查看: 5636|回复: 53
从搜狗泄密事件看安全漏洞的披露原则 作者：mj0011
本帖最后由 footman 于
15:42 编辑
任何软件都无法避免漏洞，对开发者来说，以最快速度响应和修复漏洞是对用户负责任的做法。不过在漏洞信息披露方面，不光很多普通网友不了解，一些软件厂商也缺乏对安全行业漏洞披露原则的认识。在近期搜狗浏览器漏洞泄密事件中，网络上关于漏洞应该如何披露就众说纷纭，其中也存在一些明显误区。
在这里，我结合安全行业一些重大的漏洞事件，谈谈安全漏洞的披露原则。
公布安全漏洞是“不负责任”和“不遵守安全行业规则”的吗？
如果只看这句话，很容易会感觉是正确的，通常很多人可能认为不经过厂商修复就公布漏洞，是只有恶意的攻击者、破坏者才会干的事，只会威胁用户的安全，但事实上，这要看具体的情况，包括漏洞的情况、软件厂商的态度等等，很多时候，直接公布漏洞非但不是不负责任的行为，反而是积极保护用户的举措。
首先，我们要区分一下公布安全漏洞的“公布”程度，公布信息含量最少的，可以仅仅停留在是“某某软件有一个漏洞，可以如何如何”这样的；再多一些的，可以是这个漏洞具体涉及的组件、类型和危害等；再多的，才是漏洞的细节信息。
一般来说，只有当漏洞的细节信息被公布后，其他研究人员甚至恶意攻击者才有可能重现这个漏洞，并组装成攻击武器，针对用户进行恶意行为。
因此我们可以看到，通常情况下，只有公布漏洞细节（即如何重现漏洞或者最起码包括漏洞出现的具体代码位置），才会对用户的安全产生威胁，才是”不负责任的”，而公布漏洞存在的本身、公布漏洞的危害和状况，只要不涉及如何重现和利用这一安全漏洞，就不是“不负责任的”。而事实上，公布漏洞的基本信息，正是将漏洞的处理和披露过程“公开化”、”透明化“的一个非常积极和正向的努力，国内的乌云漏洞平台也是这一透明化努力的例子。
再看国外微软一个案例。2005年8月，一名加州的自由安全研究人员Tom Ferris向微软报告了一个IE浏览器的安全漏洞，一开始，Ferris都是按照微软所谓“负责任的披露漏洞原则”（微软近年来也意识到这个原则存在一些问题，将其改为了“合作式漏洞披露原则”，后面会具体阐述）来处理，等待微软公司修复漏洞后，才公布漏洞的存在。
但是一个月后，微软仍对此漏洞没有进一步处理，Ferris于是在自己的网站提到了这个漏洞的存在，并接受了媒体的采访讨论这个漏洞的危害，但并没有提供如何重现和利用这一漏洞的细节。
他表示他的初衷是希望尽快让用户得到保护，用户需要知道自己使用的软件存在漏洞，并注意安全，软件厂商也需要一定压力以让他们尽快修改问题。
为什么软件公司在接到漏洞报告后必须积极地尽快修改问题呢？因为即使所有漏洞报告者都遵守负责任的漏洞披露原则，不对外公开，但是如果“好”的安全研究人员可以发现漏洞并报告软件厂商，那么“坏”的安全研究人员理论上也一定可以发现这样的漏洞，甚至很可能在好的研究人员发现前，“坏”的研究人员已经发现并利用漏洞攻击软件用户了。
出于这个原则，安全漏洞的报告者有充分的权利告知公众安全漏洞的存在，以便让用户注意安全，同时督促软件厂商加快修复进度。
在媒体报道后，微软公司受到了舆论压力，但是微软公司代表仍对外称，由于Ferris没有公布漏洞的细节，因此他仍是负责任的、站在软件厂商这边的。
我们可以看到，Ferris报告微软漏洞和搜狗泄密事件有着相似的开头。360发现了搜狗安全漏洞，报告给软件厂商、公开漏洞的存在、介绍给媒体，但是360并没有公布漏洞的细节资料，因此是负责任的做法。和Ferris一样，360是站在软件厂商这边，同时也是站在保护用户的这边的。只是微软遵守了安全行业的守则，承认漏洞并加以修复，而不是像搜狗一样偷偷修复再百般抵赖。
11月5日晚间，直到搜狗公开否认漏洞后，同时技术验证搜狗漏洞已无法再次触发，360才向媒体和公众公布了搜狗浏览器漏洞的重现细节视频（使用QQ授权登录搜狗浏览器后，再多次点击“退出账户”，才会触发漏洞），这样做是为了证明漏洞真实存在，而且当时已不会被攻击者恶意利用。
Ferris接受媒体采访时说：“…所有的研究人员都应该遵守负责任的披露漏洞的方针原则，但是如果某个生产商比如微软公司要花6个月到1年的时间来修复一个漏洞，那么研究人员就有充分的权利公开漏洞的所有细节资料”。
也就是说，安全研究人员确实应该遵守负责任的披露漏洞原则，在厂商修复前不讨论任何细节，但是这个的前提是，软件厂商必须积极对待、确实承认漏洞的存在，如果软件厂商消极对待漏洞报告，长时间不修复，甚至直接否认漏洞的存在，研究人员就有义务公开这个漏洞的存在、提供漏洞的细节证明漏洞存在且确实存在威胁。
安全研究人员要负责，软件厂商更应该负责。如果软件厂商不负责，用户的漏洞就永远得不到修复、安全就永远得不到保障，如果这样，披露漏洞的存在和细节，反而就成了安全人员或安全厂商的义务，是负责的行为，因为这种情况下，公开漏洞信息漏洞才有可能得到及时修复。
