利用彩信攻擊獲取他人手機(jī)通信錄上的電話號(hào)碼、通過一根數(shù)據(jù)線竊取現(xiàn)場觀眾的微信聊天記錄……近日,在京舉行的2015中國互聯(lián)網(wǎng)安全大會(huì)上,幾位信息安全專家在演講中隨意演示的幾個(gè)智能移動(dòng)終端攻防招數(shù),讓現(xiàn)場的觀眾瞠目結(jié)舌,切身體會(huì)到智能手機(jī)信息安全問題的嚴(yán)重性。
移動(dòng)互聯(lián)網(wǎng)時(shí)代,智能手機(jī)已成為人們生活中不可或缺的工具。據(jù)統(tǒng)計(jì),截至目前,全球智能手機(jī)銷量達(dá)11.2億部。這些手機(jī)中,絕大多數(shù)是基于安卓系統(tǒng),只有14%是蘋果系統(tǒng),而安卓系統(tǒng)的開放性導(dǎo)致用戶的信息安全存在隱患。據(jù)易觀智庫發(fā)布的一份統(tǒng)計(jì)顯示,僅2014年,我國安卓平臺(tái)中就被檢測出7500萬個(gè)惡意軟件樣本,安卓用戶累計(jì)受感染量達(dá)9663萬人次。
那么,面對(duì)重重危機(jī),國產(chǎn)軟件廠商該如何通過創(chuàng)新研發(fā)來保護(hù)手機(jī)用戶的信息安全?在此次大會(huì)上,特設(shè)了智能移動(dòng)終端攻防論壇,揭秘移動(dòng)安全暗戰(zhàn),國內(nèi)安全軟件研發(fā)團(tuán)隊(duì)與企業(yè)代表共同探討智能手機(jī)用戶信息安全保護(hù)方案。
智能終端暗藏安全隱患
在智能手機(jī)應(yīng)用中,支付應(yīng)用軟件的便捷性備受網(wǎng)民親睞。然而,很多用戶并不知道這背后暗藏巨大的隱患。易觀智庫發(fā)布的報(bào)告顯示,2014年安卓平臺(tái)移動(dòng)應(yīng)用惡意行為前十名單中,包括手機(jī)銀行等在內(nèi)的支付應(yīng)用盜版率達(dá)20%。“基于這種盜版應(yīng)用,已形成一個(gè)安卓隱私交易黑色鏈條。”通付盾移動(dòng)安全研究員宋超詳解了這一產(chǎn)業(yè)鏈的操作流程:由黑客開發(fā)一款盜版應(yīng)用,比如盜版的微信或支付寶,然后將其投放到第三方不安全的應(yīng)用市場,通過釣魚短信或郵件被普通用戶下載之后,就能輕而易舉地獲得用戶的個(gè)人隱私信息。他指出,這些信息在黑市上被明碼標(biāo)價(jià)出售,而這只是互聯(lián)網(wǎng)信息安全隱患的冰山一角。
開放的安卓系統(tǒng)存在很多安全隱患,系統(tǒng)上的高危害漏洞時(shí)常爆發(fā)。“一根數(shù)據(jù)線就有可能引發(fā)安卓高危漏洞。”360公司高級(jí)安全研究員周亞金介紹,生活中,用戶在使用數(shù)據(jù)線充電、備份照片、傳輸文件、安裝應(yīng)用時(shí),都可能受到潛在的安全威脅。這一切的始作俑者,就是能影響所有安卓系統(tǒng)版本、被谷歌確認(rèn)為高危漏洞的JDWPExposed。在論壇上,周亞金現(xiàn)場向觀眾演示了如何通過漏洞,執(zhí)行惡意代碼破解用戶的手機(jī)屏幕鎖,竊取微信聊天記錄,讓現(xiàn)場觀眾驚噓不已。
在安全性較好的蘋果系統(tǒng)中,信息安全問題也時(shí)常發(fā)生。日前,由于開發(fā)者從第三方渠道下載被植入了惡意代碼的iOS應(yīng)用開發(fā)工具XcodeGhost,包括12306、滴滴出行等在內(nèi),許多iOS應(yīng)用被感染病毒,影響了上億iOS用戶。
軟件創(chuàng)新保護(hù)用戶信息
面對(duì)來勢洶洶的網(wǎng)絡(luò)攻擊,國產(chǎn)安全軟件廠商如何創(chuàng)新研發(fā)予以應(yīng)對(duì)?周亞金表示,目前安卓手機(jī)廠商定制化存在較多的問題。他們?cè)诙ㄖ浦幸话銜?huì)加入新的功能,這就會(huì)帶來一些新的安全問題和安全漏洞。而應(yīng)用開發(fā)者因?yàn)榘踩R(shí)缺乏,不知道怎么預(yù)防漏洞,也不知道怎么保護(hù)自己的應(yīng)用不被盜版。對(duì)于用戶來說,則需要及時(shí)升級(jí)手機(jī)系統(tǒng),盡量避免連接到不可信電腦。
