手機硬件的惡意程序、吸話費吸流量惡意程序、騷擾及詐騙短信和電話、個人隱私竊取、銀行卡信息竊取等手機安全問題,是隨著近些年智能手機不斷普及和網絡技術的逐步提升而逐漸凸顯出來的新問題。而解決手機安全問題的方法,不外乎制度、法規、監管、技術、行業自律以及消費者教育等。
手機安全問題備受關注
此前不久,上海市委、市人大、市政協開始使用國產電信版加密手機來規避信息泄露風險,這件事又把手機安全的話題擺上了臺面。一位北京的智能手機用戶對記者說:“回想之前的棱鏡事件、監聽事件,再想想自己在手機上買東西、辦理理財轉賬等銀行業務,真是對手機安全捏著把汗。公務員換加密手機,一定是他們知道現在的手機都不安全吧。”的確,除了上述手機安全問題外,由于移動互聯網對各行業的滲透越來越高,已經涉及金融、水利、電力、政務等領域,再加上信息安全事件頻發,互聯網安全引起了政府部門的高度重視,消費者也因為越來越離不開手機而更加擔心手機不安全。上述那位智能手機用戶說:“無法想象,我的手機要是被黑了,我都不記得有多少生活中的東西是綁定在上面的。所以現在正考慮著解除一些銀行卡的綁定,心里不踏實。”廣州的COCO女士更是遭遇了“手機驚魂”,她對記者說:“我收到一個不知道是干什么的網站的注冊邀請,是打著我妹妹的旗號推薦的,我一看,我倆的照片、手機號全都在上面。我問我妹妹,但她根本就不知道是怎么回事。這太嚇人了!”
芯片是安全的關鍵部位
上述那批加密手機,其原理是通過在手機里增加一塊安全芯片,實現語音通話的加密功能。業內人士認為,從硬件層面而言,由于其核心芯片依然采用了通用型芯片方案,無法實現數據傳輸等加密算法,依然存在手機信息安全的隱憂。展訊通信有限公司市場推廣總監周偉芳對記者說,從技術層面講,手機芯片是手機安全的關鍵部位。他指出,我們關注手機安全一般都集中在操作系統、軟件、運營商網絡等方面,而忽略了芯片本身的安全問題。作為手機終端的核心部件,任何操作和應用都離不開芯片的參與,它和安全息息相關,是所有安全的基礎。一臺手機如果安裝了防火墻和加密芯片是否就安全了呢?答案是否定的。周偉芳舉例說,從硬件上看,如果黑客在手機芯片設計中埋入后門模塊,就很容易直接獲取到諸如語音、視頻等各種數據,甚至可以實時竊取各種信息,因為這些都是在芯片層面就可實現的功能。使用軟件防火墻和第三方加密芯片對此無法防范,甚至于在手機關閉電源后,后門模塊一樣可以繼續獨立工作,通過信號指令,傳送手機數據,造成用戶信息泄露。從軟件上看,Android、IOS之類的操作系統是大家比較熟悉,也是獲得關注較多的系統;和運行的各種App應用一樣,通常可以通過要求廠家開放源代碼來進行檢查。不過有個地方大家往往有所忽略,那就是芯片內運行的系統和軟件,通常是固化在芯片ROM內的,代碼無法被驗證,即使廠家開放源碼也不能保證芯片內固化的就是同一份代碼。這是一個防火墻和第三方加密芯片都無法控制的“黑匣子”,真正的安全只有芯片設計公司才能掌控。
芯片層面安全可控是根本
