利用彩信攻擊獲取他人手機(jī)
通信錄上的電話號碼�、通過一根數(shù)據(jù)線竊取現(xiàn)場觀眾的微信聊天記錄……近日,在京舉行的2015中國互聯(lián)網(wǎng)安全大會上�,幾位信息安全專家在演講中隨意演示的幾個智能移動終端攻防招數(shù),讓現(xiàn)場的觀眾瞠目結(jié)舌���,切身體會到智能手機(jī)信息安全問題的嚴(yán)重性�����。
移動互聯(lián)網(wǎng)時代��,智能手機(jī)已成為人們生活中不可或缺的工具����。據(jù)統(tǒng)計��,截至目前���,全球智能手機(jī)銷量達(dá)11.2億部�����。這些手機(jī)中��,絕大多數(shù)是基于安卓系統(tǒng)���,只有14%是蘋果系統(tǒng)���,而安卓系統(tǒng)的開放性導(dǎo)致用戶的信息安全存在隱患。據(jù)易觀智庫發(fā)布的一份統(tǒng)計顯示���,僅2014年,我國安卓平臺中就被檢測出7500萬個惡意軟件樣本��,安卓用戶累計受感染量達(dá)9663萬人次�。
那么,面對重重危機(jī)����,國產(chǎn)軟件廠商該如何通過創(chuàng)新研發(fā)來保護(hù)手機(jī)用戶的信息安全?在此次大會上��,特設(shè)了智能移動終端攻防論壇��,揭秘移動安全暗戰(zhàn)�����,國內(nèi)安全軟件研發(fā)團(tuán)隊與企業(yè)代表共同探討智能手機(jī)用戶信息安全保護(hù)方案。
智能終端暗藏安全隱患
在智能手機(jī)應(yīng)用中�,支付應(yīng)用軟件的便捷性備受網(wǎng)民親睞。然而�,很多用戶并不知道這背后暗藏巨大的隱患。易觀智庫發(fā)布的報告顯示���,2014年安卓平臺移動應(yīng)用惡意行為前十名單中��,包括手機(jī)銀行等在內(nèi)的支付應(yīng)用盜版率達(dá)20%�����?���!盎谶@種盜版應(yīng)用���,已形成一個安卓隱私交易黑色鏈條��?��!蓖ǜ抖芤苿影踩芯繂T宋超詳解了這一產(chǎn)業(yè)鏈的操作流程:由黑客開發(fā)一款盜版應(yīng)用,比如盜版的微信或支付寶�,然后將其投放到第三方不安全的應(yīng)用市場�����,通過釣魚短信或郵件被普通用戶下載之后��,就能輕而易舉地獲得用戶的個人隱私信息����。他指出�,這些信息在黑市上被明碼標(biāo)價出售,而這只是互聯(lián)網(wǎng)信息安全隱患的冰山一角����。
開放的安卓系統(tǒng)存在很多安全隱患����,系統(tǒng)上的高危害漏洞時常爆發(fā)?���!耙桓鶖?shù)據(jù)線就有可能引發(fā)安卓高危漏洞?�!?60公司高級安全研究員周亞金介紹�����,生活中,用戶在使用數(shù)據(jù)線充電���、備份照片����、傳輸文件����、安裝應(yīng)用時,都可能受到潛在的安全威脅����。這一切的始作俑者,就是能影響所有安卓系統(tǒng)版本��、被谷歌確認(rèn)為高危漏洞的JDWPExposed����。在論壇上,周亞金現(xiàn)場向觀眾演示了如何通過漏洞���,執(zhí)行惡意代碼破解用戶的手機(jī)屏幕鎖�����,竊取微信聊天記錄����,讓現(xiàn)場觀眾驚噓不已。
在安全性較好的蘋果系統(tǒng)中�����,信息安全問題也時常發(fā)生����。日前,由于開發(fā)者從第三方渠道下載被植入了惡意代碼的iOS應(yīng)用開發(fā)工具XcodeGhost��,包括12306���、滴滴出行等在內(nèi),許多iOS應(yīng)用被感染病毒�,影響了上億iOS用戶。
軟件創(chuàng)新保護(hù)用戶信息
