特定平台推出专属的安全防护解决方案的状态，例如赛门铁克早在2003年即与Nokia共同合作开发Nokia 9500 Communicator Platform的客户端安全解决方案。

《图三 赛门铁克与Nokia共同合作开的客户端安全解决方案)》

＜注:数据源：赛门铁克＞

近来则由于手机病毒多瞄准Symbian作业平台而来，可能与Symbian平台获得较以往更多手机厂商采用以开发新型智能手机有关，例如Panasonic、Samsung等，都有利用Symbian平台来开发自有品牌的智能型手机。目前大多数的资安业者，也都是推出针对Symbian平台的安全软件为主，赛门铁克则是于去年5月推出了Symantec Mobile Security 4.0 for Symbian，针对Symbian 60及Symbian 80平台的智能型手机，提供实时、自动化的随选病毒侦测及扫瞄功能，并提供Series 60平台的智能型手机及Nokia 9300、9500系列手机安全防护。SMS 4.0安装后会立即提供结合防毒及防火墙的整合式安全防护，能够主动抵御所有Symbian平台上的档案型恶意软件，如病毒、木马程序及病虫。另外透过赛门铁克LiveUpdate Wireless的无线更新服务，用户可透过智能型手机连上无线网络后，随时下载最新的病毒防护更新，抵御新型威胁。

另外，Symantec AntiVirus for Handhelds Corporate Edition 3.5则能够防范企业资产外泄，保护手持式行动装置不受从Web上下载、电子邮件、Wi-Fi传输，甚至是蓝芽传输的恶意软件或档案所感染，涵盖范围包括Palm OS、Microsoft Windows Mobile及Pocket PC等平台，如（图四）所示。

《图四 赛门铁克Symantec Mobile Security 4.0 for Symbian》

＜注:数据源：赛门铁克＞

赛门铁克Symantec Mobile Security 4.0 for Symbian

未来手持装置的安全防护型态

虽然说信息安全朝向「服务」是未来大势所趋，然而严格说来，目前手持式行动安全装置的解决方案仍然属于跟着手机走的软件式防护（on-device protection）；不论是透过与ISP合作进行在线下载贩卖，或是在各自的网络商店上线上销售，本质上都需要透过下载软件程序到手持式行动装置中才能发挥效用。

全方位的实时响应-透过实时的LiveUpdate在线更新机制，自动保障无线安全及进行应用程序更新。除此之外，由于上述的手机病毒目前仍然受到机型、平台及传输距离等限制，还没有达到像网络上病毒大规模扩散的状况。然而，手持式行动装置的安全议题仍然不容忽视。随着国内行动通信业者纷纷抢进3G时代，传输数据量大幅成长，手持式行动装置的安全课题面临严峻的挑战。智能型手机的用户，若有内建蓝芽无线传输功能，在平日不使用蓝芽功能的时候，我们建议应该将该功能关闭，如此可避免近距离有感染的智能型手机，将恶意软件透过蓝芽传输感染用户手机。另外，某些手机病毒采图铃方式下载，建议应在值得信任的网站上下载图铃，对于来路不明网站所提供的图铃则应予全面封杀。