看到以上案例，我想每个人都可以理解，无论安全漏洞披露的方式、方法和规范如何变迁，其中永恒不变的一条本质的出发点和原则就是：一切以保护用户的安全为第一优先。在围绕安全漏洞中，任何一方，包括安全厂商、研究人员、软件厂商，甚至媒体，都应该积极以实现这个原则为出发点，如果有任何一方不负责任，应该使用对应的方法进行制衡。
关于软件厂商对漏洞“不负责任”，最后被“制衡”的例子在历史上数不胜数，这已经是安全行业里的一项约定俗成的规则了。在国内，金山网盾漏洞门（厂商否认漏洞结果被国内外漏洞研究机构曝光）、旺旺漏洞门（厂商否认漏洞但进行了修复，引起安全社区激烈议论和媒体曝光），都是业内人尽皆知的典型案例，在国外也是如此。
早在2004年，Paul Waston发现了思科公司在TCP/IP协议上的一个漏洞，他将漏洞报告给思科，思科一开始承认存在漏洞，后来又予以否认，并认为他的发现没有价值，对他的疑问也不予回复，Paul不得已在当年的Cansecwest安全会议上公开了这个漏洞，结果其后思科不得不赶紧针对漏洞发布了修复程序。
关于这点还有一个非常有力的例证就是上面我曾提到的，微软安全漏洞处理原则的变更，在2010年以前，微软的“软件漏洞报告计划”中一项著名且被广泛应用的策略、规范和协议就是所谓“负责任的漏洞披露原则”，要求漏洞报告者对漏洞保密，不要在发布前公开。而在2010年7月，微软宣布修改现有的策略，彻底去掉“负责任”这个字眼，将其更名为“合作式的漏洞披露原则”（coordinated vulnerability disclosure)，国内安全专家tombkeeper对此点评说：微软以前一直强调“负责任的漏洞披露（Responsible Disclosure）”。潜台词是：“你报告给我，就算我不理你，你也不能私自捅出去，否则就是不负责任”。2010年他们意识到这种单方面的要求不太讲理，于是把口号改为“协调的漏洞披露（Coordinated Vulnerability Disclosure）——强调了双方都有责任。”
安全研究者和软件开发商都应该对用户安全负责，并相对制衡，在公布这个新原则时，微软可信计算业务总经理Thomlinson指出，“责任当然依旧重要，但这应该是由安全研究人员、安全产品供应商和其他软件供应商组成的整个社区的共同责任。在提高计算生态系统的总体安全性方面，安全社区的每个成员都应发挥自己的作用”，他也指出，新的原则不要求漏洞报告者对漏洞的本身保密，只要不发布漏洞的具体细节，漏洞报告者可以对外公布漏洞的情况和报告，同时软件厂商也有充分的义务，及时和报告者沟通，承认漏洞的存在，确认漏洞修复的日期。
总结来看，其实漏洞的披露方式一直处于争论和博弈之中，而事实上漏洞的披露（而不是无论任何都只能默默修复）正推进着漏洞信息、用户安全向更好、更积极的方向发展，而总的保护用户的原则是不变且决定着漏洞披露的具体方式如何变化的。单向的“负责任”早在至少三年前已经成了过去时，软件厂商再用“负责任”三个字作为自己出现问题时的挡箭牌已经是不可能了。
我们再来看一个问题，除了软件厂商消极对待甚至否认漏洞的前提，那就是当严重的安全漏洞已经明确地通过其他途径泄漏、用户的安全或隐私已经在受到威胁时，安全研究人员应当公开漏洞的细节，以及时保护用户。
我们知道，通常漏洞报告者报告的漏洞并不会被恶意攻击者利用，因此这时可以给软件厂商合理的时间来按一定周期和计划来修复漏洞，这也是为什么漏洞报告者要保护漏洞的细节不对外公开的原因。
但是当一个安全漏洞已经被其它第三方知晓甚至已经实际运用于威胁到用户的安全或隐私时，这个规则就不再适用了，这是因为在这个时候和情况下，只要这个安全漏洞还处于未被公开、未被修复的状态，越多的用户、越多的计算机就会被攻击并造成无可挽回的损失。此时，对用户公开漏洞信息、对安全社区公开漏洞细节，就成了安全厂商、安全研究人员的义务
为什么要对用户公布漏洞的信息？
因为用户需要知道自己使用的软件或系统可能存在什么样的安全风险，以便进行及时的处理措施，比如停用软件、限制访问、修改信息，这样的措施不能修复漏洞，但是可以有效防止用户被攻击。
为什么要对安全社区公布漏洞的细节？
因为只有公布细节了，才能督促软件厂商修复问题，同时，公布细节才能让安全社区的所有成员一起为用户想办法，例如一个软件漏洞被用于恶意攻击，那么如果安全研究人员将漏洞细节公布出来，安全社区就可以针对漏洞的利用和攻击方式进行分析，开发出临时的针对性解决方案，又如如果一个漏洞被用于泄露用户的隐私，公开了漏洞的细节后安全社区，包括和隐私相关的厂商就可以采取措施，保护他们的用户不受这个隐私泄露的进一步影响。
谷歌在今年五月底公布的Google总部关于0day漏洞的披露新政策，Google有很多安全研究人员，对于他们发现的漏洞，如果已经被外面的恶意攻击者利用，软件厂商必须在七天内公布出来，如果厂商不公布，Google会支持研究人员自己公布详细信息，Google同时强烈建议所有其他安全研究人员也遵守这一时间表。
