在移動電話使用的早期階段,其管理和安全保證都遵循著企業標準。如今,移動設備數量激增,并由不同的人和企業所使用和擁有。然而,許多運行著關鍵任務的設備是由不同的安全供應商和技術來保障其安全的。
當移動設備上的內容、應用程序、數據、個人信息被存放到不同的設備平臺(如蘋果和安卓)上時,形勢就出現了不同的變化,對訪問授權的關注才引起重視。正是由于這些變化,企業開始擔心訪問策略和技術,并開始關注哪些人可以訪問和控制設備上的信息。
對于上述問題,企業已經實施了許多不同的策略,并在一定程度上獲得了成功。這些技術包括:口令字符串、非文本口令、生物識別等。
口令字符串
通常,口令字符串指的是協同用戶ID進行認證的一套字符。使用這類用戶認證的系統要提示用戶輸入ID和口令才能進行訪問。許多設備和應用程序都使用這類用戶認證,因為其易于實施和使用。但是,口令字符串還有一些嚴重的安全缺陷:
口令易被猜測、共享、濫用等;蠻力攻擊可用于獲得口令字符串;互聯網上有許多已泄露的口令清單;口令會留下鍵入的痕跡,因而易于猜測;
有很多不同的方法可用于繞過移動設備上的口令認證。攻擊者可以使用不同的軟件和攻擊來輕松地繞過口令。其中包括:
1.口令猜測:攻擊者可以簡單地嘗試用戶的生日、手機號碼、雇員ID、家庭成員生日等的組合來猜測口令。這種猜測要求對設備的物理訪問,也可以通過猜測輸入痕跡的組合來實施。由于許多設備有觸摸屏,因而觸摸可能會留下對猜測口令有利的輸入痕跡。
2.蠻力攻擊:在這種攻擊中,攻擊者必須物理訪問移動設備而不是遠程攻擊。蠻力攻擊嘗試一套口令來解鎖設備。這是一種耗時的過程,因為其依賴的是口令的復雜性。口令越復雜,就需要越多的時間來嘗試整個口令字典。
破解進入移動認證或APP過程可能需要花費30分鐘到一個月的時間。口令字符串的檢查要進行到其匹配合法的口令并實現解鎖為止。
Clockwork Recovery這個工具允許我們恢復設備。但是,此工具可用于攻擊設備,因為它并不要求口令就可以訪問手機的用戶訪問界面。此界面包含著設備的口令。獲得了用戶訪問的界面后,攻擊者就可以用一個空文件來替換gesture.key文件。這就使任何人都可以隨意訪問設備的口令。
為防止口令攻擊,我們可以限制設備的嘗試次數。在超過次數限制后,將要求輸入PIN碼才能訪問手機。在嘗試失敗后,手機會被鎖定無法訪問。在些情況下,依據手機所包含的信息的性質,手機內容將被清除。我們如何配置手機設備的認證安全是很重要的。只有通過限制失敗的嘗試次數,才能防止攻擊者繞過字符串口令認證。
非文本口令
移動和其它設備上的非文本口令是基于可重復的行為生物特性,如語音生成的密鑰、語音頻率、時機、擊鍵力度等。非文本口令的目的是確保破解口令更困難。
語音生成的密鑰要收集行為的測量結果。用戶發出口令短語,然后系統要執行前端的信號處理,并記錄關于特性的測量結果。
當今的黑客能夠冒充用戶的語音,從而危害用戶的網絡狀態。語音識別攻擊可以使用克隆的語音命令,或是使用用戶的樣本語音,或利用類似的方法,從而繞過安全機制,冒充用戶的語音,使攻擊者訪問用戶的重要文件,暴露用戶的隱私。
有許多軟件可被用于操縱語音,從而可用于模仿或冒充受害者的語音。
聲控技術已經被列入黑名單,因為其易于遭受攻擊。攻擊者可以利用克隆語音命令和通過軟件來輕松地繞過語音識別。
生物認證
生物認證往往被用于至少包含兩種方法的多重認證。生物認證可是一種類似于口令的東西,或是一次性生成的字符串,或是你獨有的特性。生物認證涉及指紋、虹膜、書寫簽名掃描等等。
每個人都有其自己獨特的指紋。指紋無法被清除或改變覆蓋,每個人的指紋都不同于他人。指紋這種模式被用于認證移動設備和其它機密設備。
指紋掃描技術是到目前為止最為著名的技術,很多移動公司都在采用指紋掃描以確保其設備更安全。但是,有時,黑客可以繞過這種特性,可以繞過指紋掃描。其使用的兩種主要的方法是:假手指和漏洞。
假指紋:可以繞過指紋掃描器的假指紋最初是由一個稱為“混沌計算機俱樂部”的德國黑客組織完成的。這些黑客曾演示根據用戶的手指而創建出虛假指紋的過程。在此過程中,可以輕松地從移動設備的反射觸摸屏得到用戶指紋。當然,隨著新式手機的閱讀器的敏感性不斷增強,假指紋將很難起作用。
利用漏洞:攻擊者可以利用移動設備中的漏洞繞過指紋掃描器。例如,曾有人找到一種方法可以繞過蘋果手機的指紋掃描器,從而訪問手機中的聯系人和照片。為防止這些生物繞過技術,用戶可以禁用設備鎖定時允許用戶訪問某些功能的“控制中心”選項。
通過認證的用戶可以訪問移動設備上的所有應用。繞過認證會破壞用戶的私密、社交生活、公司機密和個人憑據。多數認證攻擊是從物理上來實施的, 所以用戶應謹慎地與其他人共享其設備。用戶應選擇對移動設備的可用性和公司的網絡安全有積極作用的最可行的認證方法(如多重認證)。而且,公司應經常執行漏洞評估、設備更新,并在建立移動認證策略之前獲得用戶反饋。
京公網安備 11010502049343號