移动平台危机四伏——对12306移动客户端的担忧

我是一名IT从业人员，也是一名身在客乡的游子，每年的这个时候都会随着春运大军在网络上抢票，12306从以前的被人噗之以鼻到今年的广泛被业界认为是最成功的电商平台，我们一起见证了12306的成长，一起见证了中国铁道部的成长。

       今年最让人买票人员眼前一亮的我想就是12306发布了移动客户端，从12月8日发布到今天仅Android平台就有数百万的用户下载使用，这对所有人无疑都是一个好消息，老百姓又多了一个购买车票回家的渠道。

       但因为工作的关系，我比较关心移动客户端的安全问题，移动平台的安全技术和相关法律法规还远远没有成熟，但渗透技术却日新月异，这不能不让我们对所有移动客户端担忧，特别是像12306这样关系重大的应用，它不仅关系到金钱，更关系到春节是否能回家与家人团聚，我想这件事对在外漂泊的人来说是至关重要的。

    我存在这样的担忧主要是由移动平台自身的安全隐患所决定的：

  （1）据2012年的统计结果显示，仅2012年，CNCERT监测和网络安全企业通报的移动互联网恶意程序样本有162981个，较2011年增长25倍，其中约有82.5%的样本针对Android平台，已成为移动平台第一重灾区，这主要是缘于Android平台的用户数量快速增长和Android平台的开放性。 

（2） 而按照恶意程序的行为属性统计，恶意扣费类的恶意程序数量仍居第一位，占39.8%，流氓行为类(占27.7%)、资费消耗类(占11.0%)分列第二、三位。2012年，CNCERT组织通信行业开展了多次移动互联网恶意程序专项治理行动，所重点打击的远程控制类和信息窃取类恶意程序所占比例分别较2011年的17.59%和18.88%大幅度下降至8.5%和7.4%。

（3）目前一些APP大面积被山寨，存在泄露隐私的风险，同时由于APP山寨版和正版外观相似，要一眼分辨存在困难。其实，除了一些App被山寨外，还面临着被破解、二次打包、数据篡改、注入等危机。

诸多安全问题都已经存在并且严重危害到我们的人生财产安全，但是最令人担忧的是移动安全行业还没有非常优秀的解决方案，目前行业内的如单一安全加固等移动安全解决方案还远远不能满足移动安全的要求。

    为了验证12306客户端的安全性，前不久我对12306客户端进行了全面的安全评估，从代码到结构都进行了研究，结果不容乐观，好几个方面都存在漏洞。但是我相信就想12306的网站一样，这款应用也一定会越做越好、越做越安全；但作为一名安全研究人员，对12306客户端的担忧却又不得不说，望有关部门重视，防患于未然。