對(duì)于移動(dòng)應(yīng)用源碼安全問題,宋超也表示,目前很多應(yīng)用開發(fā)人員還缺乏基本的安全意識(shí)和安全技能,同時(shí)許多移動(dòng)應(yīng)用還側(cè)重應(yīng)用功能,相對(duì)忽視了安全開發(fā),這與國外有很大差距,需要引起業(yè)界關(guān)注。
如何確保用戶的網(wǎng)絡(luò)信息安全?360公司、百度、騰訊、金山等國內(nèi)安全廠商紛紛推出創(chuàng)新的手機(jī)安全軟件。如由騰訊推出的騰訊手機(jī)管家軟件,具有體檢加速、健康優(yōu)化、安全防護(hù)、軟件管理等智能化功能,還能為手機(jī)用戶提供“管家安全登錄QQ”“秘拍”“小火箭釋放內(nèi)存”等特色體驗(yàn),保護(hù)手機(jī)用戶的信息安全。百度手機(jī)衛(wèi)士則提出“泛安全”理念,注重“安全”和“守護(hù)”功能。
剛剛涉足智能手機(jī)市場的360公司,依靠在網(wǎng)絡(luò)安全領(lǐng)域的積累,提出要做一部在信息安全方面超越蘋果的手機(jī)。據(jù)介紹,剛剛上市的360奇酷手機(jī)旗艦版內(nèi)置自主研發(fā)的360 OS操作系統(tǒng),在保護(hù)用戶信息安全軟件與技術(shù)上進(jìn)行多種創(chuàng)新。“如在功能上具有更多創(chuàng)新的隱私空間,用戶可以將不想讓別人看見的短信、聯(lián)系人等全部放入隱私空間。隱私空間無入口,只能通過設(shè)置的指紋或者在鍵盤上輸入特定數(shù)字才能打開。”360公司董事長周鴻祎介紹,應(yīng)用鎖也是該款手機(jī)的一大創(chuàng)新,可以給所有應(yīng)用加上密鑰。另外,具有智能判斷功能的360 OS應(yīng)用權(quán)限管理功能可以根據(jù)大數(shù)據(jù)給應(yīng)用分配權(quán)限,通過這些創(chuàng)新來保護(hù)用戶的信息安全。
提升服務(wù)升級(jí)安全保護(hù)
在萬物互聯(lián)時(shí)代,安全已經(jīng)突破了軟件、內(nèi)容等界限,傳統(tǒng)的安全防護(hù)已無法應(yīng)對(duì)挑戰(zhàn)。對(duì)此,宋超提出“安全即服務(wù)”的觀點(diǎn)。他表示,目前國內(nèi)安全軟件廠商開發(fā)的安全產(chǎn)品與用戶使用體驗(yàn)還存在一定的差距,缺乏用戶體驗(yàn)。“比如在農(nóng)村,有大量的老年人,他們中有些人會(huì)應(yīng)銀行的要求安裝App,但不知道需要下載手機(jī)助手、殺毒軟件等,面臨很大的信息安全隱患。因此,面對(duì)大量不懂安全知識(shí)的用戶,安全軟件廠商應(yīng)該把安全做成服務(wù),這樣才能更好地保護(hù)用戶的信息安全。”他表示。
把安全做成一種服務(wù),許多安全公司也認(rèn)識(shí)到這一點(diǎn)。如360奇酷手機(jī)推出了一整套安全防御體系,如對(duì)用戶最關(guān)注的財(cái)產(chǎn)安全問題,周鴻祎介紹,為防止誤裝惡意應(yīng)用,用戶可以到奇酷自帶的應(yīng)用商店下載正版安全應(yīng)用。在進(jìn)行網(wǎng)上支付時(shí),用戶可以使用手機(jī)獨(dú)立運(yùn)行的安全系統(tǒng)——360 OS財(cái)產(chǎn)隔離系統(tǒng)。在這個(gè)封閉的空間里,只有系統(tǒng)允許的正版網(wǎng)銀應(yīng)用可以運(yùn)行,并且,手機(jī)會(huì)自動(dòng)禁止截屏等不安全操作,從而避免了惡意網(wǎng)絡(luò)和惡意應(yīng)用。
同時(shí),對(duì)于整個(gè)網(wǎng)絡(luò)信息安全環(huán)境,周鴻祎提出了“網(wǎng)絡(luò)安全新法則”,呼吁業(yè)界通過應(yīng)用大數(shù)據(jù)來防御新的安全威脅。