利用彩信攻擊獲取他人手機通信錄上的電話號碼、通過一根數據線竊取現場觀眾的微信聊天記錄……近日,在京舉行的2015中國互聯網安全大會上,幾位信息安全專家在演講中隨意演示的幾個智能移動終端攻防招數,讓現場的觀眾瞠目結舌,切身體會到智能手機信息安全問題的嚴重性。
移動互聯網時代,智能手機已成為人們生活中不可或缺的工具。據統計,截至目前,全球智能手機銷量達11.2億部。這些手機中,絕大多數是基于安卓系統,只有14%是蘋果系統,而安卓系統的開放性導致用戶的信息安全存在隱患。據易觀智庫發布的一份統計顯示,僅2014年,我國安卓平臺中就被檢測出7500萬個惡意軟件樣本,安卓用戶累計受感染量達9663萬人次。
那么,面對重重危機,國產軟件廠商該如何通過創新研發來保護手機用戶的信息安全?在此次大會上,特設了智能移動終端攻防論壇,揭秘移動安全暗戰,國內安全軟件研發團隊與企業代表共同探討智能手機用戶信息安全保護方案。
智能終端暗藏安全隱患
在智能手機應用中,支付應用軟件的便捷性備受網民親睞。然而,很多用戶并不知道這背后暗藏巨大的隱患。易觀智庫發布的報告顯示,2014年安卓平臺移動應用惡意行為前十名單中,包括手機銀行等在內的支付應用盜版率達20%。“基于這種盜版應用,已形成一個安卓隱私交易黑色鏈條。”通付盾移動安全研究員宋超詳解了這一產業鏈的操作流程:由黑客開發一款盜版應用,比如盜版的微信或支付寶,然后將其投放到第三方不安全的應用市場,通過釣魚短信或郵件被普通用戶下載之后,就能輕而易舉地獲得用戶的個人隱私信息。他指出,這些信息在黑市上被明碼標價出售,而這只是互聯網信息安全隱患的冰山一角。
開放的安卓系統存在很多安全隱患,系統上的高危害漏洞時常爆發。“一根數據線就有可能引發安卓高危漏洞。”360公司高級安全研究員周亞金介紹,生活中,用戶在使用數據線充電、備份照片、傳輸文件、安裝應用時,都可能受到潛在的安全威脅。這一切的始作俑者,就是能影響所有安卓系統版本、被谷歌確認為高危漏洞的JDWPExposed。在論壇上,周亞金現場向觀眾演示了如何通過漏洞,執行惡意代碼破解用戶的手機屏幕鎖,竊取微信聊天記錄,讓現場觀眾驚噓不已。
在安全性較好的蘋果系統中,信息安全問題也時常發生。日前,由于開發者從第三方渠道下載被植入了惡意代碼的iOS應用開發工具XcodeGhost,包括12306、滴滴出行等在內,許多iOS應用被感染病毒,影響了上億iOS用戶。
軟件創新保護用戶信息
面對來勢洶洶的網絡攻擊,國產安全軟件廠商如何創新研發予以應對?周亞金表示,目前安卓手機廠商定制化存在較多的問題。他們在定制中一般會加入新的功能,這就會帶來一些新的安全問題和安全漏洞。而應用開發者因為安全知識缺乏,不知道怎么預防漏洞,也不知道怎么保護自己的應用不被盜版。對于用戶來說,則需要及時升級手機系統,盡量避免連接到不可信電腦。
對于移動應用源碼安全問題,宋超也表示,目前很多應用開發人員還缺乏基本的安全意識和安全技能,同時許多移動應用還側重應用功能,相對忽視了安全開發,這與國外有很大差距,需要引起業界關注。
如何確保用戶的網絡信息安全?360公司、百度、騰訊、金山等國內安全廠商紛紛推出創新的手機安全軟件。如由騰訊推出的騰訊手機管家軟件,具有體檢加速、健康優化、安全防護、軟件管理等智能化功能,還能為手機用戶提供“管家安全登錄QQ”“秘拍”“小火箭釋放內存”等特色體驗,保護手機用戶的信息安全。百度手機衛士則提出“泛安全”理念,注重“安全”和“守護”功能。
剛剛涉足智能手機市場的360公司,依靠在網絡安全領域的積累,提出要做一部在信息安全方面超越蘋果的手機。據介紹,剛剛上市的360奇酷手機旗艦版內置自主研發的360 OS操作系統,在保護用戶信息安全軟件與技術上進行多種創新。“如在功能上具有更多創新的隱私空間,用戶可以將不想讓別人看見的短信、聯系人等全部放入隱私空間。隱私空間無入口,只能通過設置的指紋或者在鍵盤上輸入特定數字才能打開。”360公司董事長周鴻祎介紹,應用鎖也是該款手機的一大創新,可以給所有應用加上密鑰。另外,具有智能判斷功能的360 OS應用權限管理功能可以根據大數據給應用分配權限,通過這些創新來保護用戶的信息安全。
提升服務升級安全保護
在萬物互聯時代,安全已經突破了軟件、內容等界限,傳統的安全防護已無法應對挑戰。對此,宋超提出“安全即服務”的觀點。他表示,目前國內安全軟件廠商開發的安全產品與用戶使用體驗還存在一定的差距,缺乏用戶體驗。“比如在農村,有大量的老年人,他們中有些人會應銀行的要求安裝App,但不知道需要下載手機助手、殺毒軟件等,面臨很大的信息安全隱患。因此,面對大量不懂安全知識的用戶,安全軟件廠商應該把安全做成服務,這樣才能更好地保護用戶的信息安全。”他表示。
把安全做成一種服務,許多安全公司也認識到這一點。如360奇酷手機推出了一整套安全防御體系,如對用戶最關注的財產安全問題,周鴻祎介紹,為防止誤裝惡意應用,用戶可以到奇酷自帶的應用商店下載正版安全應用。在進行網上支付時,用戶可以使用手機獨立運行的安全系統——360 OS財產隔離系統。在這個封閉的空間里,只有系統允許的正版網銀應用可以運行,并且,手機會自動禁止截屏等不安全操作,從而避免了惡意網絡和惡意應用。
同時,對于整個網絡信息安全環境,周鴻祎提出了“網絡安全新法則”,呼吁業界通過應用大數據來防御新的安全威脅。
京公網安備 11010502049343號