Google的发言人在谈到这个政策时提到，“七天对于软件厂商修复漏洞来说，可能确实不够，但是绝对足够软件厂商确认漏洞的存在并发布可能的解决方案，包括但不限于停用服务、限制访问或联系软件厂商，如果软件厂商七天不公布，Google就应该支持安全研究人员公布漏洞细节。”
这是一个稍微极端的例子，因为Google的影响，在安全圈也引起了不少争议，但最终我们看到这里体现的还是：保护用户安全是第一位的原则，如果用户已经受到威胁了，那么就应该刻不容缓地公布信息、确保用户受到最大可能的保护，这在安全行业里已经是基本的常识了。
再比如今年五月的微软IE8 0day漏洞被用于针对美国劳工部官方网站的挂马攻击，在美国的安全公司Alienvault Labs披露了这一信息和细节后，国外的各大安全厂商，包括FireEye , Mcafee , F-Secure等等，各大新闻媒体、甚至包括微软自己，都分别发出了针对微软IE 0day漏洞的告警新闻，安全厂商纷纷发布针对这个漏洞的细节分析和攻击的分析报告，以及各自的缓解和防护措施。
这充分说明，“针对危急的已经存在的漏洞攻击，应当尽最快速度告警并公布细节和防护措施”，已经是国内外安全厂商、软件厂商和新闻媒体的基本共识和通用的响应方式，只有这样才能最大程度的保护用户，当漏洞已经对用户的安全产生威胁时，如果还要将漏洞信息藏着掖着不能公布，这才是对用户安全、对计算机系统安全的最大威胁。
总结以上内容，可以清楚地回答搜狗对于360公布其漏洞的无稽指责：
1. 公布漏洞的存在和威胁（即漏洞的基本信息），是安全厂商和安全研究人员的义务，因此360发现搜狗漏洞后公布漏洞的基本信息，并提醒用户应该进行的操作，是非常正当的保护用户的行为，不存在“不负责任”的问题；同时，这也符合国际和国内安全行业的规范，公布漏洞的基本信息是促进漏洞处理和披露过程透明化的积极努力，起到了保护用户和国家计算机信息安全的作用。
2. 搜狗的漏洞是非常危急的且已经泄露的，严重危害用户隐私和安全的漏洞，而且搜狗公开否认了这个漏洞。为了让用户得到告警、修复和保护，为了安全社区有办法共同努力保护用户不受这个漏洞的影响，必须公开这个漏洞的细节，因此360在搜狗否认后不得已公布漏洞细节，也属于“负责任”和“遵守安全行业规范“的行为。
最后一个问题是，搜狗说360警告搜狗有漏洞，应暂停使用搜狗浏览器的举动是“又当运动员又当裁判员“，不应当仅仅因为有漏洞就让用户停用软件，这是否正确呢？
显然不！实际上，对存在漏洞的软件、组件进行停用告警和建议，这是软件行业、安全行业和新闻媒体通用的针对安全漏洞的缓解措施或建议方式。当一个安全漏洞被发现，尤其是被发现已经被披露用户实际攻击时，停用它是最通用、最简单也最有效的方式。
由于在安全漏洞披露的初期，安全厂商甚至软件厂商自己都可能对这个安全漏洞研究不够深入，除了停用以外的其他方案都可能由于对漏洞的解决不透，存在不能有效防御漏洞的问题。
一个例子是2009年攻击伊朗核电站的“震网”病毒，它利用了微软Windows操作系统中对.lnk文件的处理漏洞来进行传播和感染。在微软接到漏洞报告后，发布了一个相对复杂的缓解方案，结果由于方案对漏洞的理解不够清楚，导致又出现了绕过缓解措施的攻击方式，不得不再次更新方案。如果使用暂时停用软件的方式，就不存在这类问题，同时停用软件也是最简单的方式，这可以让更多的用户得到及时的保护。
我们可以在微软的所有安全漏洞公告中寻找“缓解措施“这一节，除了无法通过停用解决的系统级漏洞外，基本都可以看到停用相关软件、组件的建议，尽管这会暂时让用户的一些功能或应用受到威胁，但是在彻底修复漏洞前为了保护重要的资料和信息安全，这一点是非常必要的，尤其对于重要的企业、政府和国家部门来说，在不影响关键业务和系统的前提下，暂时停用存在公开漏洞攻击的软件，应该是一个必要的措施。
对于新闻媒体而言，停用有漏洞的软件也是一个非常常见的建议。这些年来，我们不止一次地在安全漏洞发生后，可以看到很多媒体、政府发布类似的建议，例如德国和芬兰政府呼吁国民停用存在漏洞的IE6、ZDNet呼吁停用存在漏洞的IE6，美国政府国土安全部因安全漏洞呼吁停用Java、RSA大会呼吁停用漏洞众多的Adobe PDF Reader等新闻都可以在国内外各大IT媒体搜到，而且也都得到了积极的响应。这不是对软件厂商的打压，而是敦促软件厂商积极修复漏洞、为用户提供更安全产品的合理建议。
好多字，眼睛花了
maji的大作，好长好专业
请给出专贴地址
说了这么多还没说因为什么导致泄露的
是因为程序员没做判断才导致的？
footman 发表于
请给出专贴地址
