SAY討論區

標題: 你的手機安全嗎? [打印本頁]

作者: Flibs    時間: 2014-8-8 16:13:37     標題: 你的手機安全嗎?

許多人可能被前兩天突然出現的“超級手機病毒”給嚇到了,一部分人被嚇到可能是因為害怕自己的手機莫名就感染了這種所謂的“超級手機病毒”,還有以小部分人被嚇到則是驚訝於“超級手機病毒”其實是一種“超級簡單手機病毒”,技術含量十分之低,稍加註意就可以完全避免危害。
據悉,這個蝗蟲惡意軟件(病毒)的制造者隻是一名初學Android軟件的學生,這個惡意軟件也隻是他拿來練手用,不想造成了廣泛的傳播和影響。因為這個惡意軟件的安裝需要用戶點擊鏈接下載,授權讀取聯系人發送短信權限選項,並需要確認安裝,稍微有安全意識的手機用戶就可以避免,這反映的問題其實並不是手機病毒的強大,而是相對於電腦安全,大部分用戶對於手機安全問題還沒有明確的意識。
回顧過去的消息報道,我們發現,這次爆發的“超級手機病毒”隻是手機安全問題中的一朵小小浪花,我們面臨的手機安全問題似乎不是很樂觀。
Android的開放與安全
對於手機系統來說,安全和開放看起來是一個不可調和的悖論。因為點擊下載鏈接後下載的文件後綴是apk。所以這次爆發的“超級手機病毒”也是隻能在Android手機范圍內傳播。
互聯網安全公司F-secure發佈的移動互聯網安全報告指出,Android平臺面對著比較大的安全問題,2012 年有79%的惡意軟件都寄生於Andriod之上,此數字比2011年更高出12.3%。相較之下,iOS平臺內的惡意軟件僅占總量的0.7%。如今兩年過去,隨著Android份額的水漲船高,Android平臺的安全問題也並沒有得到好轉。
Public Intelligence在2013年發表了一份來自美國國土安全部和司法部的聯合聲明,數據也和F-secure的類似,在2012年有79%惡意軟件(木馬)來自Android,而iOS隻有0.7%。來自塞班的木馬比例為19%,黑莓和Windows Mobile的移動木馬比例相同,都是0.3%。
不是Android本身並不重視系統的安全問題,2012年,Android 4.1才是第一個完全意義上支持ASLR技術的版本。ASLR( Address space layout randomization )技術,這是一種針對緩沖區溢出的安全保護技術,通過對棧、共享庫映射等線性區佈局的隨機化,增加攻擊者預測目的地址的難度,防止攻擊者定位攻擊代碼位置,達到阻止溢出攻擊的目的。這樣可以極大地提高黑客在利用內存漏洞上的難度。
稍微回顧一下,Android手機安全問題的新聞不在少數。一般認為,相比於其他一些不知名的軟件市場,Google Play要安全一些,但是即使是這個官方的軟件商店,裡面也可能有惡意軟件存在。
翻下2012年的舊賬,根據Ars Technica的報道,研究人員發現已經有更多的惡意軟件進駐到了Google Play。而且有趣的是,這些惡意軟件能夠駐留在官方市場裡很長一段時間,即使已經有了很大的下載量也依舊能不被發現。比如一款名為Android.Dropdialer的木馬程序,通過強制用戶撥打某些特定號碼來榨取高額費用,在進駐 Google Play 數周之後才被發現;而“Super Mario Bros” 和 “GTA 3 Moscow City”作為惡意程序被打包,下載量達到了10萬。
對於Android嚴峻的安全問題,Google方面似乎也是有心無力。當法國Android站點FrAndroid問及Android的惡意軟件時,Google副總裁、Android部門主管Sundar Pichai回答道:
“我們不會保證說Android是用於安全用途,它主要用來提供更多自由。當人們討論90%的Android木馬時,他們必須要認識到這樣一個事實:它是世界上最流行的操作系統。如果我在生產惡意軟件的公司,我想我也會把攻擊目標瞄向Android的。”
Chrome出於安全考慮關閉插件入口,隻能商店安裝,則被人指責走向封閉,安全和開放此時確實難以調和,並且,安全問題不僅僅是系統方的責任,用戶和第三方安全公司也不能置身事外。
iOS就一定安全?
上面說到,在2012年,來自iOS的惡意軟件數量僅為總數的0.7%,相比於當時iOS的市場占有率,這個成績還算不錯。但這代表的是iOS隻是相對安全,而不是絕對安全。事實上,關於iOS安全漏洞的新聞也不在少數。
