或許是從未經歷過一次大規模的攻擊,智能手機的安全問題似乎從未被嚴肅地提升至大眾認知層面,至少相對于PC安全問題是這樣的。
但是智能手機顯然更容易暴露出安全方面的問題——智能手機是一臺實時連接互聯網、并且不定期更新、存儲大量隱私數據的設備,它很容易成為黑客攻擊的對象。
當然,這只是理論層面。不過華爾街日報最近的一篇報道介紹了研究人員在技術方面的研究成果,這一結果或許可以切實加強人們的警惕,因為它的波及范圍可能是全世界20億智能手機。
網絡安全公司Accuvant的手機研究人員Mathew Solnik表示,他可以在30英尺之外不知不覺地入侵一部智能手機,包括侵入其通話、瀏覽聯系人甚至讀取短信。
Solnik表示他們已經大概想出辦法,通過智能手機在無線電方面的漏洞偽裝成無線運營商——利用一個不到1000美元、筆記本電腦大小的虛擬信號塔便可以在30英尺范圍內的手機上傳惡意代碼。
據悉,Solnik這種入侵方式可以運行在黑莓和Android操作系統以及一個較早版本的iOS系統上。不過,Solnik強調,Accuvant發現的這項漏洞目前還不太可能對大眾用戶造成威脅,因為全世界只有少數的移動通訊專家掌握這項技術。但是技術細節一旦公布,安全風險將會波及全球。
路透社報道另一家安全公司Blunebox的研究人員也發現了一項安全漏洞——FakeID,據稱Android上任何依賴驗證簽名鏈的應用程序都會受到這一漏洞的影響。目前,Google已經表示還沒有證據顯示有人利用Fake ID進行黑客活動,公司將盡快發布漏洞補丁。
漏洞補丁的升級工作顯然是個棘手的問題,它不僅取決于系統開發商發不發,更取決于用戶終端升不升級、能不能升級。如果說iOS設備可以相對統一地進行安全升級,那么Android顯然是個麻煩事,Google很難對市場上四分五裂的Android版本進行軟件更新,它更多依賴第三方廠商,而那些停留在舊版本的Android機型將成為巨大的隱患。據悉,這個Fake ID漏洞便可以追溯至2010年1月發布的Android 2.1系統中。
下周,在拉絲維加斯舉辦的黑帽安全會議(BlackHat conference)上,智能手機的安全問題將被作為一個重要議題被展開討論。Solnik和其他研究人員將分別演示智能手機的黑客技術,希望通過這種方式能夠將智能手機推上網絡安全的新陣地。
京公網安備 11010502049343號