/blog/%e4%bb%8e%e6%90%9c%e7%8b%97%e6%b3%84%e5%af%86%e4%ba%8b%e4%bb%b6%e7%9c%8b%e5%ae%89%e5%85%a8%e6%bc%8f%e6%b4%9e%e7%9a%84%e6%8a%ab%e9%9c%b2%e5%8e%9f%e5%88%99/
唉，mj的卡谈帐号被死过了……看了下，是因为回复了dongyishaonv的回复所致……
0dayKiller
东夷少女 发表于
唉，mj的卡谈帐号被死过了……看了下，是因为回复了dongyishaonv的回复所致……
思过有用的话，还要网络做什么。
0dayKiller
cslgpl 发表于
说了这么多还没说因为什么导致泄露的
是因为程序员没做判断才导致的？
这里是科普一些漏洞披露的原则，让大家知道漏洞披露里面的一些安全行业的规则，不要被某些厂商或某些道德杀毒的骗了。
RE: 从搜狗泄密事件看安全漏洞的披露原则 作者：mj0011
<font color="#dayKiller 发表于
思过有用的话，还要网络做什么。
对不起啦……
这么长&&居然看完了~
Copyright & KaFan & All Rights Reserved.
Powered by Discuz! X3.1( 苏ICP备号 ) GMT+8,手机病毒的真相——手机杀毒软件都是骗人的！
共 102354 浏览 85 回帖&&
发帖: 67 篇
在线时长: 11 小时
手机病毒的真相——手机杀毒软件都是骗人的！
来源:金山毒霸官方博客
作为一个软件从业者，我有很多其他领域的知识盲点，当我看到有人揭露私人豆腐坊的生产过程之后，我就再也不敢到小市场买豆腐吃了。当我了解到药品销售者和医生勾结向病人推销过量药品这个事实后，到医院买药我都要仔细查看药品的名字和功效。没有人是全能的专家，我很有自信不会在计算机和软件上受骗，但是难保 其他人不被骗。写这个文章应该算是社会责任，于是，我这次充当内部人士揭秘，来看看手机病毒的真相。
普通用户对手机的了解还是太少，能分清智能手机和非智能手机的人就更少了。能知道所谓Symbian和Windows Mobile系统的区别，知道iPhone和RIM这些单词的人算是很高端用户了。不单单普通用户不知道这些概念，连同样是作软件但是不做手机软件的技术人员，也都不清楚这些操作系统的最基本的知识。于是，目前大家能见到铺天盖地的手机病毒爆发，3G来了要装手机杀毒软件，手机中毒后隐私外泄等等如此骇人的广告和说辞。那手机病毒很多嘛？我的手机很慢是中毒了嘛？到哪里装手机杀毒软件？哪个手机杀毒软件最好？一个月多少钱？如果你心中有以上那些问题，那么很荣幸的告诉你，你已经被骗了，你忽略了一个最重要的问题。
手机病毒真的有嘛？
首先我们来区别一下智能手机和非智能手机，目前的数据是国内已售的智能手机占整体手机市场20％，虽然我坚信这个数据会越来越高，但是就目前来看，如果你的手机不是诺基亚，三星，摩托罗拉，苹果iPhone，黑莓，Palm，多普达，HTC等这些稍高端品牌的话，就基本不用担心手机中毒的事了，也许有人说手机品牌不就是这些嘛，其实能看到这篇文章的人也算是互联网信息圈内的人了，外面有大把的普通用户在用着低端手机，而他们才是最容易受惊吓，最容易以讹传讹的不明真相的群众，传播正确的理念都靠我们了。如果问具体哪个型号的手机是不是智能手机怎么办呢？很简单的方法是到淘宝上搜索该手机，然后找一个信誉最高的商家，产品介绍里面就有是否智能手机这一栏。在知道自己的手机是否是智能手机后，一个最浅显的结论是，如果你的手机不是智能手机，那么手机病毒和你无缘。放心睡大觉吧，别为这事儿烦心了。
糟了，我的是智能手机哦。
别怕，继续往下看。软件病毒实际上是一种对系统有害，更改用户数据，给用户造成经济或名誉损失并能够自我复制自动传播的软件。这个定义里面的一个很关键的词是“自我复制自动传播”，也就是我们常说的感染。智能手机都可以安装很多软件的，看起来就像普通的电脑一样，智能手机好像具备了被感染的能力，也就有中毒的风险。那怎么才会被感染呢？又一个重要的概念出现了，一种智能手机操作系统的软件不可能安装在另外一种智能手机操作系统上（这个说法有一个小漏洞，后面再补上）。如果不理解这句话的话，我来举个例子：棉铃虫是是棉花种植中的一种很严重的病虫灾害，在棉花的主产区很容易传播和互相感染。但是，人是不会长棉铃虫的。我们不用担心去收棉花的时候染上棉铃虫。智能手机操作系统也是一样，塞班（Symbian,诺基亚智能手机的主打操作系统）的软件只能在塞班的手机上运行，绝不可能在用微软移动操作系统(Windows Mobile)的手机上运行。拿iPhone的软件跑到诺基亚的手机上运行也是天方夜谭。结论就是，你只能被使用同样智能手机操作系统的手机感染。目前能找到的智能手机平台大概是Symbian,Windows Mobile,Blackberry,iPhone,Andriod，Linux，Palm，还是一样，到淘宝上搜索自己的手机，查一下看看自己属于哪个帮派？接下来我挨个介绍。
