对于恶意攻击者而言，免费的移动应用往往意味着轻松窃取用户金钱的快捷通道：想要免费的移动应用？不想受到任何限制？没问题，一切如你所愿。当然，作为你所未知的代价，你的一切隐私信息、你的银行存款都要为我予取予夺，甚至你的生活都将为我所掌控。

你了解所安装移动应用程序的权限么？Michael Sentonas现在是迈克菲亚太区副总裁兼首席技术官，他认为对于大多数个人用户而言，答案是否定的，“大多数个人用户根本不了解，甚至不关心自己所同意的应用程序权限”。也正因此，网络犯罪分子可以猖獗地利用应用程序权限，作为投放移动恶意软件的高效方式。当用户选择放开权限时，也就意味着放弃了对个人信息的掌控权。

越简单越不安全

在这个数据的时代让我们先来看一组与移动安全有关的调查数据：

•51%的用户会在多个账户和设备上使用同一个PIN码。

•38%的用户使用容易记住的PIN码，这些PIN码由生日、周年纪念日、家庭电话号码或邮政编码组成。

•45%的用户将密码详情保存在智能手机或平板电脑中。

•28%的家长会向子女透露支持购买功能的应用的密码，20%的家长会向子女透露信用卡信息以供其购物。

当你出于偷懒心态设置了非常简单的手机密码时，对于恶意犯罪分子而言，他们获知你密码的方法也就变得愈发简单。生日、纪念日、家庭电话号码……很容易记住的数字，也是恶意犯罪分子最容易得到的数据；让智能设备记住我们的密码，下次再登录会很简单快捷，相信如果可能的话，恶意犯罪分子会很乐意为这类用户颁发“最佳配合犯罪”奖的——不需要破解猜测密码就摆在了眼前，这样的密码有等于无。诸如此类的密码到底是用来保护你的移动设备，还是为了方便盗贼们的“进入”？古人云“法不传六耳”，意指极端秘密，不能让第三者知道。实际上对于密码问题，应该仅仅限于“二耳”就好了。每多一个人知道你的密码，就多一分密码泄漏的可能。记住，简单的背后往往都是“不——安——全”！

刷机：拱手相让最高管理权

渴求自由是人类的天性，所以人们总是希望能够摆脱运营商和设备制造商的束缚，刷机操作应运而生。刷机通过技术手段破除设备中内置的软件控制或者更换操作系统，让用户获取更高的管理权限，以及更佳的用户体验，如调整外观、提升性能或加载不受支持的软件。

刷机可以使用户获得无限的控制力(管理员权限)，也使得犯罪分子得以轻松滥用设备。是的，刷机攻击本身并不会带来太多直接的欺诈破坏。不过刷机攻击形式多样，可以为短信诈骗、僵尸客户端、广告网络诈骗以及其他犯罪大开方便之门，形成长线获利途径，这也是犯罪分子经常利用的手段。某些刷机软件貌似在“帮助”用户获取对设备的最高管理权，实际上却在用户视线离开的刹那间将最高管理权拱手让与恶意犯罪分子。

还有某些“免费”移动应用，总是要获取更多额外权限。注意看下图里黄色突出显示的部分：

这是一款即时通讯类应用KakaoTalk，它有点特殊：一款即时消息应用程序为什么要读取短信彩信、截获来电，甚至获取安装和卸载文件系统的权限？答案很简单，因为这是一款木马版的移动应用，攻击者添加了不易被察觉但非常有效的权限，使他们能够安装恶意软件来监控消息和通话。

移动世界需要“聪明”的安全保护

看了上文诸君可能就在想，“我在智能手机(平板电脑)里安装上安全软件是不是就能将犯罪分子拒之门外了”。这是一个不错的想法，有这类想法朋友的安全意识可以评分为“良”。利用安全软件可以监测威胁、拦截威胁、保护个人隐私，不过要注意，智能移动设备与传统PC产品相比较更在意对系统资源的占用，过多的系统资源占用会极大拖慢应用在智能移动设备上的运行速度，影响用户体验。

要想在保护用户移动设备的同时保证优异的用户体验，这就需要移动安全软件变得更加智能。比如，使用一套账号密码实现对通讯录及其他移动数据的备份，并且在移动设备丢失后，还能通过这套账号密码将通讯录及移动数据恢复到用户新的设备里。现在许多安全软件都很注重移动端的用户体验问题，在这一点上迈克菲的移动安全软件很“聪明”，它不会让手机的日常运行速度放缓，也不会消耗电池的使用时间。

用户希望享受智能移动设备所带来的自由，但也不希望被恶意威胁侵袭。这就需要移动安全软件产品更善于“动脑筋”，甚至与移动设备硬件更紧密的结合，“聪明”的保护用户的移动设备及设备里的隐私数据。