同樣是在2012年,根據福佈斯報道稱,一位卡巴斯基的反病毒研究人員Maslennikov在App Stroe中發現了一款名為“Find and Call”的應用程序,表面上看起來它與其他的通話應用程序的功能沒有區別,但通過調查發現,這款“Find and Call ”的應用程序還會擅自收集用戶的私人信息,隨後將這些信息資料上傳至一個遠程服務器,最後該服務器會向用戶聯系人名單上的每一個人都發出短信,並附上應用的下載鏈接。這個原理聽起來和那個“超級手機病毒”如出一轍。
值得說明的是,這是以嚴格審核著稱的App Store裡發現的首例惡意軟件。此次iOS平臺上的惡意軟件事件,以及之前Mac OS X一次又一次的飽受病毒的困擾,讓蘋果大力宣傳的安全機制受到了諸多挑戰,蘋果“無毒”也漸成過去。
在去年的Usenix安全會議上,來自喬治亞理工學院的科學家們演示了他們的研究成果——一段好像阿米巴變形蟲的代碼,這段代碼在通過App Store應用測試的時候,表現是無害的,但當它被安裝到iOS機器上,這段代碼就會搖身一變,從小綿羊變為豺狼。更重要的,通過這樣的方式,他們的確成功地在App Store發佈惡意應用。當然,因為是試驗性質,科學家們沒有利用漏洞作惡。不過這也證明了當時的App Store審核機制仍有可趁之機存在。
如果說因為iOS的圍欄花園安全模式(Walled Garden Model)使得這個系統裡的應用還相對安全的話,那麼iOS系統層面的漏洞就經常被發掘出來。
去年初,iOS 7還沒有發佈的時候,iOS6的一個安全漏洞會對所有未啟用兩步安全機制的用戶造成影響。利用這個漏洞,使用者隻需要郵箱地址和機主的出生日期,然後登陸蘋果的iForgot網頁,在回答安全問題時將修改後的URL地址粘貼進去,就能夠隨意重置Apple ID和iCloud密碼。隨後蘋果關閉了iForgot 網頁,並承認了該漏洞的存在。
而在iOS 7剛剛發佈不久,一名網友發現了一個新的iOS 7安全漏洞:在密碼鎖屏狀態下,點擊“緊急呼叫”,輸入任意號碼,然後不停地快速點擊“呼叫”按鈕直至手機出現蘋果logo,之後電話就會成功地撥打出去。事實上,許多版本的iOS都有不一樣的鎖屏漏洞出現。
Touch ID的出現被認為是在安全和便捷之間取得了一種微妙的平衡。不過對於黑客來說,破解Touch ID 指紋識別毫無壓力,德國知名黑客Starbug自己制作了一套指紋,成功騙過了Touch ID系統。但Starbug 卻表示破解Touch ID“毫無挑戰”,他甚至感到“非常失望”:
“我隻花了30個小時就成功破解了Touch ID。我大概花了半個小時來做準備工作,而花費了更多的時間去尋找傳感器的技術規格信息。我非常失望,因為原本以為需要花費1到2個星期才能破解它。這次破解毫無挑戰。”
這個破解過程揭示了一個殘酷的現實——遺留在任何地方的指紋,都可能被用來繞過Touch ID。Starbug更是一針見血地指出,Touch ID隻是增加了便利性而不是安全性。
不過蘋果白皮書曾指出,Touch ID是絕對安全的。不過此安全非彼安全,指的是個人信息和隱私的安全性:每塊A7芯片中都有一個唯一的安全模塊,無論是蘋果還是A7處理器都不能讀取這個模塊中的數據。而且每次認證過程都在“終端對終端”的加密中進行,也就是說,你的指紋信息不會被上傳。iPhone5s在完成指紋數據的處理和分析後,會自動刪除這些數據,不會同步到iCloud或者iTunes。
蘋果還進一步解釋了指紋圖像的用途。指紋圖像會一直隻保存在內部存儲內,直到它變成解碼密鑰。如果用戶超過48小時沒有解鎖、重啟手機,或者解碼失敗超過5次,那麼iPhone的保護系統就會被激活。另外,當陌生用戶觸摸Touch ID時,他們解鎖手機的概率僅有大約五萬分之一。
有時候也不是系統的關系
前面提到的都是系統層面的東西,除了系統層面,手機的安全漏洞也可能在別處。
計算機安全問題研究員Karsten Nohl和Jakob Lell最新的一項研究發現,USB設備存在一個嚴重的安全漏洞。一種叫做BadUSB的惡意軟件會通過鼠標、鍵盤及U 盤等USB設備入侵個人電腦,篡改硬盤軟件。
Karsten Nohl和Jakob Lell長期從事USB設備安全問題研究,這一次他們沒有像往常那樣編寫惡意軟件代碼入侵USB設備的儲存器,以測試安全性能;而是把研究重點放在了USB設備中控制轉存功能的固件上。結果發現,通過編寫一定程序,黑客可以很容易將惡意代碼隱藏在固件內,殺毒軟件根本找不到。