我知道我的系统是什么了，那哪个系统最容易中毒呢？
先说iPhone吧，这个最容易讲，一个正常的iPhone想要装软件只能到苹果官方的软件店上找，而苹果对软件的功能和安全性审查的极其严格，虽然有人 对这种封闭垄断行为很是不满，但是对最广大的普通用户来说，至少在安全这个问题上，用iPhone的根本不用操心。Google推出的Andriod智能手机操作系统，目前也是沿用这个策略，你只能装官方的软件店上的软件。用这个系统的朋友也可以放心大胆的用了。
Symbian是一个比较复杂的系统，市面上能见到的有Symbian s40,s60第一，二，三，五版，UIQ等。先找个简单的来说，Symbian s60 的第三版以及之后的所有版本，包括UIQ，在上面正常安装的所有软件都必须通过Symbian官方进行安全认证。或是用户自己给软件打数字签名作认证(这个不讲了，普通用户不会这么干的)。Symbian虽然没有官方的软件店限制，但是签名认证这一点就已经给s60高端智能机一个很好的安全保证。不用说做一个病毒传播出去，就连作一个正常的软件想要发布都会有很多门槛，必须买一个$200一年的开发者资格，每次发行一个版本都要付给官方$20认证后才能大范围的安装使用。要想写一个恶意软件很容易，但是要装到很多手机上用并传播，基本上不可能。至于s60的第一，二版本，诺基亚在2005年的机型 N90以后就再也没出过这两个版本的智能手机了。他们的安全认证等级确实比较低，但是市面上已经没有这些产品卖了。大家也不用为古人担忧了。
Palm大家可以忽略了，已经很久没有Palm系统的新机出现了，近来要推出的Palm Pre会搭载新的操作系统WebOS。目前没有真机，但我相信这种现代的操作系统，都会十分注重安全性的。也先不用为未来担心。
至于Linux，其实手机上用的很少，摩托罗拉的A系列一直在折腾，单从血统来看，Linux的手机安全性肯定不必担心。另外，像这种比较偏门的机型，现在占有率不高，未来发展方向也不好。不用说病毒，就是正常的软件开发商都不想为他作软件。所以用这一系列的商务人士们也可以无忧了。
Balckberry的软件安装目前未见到安全认证机制，同上面未说完的Symbian s40一样，是市场上占有率较高且有中毒风险的系统。但是很有意思的是，基本上没有病毒爆发的迹象。而Windows Mobile也继承了Windows一贯的光荣传统，安全认证机制基本为零，属于高危范围。而为什么目前没有很多手机病毒呢？其实，目前在电脑上，单纯的病毒已经无利可图了，写病毒已经不再是一种技术炫耀，病毒作者已是无利不起早的经济利益偷窃者，电脑上的网游盗号，网银盗号才是他们要关心的。手机上没有他们想要的，我们的认为重要的亲密短信，隐私图片，对犯罪者是没有吸引力的。这也是目前在这些相对危险的操作系统上也没有手机病毒爆发的重要原因。
如果说要窃取利益，装了软件后在后台偷偷的发订阅服务的短信应该是最常见的方式了。但是为什么目前也不泛滥呢？这个和几年来整治SP提供商有关系，短信特服号和厂商直接关联，SP资质非常的难拿到，敢作坏事就再别想作SP了。他们想赚钱倒是真的，但是没必要作这个犯罪风险这么高的事情。这也就是大环境好，立法好会很好的杜绝犯罪，也会很好的杜绝软件病毒。电脑上也是一样，如果能有好的立法保护每个人的虚拟财产，目前的盗号木马绝对不会这么猖狂，说远了，不要跑题。
差不多都说完了，再补一下刚才的那个漏洞，实际上一些Java的程序是有可能在各种不同的智能手机平台上传播的。但是有一个前提要说的是，Java的程序能作的事情很有限，访问网络，访问手机上的文件，发送短信这些都会有十分明显的提示，让用户确认后才会进行。这个安全限制是在Java这一层次就已经解决了。所以基本不会对大家造成什么风险。
可是手机病毒这么多人在说，他们都是骗人的嘛？为啥你说没有就没有阿？有人说有阿？到底有还是没有阿？
其实是真的有过手机病毒，当然目前都是恶作剧形式的，我看到的都是s40,s60第一，二版本，和Windows Mobile的早期版本的几个样本，为什么会中毒的原因，想必大家也有概念了，就是操作系统的安全性差造成的，但是大家不用担心，目前这些样本都不再活跃，也基本没有啥传播能力了。算是一些待在实验室里面的样本而已。和广大普通用户没关系。就当前的流行手机操作系统看，我没见到任何可以称作病毒的东西。
那现在手机杀毒软件都是骗人的？