面對來勢洶洶的網(wǎng)絡(luò)攻擊����,國產(chǎn)安全軟件廠商如何創(chuàng)新研發(fā)予以應(yīng)對�?周亞金表示�,目前安卓手機(jī)廠商定制化存在較多的問題。他們在定制中一般會加入新的功能���,這就會帶來一些新的安全問題和安全漏洞����。而應(yīng)用開發(fā)者因為安全知識缺乏�����,不知道怎么預(yù)防漏洞����,也不知道怎么保護(hù)自己的應(yīng)用不被盜版。對于用戶來說����,則需要及時升級手機(jī)系統(tǒng),盡量避免連接到不可信電腦��。
對于移動應(yīng)用源碼安全問題����,宋超也表示�,目前很多應(yīng)用開發(fā)人員還缺乏基本的安全意識和安全技能��,同時許多移動應(yīng)用還側(cè)重應(yīng)用功能���,相對忽視了安全開發(fā)���,這與國外有很大差距,需要引起業(yè)界關(guān)注����。
如何確保用戶的網(wǎng)絡(luò)信息安全?360公司�����、百度����、騰訊�����、金山等國內(nèi)安全廠商紛紛推出創(chuàng)新的手機(jī)安全軟件。如由騰訊推出的騰訊手機(jī)管家軟件��,具有體檢加速����、健康優(yōu)化、安全防護(hù)���、軟件管理等智能化功能���,還能為手機(jī)用戶提供“管家安全登錄QQ”“秘拍”“小火箭釋放內(nèi)存”等特色體驗,保護(hù)手機(jī)用戶的信息安全�����。百度手機(jī)衛(wèi)士則提出“泛安全”理念�����,注重“安全”和“守護(hù)”功能�����。
剛剛涉足智能手機(jī)市場的360公司�,依靠在網(wǎng)絡(luò)安全領(lǐng)域的積累���,提出要做一部在信息安全方面超越蘋果的手機(jī)。據(jù)介紹����,剛剛上市的360奇酷手機(jī)旗艦版內(nèi)置自主研發(fā)的360OS操作系統(tǒng),在保護(hù)用戶信息安全軟件與技術(shù)上進(jìn)行多種創(chuàng)新���?�!叭缭诠δ苌暇哂懈鄤?chuàng)新的隱私空間��,用戶可以將不想讓別人看見的短信�����、聯(lián)系人等全部放入隱私空間��。隱私空間無入口���,只能通過設(shè)置的指紋或者在鍵盤上輸入特定數(shù)字才能打開?!?60公司董事長周鴻祎介紹,應(yīng)用鎖也是該款手機(jī)的一大創(chuàng)新�����,可以給所有應(yīng)用加上密鑰��。另外�,具有智能判斷功能的360OS應(yīng)用權(quán)限管理功能可以根據(jù)大數(shù)據(jù)給應(yīng)用分配權(quán)限,通過這些創(chuàng)新來保護(hù)用戶的信息安全�����。
提升服務(wù)升級安全保護(hù)
在萬物互聯(lián)時代�,安全已經(jīng)突破了軟件、內(nèi)容等界限����,傳統(tǒng)的安全防護(hù)已無法應(yīng)對挑戰(zhàn)。對此��,宋超提出“安全即服務(wù)”的觀點�。他表示�,目前國內(nèi)安全軟件廠商開發(fā)的安全產(chǎn)品與用戶使用體驗還存在一定的差距,缺乏用戶體驗��?���!氨热缭谵r(nóng)村��,有大量的老年人����,他們中有些人會應(yīng)銀行的要求安裝App�,但不知道需要下載手機(jī)助手、殺毒軟件等��,面臨很大的信息安全隱患�。因此,面對大量不懂安全知識的用戶����,安全軟件廠商應(yīng)該把安全做成服務(wù),這樣才能更好地保護(hù)用戶的信息安全�����?���!彼硎尽?/p>