除了U盤這樣的存儲設備,像USB鍵盤、鼠標,甚至是USB線連接的智能手機等都會出現這樣的問題。賓夕法尼亞大學計算機科學教授Matt Blaze認為這項研究揭示了一個重大的安全隱患。他還推測,美國NSA有可能很早就知道了這個問題,並使用這種方式搜集過不少數據和資料。
而在公共廁所的門背後,我們經常會發現諸如“復制 IM卡竊聽”違法信息,這可能並非詐騙信息,而是真實的違法服務項目。《紐約時報》曾報道,德國安全研究實驗室(German firm Security Research Labs)創始人卡斯滕·諾爾(Karsten Nohl)在對北美及歐洲約1000張SIM卡進行測試後對外透露,黑客可利用一個安全漏洞向手機用戶發送虛假信息,使得25%的DES SIM卡自動回復消息,並且暴露出它們的 56 位安全密匙。得到安全密匙後,黑客就能夠通過短信向 SIM卡發送病毒,該病毒讓黑客假冒機主,可以對短信進行攔截甚至可以通過移動支付系統購物。以上過程僅需2分鐘並且隻需要一臺PC就能夠完成。
早在2011年,來自盧森堡大學的Ralf-Philipp Weinman發現大部分無線設備所使用的用於處理無線電信號的高通(Qualcomm) 和英飛凌(Infineon Technologies)芯片所搭載的固件上存在漏洞。於是他利用這種漏洞破解了用於收發無線通信網絡信號的基帶(Baseboard)芯片,通過破解基帶芯片入侵手機是一種此前不曾有的方式。由於手機的無線信號都需要通過基站來傳播,所以Weinman的將首先架設一個虛假的基站欺騙別的手機連接上來,然後向攻擊目標發送惡意代碼。Weinman所編寫的惡意代碼隻能在無線電處理器的固件上運行。
而就在不久前,網絡安全公司Accuvant的手機研究人員Mathew Solnik表示,他可以在30英尺之外不知不覺地入侵一部智能手機,包括侵入其通話、瀏覽聯系人甚至讀取短信。Solnik表示他們已經大概想出辦法,通過智能手機在無線電方面的漏洞偽裝成無線運營商——利用一個不到1000美元、筆記本電腦大小的虛擬信號塔便可以在30英尺范圍內的手機上傳惡意代碼。
USB接口,SIM卡,基帶芯片,不同的數據傳輸方式也往往伴隨著不同的安全隱患。
黑莓最後的榮耀
雖然黑莓江河日下,市場份額逐漸萎縮,但是其手機安全性仍被許多人認可,此前德國內政部采購了3000部采用了德國公司Secusmart技術加密的黑莓設備,並發放該部門成員使用,內政部發言人Tobias Plate表示,通過使用這些黑莓設備降低了使用者被黑客竊聽的風險,因此德國政府還將訂購更多的黑莓手機供官員使用。
隨後德國內政部宣佈黑莓是唯一符合其安全標準的手機,德國政府還將繼續訂購 2 萬多臺采用 BB10 的黑莓手機。
在企業市場,黑莓手機依靠安全性勉強支撐著。在早前黑莓開始衰落的時候,幫助企業部署手機 Mission Critical Wireless公司的CEO Dan Croft認為:
“現在為 RIM 寫悼詞太早了,很顯然他們面臨著許多突出的問題,但是仍然有上百萬的黑莓在順利運行。我們看到的不是RIM被趕出企業市場。我們隻是看到非黑莓設備的增多。”
Croft認為,雖然iOS/Android設備增強了安全功能,但是黑莓的安全功能更加強健,更易配置。為消費者設備,如iPhone和Android配置合適的安全系統需要更多的計劃。這個例子現在看仍不過時。
三星一直想要在企業和政府市場大展拳腳,為此還專門研發了 Knox 安全解決方案。隻是這些正在和黑莓競爭,爭取美國政府方面的客戶,並安裝有Knox安全解決方案的手機曝出了重大安全漏洞,該漏洞的存在使得黑客可以追蹤到手機用戶的郵件信息,個人數據等隱私信息,這次安全漏洞的曝出,使得三星在這場競爭處於一個不利的位置。
今年年初,美國五角大樓啟用了最新的管理系統,其中被激活的新設備中,98%為黑莓手機。新管理系統預計將激活8萬臺黑莓手機以及1800臺iOS和Android設備。新管理系統的預期開支為1.6億美元,將確保30萬安全人員在使用移動設備時不會泄露軍事機密。
黑莓在德國和美國政府市場依舊受信任也並不意味著他們在政府和企業市場高枕無憂,