关于这个问题，我来分析一下目前国内一个卖的比较好的手机杀毒产品，网X。他在官方网站上放出了所有他可以查杀的病毒名，一共216种。里面大部分的病毒样本是没有标明可运行的平台的，看了我上面写过的都应该知道。平台不吻合根本没法运行，还谈什么病毒行为？另外，他的产品承诺每月升级4次病毒库，每次升级2块，或是8块钱包月，包年98（您没看错，就是比按月买还贵），两年的卡188元。从第一个有时间标注的病毒2008 年4月17日到日，一共有病毒53个，想起来也还不错。刚好平均每月4到5个，有这么巧嘛？接下来我们再看一下所谓的病毒是什么，最近的一个病毒样本是一个Python脚本，我来解释一下这个东西要怎么才能运行，首先你要在诺基亚的s60手机上装一个目前只有程序员才关心的Python脚本解释器，然后又碰巧别人传了这个脚本给你，而且你还要跑到系统中找到这个脚本并手动运行，OK，病毒爆发了，不断发短信了。听不明白吧？不知道 Python是干嘛的吧？运行这个病毒有难度吧？怎么可能中这个病毒阿，我真的是佩服这个厂商的智慧。“医之好治不病以为功”这句话在这里表现的淋漓尽致，也真的是给安全软件行业丢脸。某个很有名的安全厂商卡X出租车司机也在做手机杀毒软件，10块钱一个月，作的事情没有比网X强多少。综上，骗不骗人各位自己判断吧。
那手机很安全拉，不用管病毒这些事情了？
事情都要往前看，现在装手机杀毒软件很像给一个婴儿吃抗癌药，看似有用，但完全是庸人自扰。如果几个相对比较危险的系统能改进安全措施，基本上手机病毒就没有出头之日了。但是难保将来不会有死不悔改的厂商继续漏洞一大堆还发行产品，不过我觉得那是未来的事情，手机基本一到两年一换，有必要为自己明年的手机安全先买单么？其实说到漏洞，目前的几个操作系统都会不定期的发布一些官方的漏洞补丁，当然发放的频率很小，几个月也见不到一个。前段时间诺基亚发布了一个Symbian s60第三版的短信补丁，不打这个补丁的话，有可能被一条特殊格式的短信将手机的短信功能破坏掉。安装也很简单，到诺基亚官方网站下一个就可以了。装上去就万事大吉。其实个人认为不装也无所谓，我周围用诺基亚手机的人可以用一火车皮来形容，没见一个人中招的。
3G来了手机病毒是不是快要爆发泛滥了？
我的答复是3G和手机病毒一毛钱关系都没有。3G来了只会将智能手机推广到更多的用户那里，而安全的系统用的再多也不会有中毒的风险。我反而认为，如过能监控一些软件的行为，比如能告诉用户有软件将要发短信，将要联网，将要访问文件，在适当的时候有一个提醒，就已经足够了。这也就是为什么电脑上的杀毒软件越来越走下坡路，而360卫士这样的软件被更多人接受的原因。
那为什么有的时候我的手机会变慢，有时候会死机呢？
其实99.9999％是因为短信息太多了，或是同时运行的软件太多了，而手机的硬件性能会使得其不可能承载太多应用。解决方案是删除一些短信，关闭一些程序，或是直接重启一下手机基本就能解决了。
说了这么多，一句话概括一下吧。
目前手机根本就没有真正的病毒，忘记这件事情吧！
再听到有人提起手机病毒的时候请用这句话答复他，也请大家记住那两个公司的名字，不要轻易的相信他们那骇人的说辞。经济危机了，要捂紧自己的口袋。
防止被骗，帮我宣传，随便转载，不用署我的名字都行。
11:28:54 被【
boboHtml = '';
html += boboH
NTES(".bobo-list").attr("innerHTML", function() {
return this.innerHTML +
}, "utf-8");
发帖: 1 篇
在线时长: 0 小时
你说的太简单了吧
发帖: 26 篇
在线时长: 9 小时
好的 理解了
发帖: 1 篇
在线时长: 0 小时
谢谢!LZ辛苦。这个世道骗人的东东太多，为了一个钱字，吓唬、哄骗怪招叠出。
发帖: 1 篇
在线时长: 0 小时
我的手机前几天中毒了，摩托罗拉E6E移动定制版，手机内存卡里的相片被改了名字后缀名都改成了EXE，无法打开，后来连夜用卡巴斯基给杀掉了，你说没有病毒？那我手机是怎么回事。
发帖: 1 篇
在线时长: 0 小时
楼上的貌似是电脑病毒不是手机病毒
发帖: 1 篇
在线时长: 0 小时
【回复 10楼 河南郑州网友 】:
我的手机前几天中毒了，摩托罗拉E6E移动定制版，手机内存卡里的相片被改了名字后缀名都改成了EXE，无法打开，后来连夜用卡巴斯基给杀掉了，你说没有病毒？那我手机是怎么回事。
------------------------------------------------------------------
那是电脑中毒了，感染了存储卡的文件，和手机病毒没什么关系
发帖: 1 篇
在线时长: 0 小时
【回复 10楼 河南郑州网友 】:
我的手机前几天中毒了，摩托罗拉E6E移动定制版，手机内存卡里的相片被改了名字后缀名都改成了EXE，无法打开，后来连夜用卡巴斯基给杀掉了，你说没有病毒？那我手机是怎么回事。
------------------------------------------------------------------
你中的是电脑病毒，这都不知道。。。。。。
发帖: 2 篇
在线时长: 0 小时
能分清智能手机和非智能手机的人就更少了。能知道所谓Symbian和Windows Mobile系统的区别，知道iPhone和RIM这些单词的人算是很高端用户了???????