把安全做成一種服務(wù)���,許多安全公司也認(rèn)識到這一點���。如360奇酷手機(jī)推出了一整套安全防御體系�����,如對用戶最關(guān)注的財產(chǎn)安全問題���,周鴻祎介紹�����,為防止誤裝惡意應(yīng)用���,用戶可以到奇酷自帶的應(yīng)用商店下載正版安全應(yīng)用。在進(jìn)行網(wǎng)上支付時��,用戶可以使用手機(jī)獨立運行的安全系統(tǒng)——360OS財產(chǎn)隔離系統(tǒng)�。在這個封閉的空間里��,只有系統(tǒng)允許的正版網(wǎng)銀應(yīng)用可以運行���,并且�,手機(jī)會自動禁止截屏等不安全操作����,從而避免了惡意網(wǎng)絡(luò)和惡意應(yīng)用。
同時�����,對于整個網(wǎng)絡(luò)信息安全環(huán)境����,周鴻祎提出了“網(wǎng)絡(luò)安全新法則”,呼吁業(yè)界通過應(yīng)用大數(shù)據(jù)來防御新的安全威脅���。
四步走打造信息安全立體防護(hù)網(wǎng)
在2015中國互聯(lián)網(wǎng)安全大會上�,多國網(wǎng)絡(luò)安全專家現(xiàn)場分享了如何應(yīng)對網(wǎng)絡(luò)威脅以及一些網(wǎng)絡(luò)安全技術(shù)的解析�。國際網(wǎng)絡(luò)安全公司Kaymera公司首席執(zhí)行官兼聯(lián)合創(chuàng)始人阿維·羅森(AviRosen)現(xiàn)場解析了黑客通過智能手機(jī)收集用戶信息的全過程,并提供了防止黑客入侵的安全措施���。他介紹�����,黑客可通過竊聽通話��、木馬攻擊����、物理提取���、位置跟蹤、蜂窩網(wǎng)絡(luò)等等��,獲取用戶的信息���。
那么���,面對網(wǎng)絡(luò)信息安全隱患,如何保護(hù)用戶手機(jī)不受威脅��?阿維·羅森表示��,任何保護(hù)手機(jī)免受威脅的解決方案都需要滿足以下條件:
首先,用戶避免下載不安全的應(yīng)用�。很多用戶手機(jī)上都安裝了防病毒軟件,但這些軟件可能只會保護(hù)手機(jī)免受惡意軟件的威脅�,無法保障手機(jī)免受語音截獲等的威脅。所以�����,用戶要自覺避免下載惡意�、不安全的各種應(yīng)用。
其次�����,必須建立多層防護(hù)措施��。手機(jī)蜂窩網(wǎng)絡(luò)一般會存在漏洞���,包括藍(lán)牙��、應(yīng)用商店�、U盤等等界面都需要多層防護(hù)�。任何一個安全保護(hù)系統(tǒng)都不是百分之百安全的,必須要建立多層的防護(hù)措施��,如只有防火墻是不夠的,還要建立檢測機(jī)制���、對抗機(jī)制等���。
再次,要進(jìn)行預(yù)防�����。要安裝防御層等保護(hù)設(shè)施�����,能夠?qū)诳托袨檫M(jìn)行預(yù)防��。
最后����,要積極進(jìn)行手機(jī)檢測�。對手機(jī)系統(tǒng),以及手機(jī)使用情況進(jìn)行檢測���,如wifi網(wǎng)絡(luò)等��。同時還要對數(shù)據(jù)進(jìn)行加密��,通過通信加密�����、信息加密�����、設(shè)備本身的加密等����,來更好地保護(hù)用戶的數(shù)據(jù)。(竇新穎)
來源:中國知識產(chǎn)權(quán)報
版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品�����,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”����,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力。凡轉(zhuǎn)載文章���,不代表本網(wǎng)觀點和立場��。版權(quán)事宜請聯(lián)系:010-65363056�。
延伸閱讀