據英國衛報報道,黑莓BB 10系統在去年被英國政府拒絕,原因是未通過英國通信電子安全小組(CESG)的安全認證,該機構是英國國家信息安全技術權威部門,它的拒絕認證,意味著英國政府認為黑莓BB 10系統不安全。在黑莓BB 10中,除了黑莓傳統的特有網絡服務外,BlackBerry Balance是一個主要針對企業和政府設計的應用,主要用來隔離個人和工作之間的數據,兩者之間不發生任何交集,從而保證安全。但英國政府並不認為其符合安全標準。
更早之前,美國移民和海關執法局放棄黑莓,轉向iPhone,該機構的員工多達1.7萬名。
為了手機安全,我們可能得花更多的時間和金錢
隨著智能手機的日漸普及,移動支付開始逐漸滲透,這種比POS機刷卡、Web端支付更便捷的方法,無疑會有更廣闊的的想象空間。
目前的移動支付方法包括Paypal數字錢包、Google Wallet、Square等,他們借助智能手機,正在飛速擴張。比如Square在2012年交易額達到了100億美元,並逐漸部署到星巴克的7000多家店面中,今年它的交易額將會更上一層樓。
但安全問題依舊是用戶最憂慮的,有時候,消費者並不是一味的追求便捷。由於移動支付和個人使用的智能移動設備密切相關,而移動設備容易丟失,安全問題不可小覷。用戶很可能因為安全問題對移動支付望而卻步,有時候,更繁瑣的手續來增加安全性反而更容易讓用戶接受。
來自英國的調研機構Auriemma Consulting Group 做了一組調查,他們發現,和智能設備強調用戶體驗至上相悖的是,更繁瑣的手續反而更容易讓用戶接受。
便利性和安全性的往往不可兼得,為了手中的錢。用戶也願意忍受更繁瑣的手續。在 Web 端,在線支付已經比較普及,比如網銀、信用卡和支付寶,這幾種方式在用戶中比較受認可。從他們的操作方式來看,安全認證文件、多次輸入密碼、驗證碼在每次交易中都會使用到。然而移動設備對便捷的需求更加強烈,簡化流程是大勢所趨,但如何兼顧安全性,以及讓用戶接受成為一個難題。
Blackphone,但機不如其名,機雖取名 “黑機”,但實際上是一部專門防黑的智能手機。Blackphone 是由一支軟件和硬件團隊合作的成果,軟件方面有則是加密領域有名的Silent Circle,這個團隊的聯合創始人則是發明了 PGP郵件加密的Phil Zimmermann,而Zimmermann 本人也入選了互聯網協會的“互聯網名人堂”。
關於Silent Circle,則是2012年成立的一支年輕安全團隊,但是這支團隊的陣容可不可小覷,除了 Zimmermann 外,著名的計算機安全專家Jon Callas也是團隊創始人之一,另外團隊的其它成員都是高級工程師或是前特種部隊通訊專家。
在發佈Blackphone 之前,Silent Circle在安全界已小有名氣,推出了針對電話、短信、郵件的加密服務Silent Phone、Silent Text、以及Silent Mail。而Blackphone將順理成章地運用團隊這方面的積累,除了提供以上三種通訊的加密外,手機還通過一個全天候的虛擬私人網絡(VPN)使用戶的網上行蹤匿名化。據說,這部手機連NSA也無法入侵。
基於PrivatOS的深度定制Android系統,內置Silent Circle的加密即時通訊應用、Spider Oak的加密數據存儲、Disconnect的反追蹤服務和Kizmet的反WiFi嗅探使得Blackphone看起確實很安全,同時,它的價格也很相對高昂,為629美元。
為手機提供特定安全服務的不僅有Blackphone,土豪手機Vertu Signature Touch手機內置了卡巴斯基反病毒軟件和防竊聽功能,保證通話短信不被竊取。當然,這款手機的價格是11350美元起步。
這裡的時間也還有等待新技術的時間。
一家來自紐約的安全公司EyeLock也在嘗試用更先進的生物密碼來代替傳統密碼,他們的武器是虹膜掃描。Myris 就是他們帶來的設備,它可以掃描用戶虹膜上的240個關鍵節點,然後生成一個長度為 2048 比特的數字簽名。使用時,使用者隻要抓起Myris,然後掃描一下眼球就能完成賬號登陸。
根據EyeLock提供的數據,Myris認證失誤的概率隻有2.25萬億分之一,遠遠超過聲音識別和Touch ID指紋掃描。它的精準度隻遜於DNA 驗證。EyeLock CMO安東尼·安托利諾(Anthony Antolino)自信滿滿地說道,Myris未來有望徹底取代傳統密碼。不過Myris是一款和鼠標差不多大的外接設備,目前也隻能用在電腦端,虹膜識別的未來應當是集成到手機電腦這樣的設備中去。
uheadlb0urd58.jpg