真当我们白痴？
发帖: 1 篇
在线时长: 0 小时
windows mobile最容易中毒
发帖: 1 篇
在线时长: 0 小时
【回复 10楼 河南郑州网友 】:
我的手机前几天中毒了，摩托罗拉E6E移动定制版，手机内存卡里的相片被改了名字后缀名都改成了EXE，无法打开，后来连夜用卡巴斯基给杀掉了，你说没有病毒？那我手机是怎么回事。
------------------------------------------------------------------
哈哈！那是你把手机连接电脑，电脑里面的病毒将你手机存储卡内的文件感染了，但是病毒只在存储卡，不会对手机OS造成任何影响
发帖: 1 篇
在线时长: 0 小时
上个星期我的手机就中毒了，起因是在wap网络上下载了一个软件，里面带有病毒，在Fexplorer里面有两个陌生进程，无法强制关闭，它能够自动连接网络，自动向服务商发送定制内容的短信，自动下载其他软件并且安装，后来我只能将手机格式化了。
发帖: 31 篇
在线时长: 2 小时
我同事就中了个自动发短信的病毒。
积分: 6163
发帖: 2038 篇
在线时长: 38 小时
发帖: 1 篇
在线时长: 0 小时
我的手机里面的手机QQ什么的。。下载的东西都无法打开啊。。这又是什么？？
手机老板说是中毒了。。就把我手机拿去升级。。还花了我40块钱呢。。。
发帖: 171 篇
在线时长: 8 小时
楼主辛苦了，鼓励一下
发帖: 1 篇
在线时长: 0 小时
白痴。。。不想和你所说什么
怀疑你用过智能机吗？
普通的手机是不容易中毒，但是智能机。。。
自己去论坛看
发帖: 1 篇
在线时长: 0 小时
说出了真正手机玩家的心里话，哈哈，很赞同楼主观点，所谓的病毒99%是实验室样本。但是也有漏网之鱼，塞班3rd就有个恶意软件通过了塞班的签字认证，塞班也为此道过谦……其实，中这种东西的一是好奇的菜鸟，二就是经不住露骨的色情诱惑的菜鸟。如果你连一点常识也没有，自己随便用17权限的开发证书给软件签名的话……那确实也就是没办法了……
发帖: 1 篇
在线时长: 0 小时
开来我真是像你说的那样白痴！S40什么时候成智能机的操作系统了？反正不是我白痴就是你白痴
发帖: 1 篇
在线时长: 0 小时
有道理！！
发帖: 1 篇
在线时长: 0 小时
说的有些道理。
但中病毒的还是有的，中招一般是些喜欢从网上下载折腾软件的的人，有可能不小心弄上个恶意程序。不过别相信手机杀毒软件，这个的确没用
发帖: 1 篇
在线时长: 0 小时
有的软件不符合系统的格式 也会变异成为病毒
着类病毒有可能造成机器运转速度慢 会占用很多内存
不过放心 着种机率很小的
不要随便下载软件就可以了
发帖: 1 篇
在线时长: 0 小时
狗屁，肯定是做手机病毒的
发帖: 1 篇
在线时长: 0 小时
【回复 10楼 河南郑州网友 】:
我的手机前几天中毒了，摩托罗拉E6E移动定制版，手机内存卡里的相片被改了名字后缀名都改成了EXE，无法打开，后来连夜用卡巴斯基给杀掉了，你说没有病毒？那我手机是怎么回事。
------------------------------------------------------------------
你那是电脑中毒把内存卡的东西搞坏了，和手机有个鸟关系
积分: 5129
发帖: 1488 篇
在线时长: 114 小时
有点道理。
发帖: 1 篇
在线时长: 0 小时
讲得很对。
发帖: 1 篇
在线时长: 0 小时
随便看看,太长了
积分: 1111
发帖: 182 篇
在线时长: 12 小时
顶你，支持楼主！有意思
发帖: 1 篇
在线时长: 0 小时
我以前用WM机的时候用过几个月网秦，冤啊！手机中毒比中六合还难！我那时定时给钱升级呢！WM机是容易中毒，但用WM机的都应该很容易发现手机有没有问题。目前来说手机杀毒软件真的没有电脑上的杀毒软件作用大！
发帖: 1 篇
在线时长: 0 小时
现在黑莓也更发现手机中毒是难上加难！黑莓的手机要安装软件大部分都在电脑上用桌面管理器安装！安装到手机后没有给它权限的话还不能联网呢！
发帖: 1 篇
在线时长: 0 小时
【回复 10楼 河南郑州网友 】:
我的手机前几天中毒了，摩托罗拉E6E移动定制版，手机内存卡里的相片被改了名字后缀名都改成了EXE，无法打开，后来连夜用卡巴斯基给杀掉了，你说没有病毒？那我手机是怎么回事。
------------------------------------------------------------------
exe后缀的程序是windowns.dos系统下才可运行.你的手机是linux的怎么运行呀.肯定是手机接电脑进感染的.