附件: [uheadlb0urd58.jpg] uheadlb0urd58.jpg (2014-8-8 16:13:37, 0 Bytes) / 下載次數 0
http://say.go2tutor.com/forum.php?mod=attachment&aid=NjQxMjE3fGM1YTdmYWFhfDE3ODM4NjUwMjR8MHww
作者: xiao丸子    時間: 2014-8-8 20:15:55

支持你加分
作者: 十兵衛    時間: 2014-8-8 20:45:27

頂.支持,路過.
作者: madbull_zxr750    時間: 2014-8-8 21:18:29

支持一下吧
作者: xiao丸子    時間: 2014-8-8 21:32:41

希望大家幫我把這個帖發給你身邊的人,謝謝!
作者: hopakngai    時間: 2014-8-8 22:12:50

我想要`~
作者: madbull_zxr750    時間: 2014-8-8 22:16:03

先回覆一下,閃人
作者: frankyhui    時間: 2014-8-9 04:54:49

這個站不錯!!  
作者: Disy    時間: 2014-8-10 05:08:15

應該加分
作者: 切雞飯    時間: 2014-8-10 05:18:32

這樣的貼子,不頂說不過去啊
作者: 弒殺滅神    時間: 2014-8-13 03:56:29

圍觀來了哦
作者: 牙`蔚    時間: 2014-8-17 03:39:58

這個好像在其他地方看過了
作者: hillmen    時間: 2014-8-18 00:51:19

這個帖不錯!!




歡迎光臨 SAY討論區 (http://say.go2tutor.com/) Powered by Discuz! X2