积分: 3077
发帖: 1297 篇
在线时长: 225 小时
hehe,做标记先
网易论坛，天天相伴
一个人的夜晚，不小心陷入沉思.............还有个不小心想起的人......................
发帖: 1 篇
在线时长: 0 小时
【回复 10楼 河南郑州网友 】:
我的手机前几天中毒了，摩托罗拉E6E移动定制版，手机内存卡里的相片被改了名字后缀名都改成了EXE，无法打开，后来连夜用卡巴斯基给杀掉了，你说没有病毒？那我手机是怎么回事。
摩托罗拉的E6，操作系统是Linux,在它上面看文件能不能执行，根本就不看后缀名，而是文件的属性，在Linux上，只要文件的属性为可执行，那怕是用JPEG当、或者是TXT当文件后缀，它也照样能够执行。把后缀改成exe,在Linux上是绝对不会被执行的。那么好了，是什么改了你的文件名呢？我看十成就是你PC机上的Windows！
------------------------------------------------------------------
发帖: 1 篇
在线时长: 0 小时
楼主说的太过片面！
据我所知，就塞班系统而言，为了安装一些软件，大家通常会去破解掉所谓的认证系统，所以根本不存在什么因为有安全认证就不能安装其他软件一说，照楼主这样说，网络上那些破解软件是怎么横行起来的？
就我而言，自己玩过塞班，WM SP，WM PPC，反正为了权限，通常第一步都会解锁，然后安装无数的软件！至于病毒，有接触过蓝牙病毒，其他的就没接触到了，至于说做病毒有什么目的，好简单，知道为什么当年那么多人喜欢下载冰河这种软件玩吗？很多时候都只为了一个目的，炫耀，我自己就试过，下一个冰河去找肉鸡玩，看他聊QQ，然后告诉他，你被我控制了！所以也不要说什么“无利不起早”的话！
积分: 2969
发帖: 1215 篇
在线时长: 232 小时
~~顶帖有礼~~
网易论坛，天天相伴
我是站在冥河的这一边，悠然观望对面的风景，这一生的悲与喜，泪与笑，幻作花落花开，无边风月。
发帖: 1 篇
在线时长: 0 小时
windows mobile最容易中毒 ,貌似楼主没有仔细讲windows mobile系统哦！
发帖: 1 篇
在线时长: 0 小时
【回复 59楼 网易火星网友 】:
楼主说的太过片面！ 据我所知，就塞班系统而言，为了安装一些软件，大家通常会去破解掉所谓的认证系统，所以根本不存在什么因为有安全认证就不能安装其他软件一说，照楼主这样说，网络上那些破解软件是怎么横行起来的？ 就我而言，自己玩过塞班，WM SP，WM PPC，反正为了权限，通常第一步都会解锁，然后安装无数的软件！至于病毒，有接触过蓝牙病毒，其他的就没接触到了，至于说做病毒有什么目的，好简单，知道为什么当年那么多人喜欢下载冰河这种软件玩吗？很多时候都只为了一个目的，炫耀，我自己就试过，下一个冰河去找肉鸡玩，看他聊QQ，然后告诉他，你被我控制了！所以也不要说什么“无利不起早”的话！
------------------------------------------------------------------
好直接的人
发帖: 1 篇
在线时长: 0 小时
我就中过病毒，诺基亚6600的，几年前中过一次经蓝牙传输的病毒，中完后手机电池几小时后就没电，后来经网上指点才弄好
发帖: 1 篇
在线时长: 0 小时
【回复 1楼 马赛克 】:
来源:金山毒霸官方博客 作为一个软件从业者，我有很多其他领域的知识盲点，当我看到有人揭露私人豆腐坊的生产过程之后，我就再也不敢到小市场买豆腐吃了。当我了解到药品销售者和医生勾结向病人推销过量药品这个事实后，到医院买药我都要仔细查看药品的名字和功效。没有人是全能的专家，我很有自信不会在计算机和软件上受骗，但是难保 其他人不被骗。写这个文章应该算是社会责任，于是，我这次充当内部人士揭秘，来看看手机病
------------------------------------------------------------------
如梦初醒，谢谢提醒！讲得很有道理！
发帖: 1 篇
在线时长: 0 小时
下次自动登录
每30秒自动保存一次内容
我眼中的似水流年作品征集
24小时热帖榜
下次自动登录}