現有手機芯片具有高集成性的特點,不僅具有通信功能,還涉及定位(GPS)、數據聯結(Wifi、藍牙等)。由于涉及個人隱私面廣,因此如果在手機芯片內被植入惡意模塊,破壞性就更大,例如電話被隨時監聽、支付賬號被盜用、個人信息被竊取等。更有甚者,通過手機后臺操作可能導致爆發性泄密等災害事件。而由于芯片的高集成度,從物理上檢驗芯片是否內置了惡意模塊基本是個不可能完成的任務,只有從源頭上杜絕和防范才是可行的方法。隨著互聯網信息技術的進一步發展,缺乏信息安全建設的國家和政府將再無任何秘密可言。真正做到“自主可控”,對未來國家信息安全有著更重要的意義。目前,具備中國自主知識產權的安全可控的技術、方案和產品等領域都具有了一定儲備。展訊作為一家中國芯片設計公司,在國家科技重大專項和信息安全領域與國家發展改革委員會、工業和信息化部等相關部門都有著良好的合作,與酷派、華為、中興等眾多中國本土品牌在產品研發方面也都有著廣泛的合作。隨著政府有關部門的進一步推動,企業研發的進一步加速,以及政府對于進一步啟動自主可控的信息安全產品進一步重視,我國的信息安全建設也將進入一個全新的發展階段。
●相關政策
工信部六項措施保安全
工業和信息化部通信保障局副局長李學林日前表示,針對手機安全問題,工信部采取了六項主要措施。一是健全規章制度和標準,提高移動互聯網和移動智能終端安全防護能力。近年來,工信部制定了《通信網絡安全防護管理辦法》等規章,建立了網絡風險評估和安全防護檢查制度,制定了一系列相關標準,發布了《關于加強移動智能終端管理的通知》,加強進網環節移動智能終端操作系統和預裝應用軟件的安全管理,提高手機終端安全防護能力。近期,工信部還將制定出臺《關于加強電信和互聯網行業網絡安全工作的指導意見》,進一步強化移動互聯網的安全管理工作。二是加強應用商店安全管理,落實應用商店安全責任。工信部正在通過監督檢查和研究制定應用商店安全管理辦法,明確應用商店安全責任,督促應用商店應當建立健全應用程序開發者真實身份驗證、應用程序安全檢測、社會監督舉報、惡意程序下架等安全管理制度。三是加強移動應用程序源頭管理,推動建立移動應用程序第三方數字簽名認證機制。基于安卓系統應用程序占手機應用程序多數的現狀,工信部正在研究探索建立移動應用程序第三方數字簽名認識體系的可行性,實現移動應用程序的防篡改和可溯源。目前正在指導中國互聯網協會、電信終端測試技術協會、電子認證服務產業聯盟等,按照試點工作方案,組織部分應用程序開發者、應用商店、安全軟件廠商、手機終端廠商和電子認證服務機構參與試點。四是開展移動惡意程序監測處置工作,維護互聯網安全環境。為了在網絡上發現移動惡意程序,并切斷惡意程序控制端和下載鏈接,工信部指導國家互聯網應急中心、中國電信、中國移動和中國聯通三家基礎電信企業建設了移動互聯網惡意程序監測處置平臺,為及時發現、處置移動惡意程序發揮了重要作用。今年上半年,國家互聯網應急中心發現移動惡意程序新增數量超過36.7萬,協調運營商和域名注冊管理服務機構切斷了惡意程序對235萬感染手機用戶的控制。今年8月2日,三家基礎電信企業和國家互聯網應急中心通過監測處置平臺,第一時間發現并及時處置了“XX神器”惡意程序,有效防止了其大規模傳播和信息竊取。五是促進行業自律,加強用戶安全宣傳教育。指導中國互聯網協會等行業組織通過自律公約等多種形式,建立應用程序黑白名單、應用商店信譽評估、惡意程序社會公眾監督舉報等機制,加強行業自律,規范企業行為。積極指導和督促有關行業協會組織、基礎電信企業充分利用網絡媒體、營業廳等各種手段加強對用戶的網絡安全宣傳教育和技能輔導工作。六是多部門聯合開展專項行動,打擊治理移動惡意程序。為了維護網絡和信息安全,凈化移動互聯網安全環境,保護用戶合法權益,工信部聯合公安、工商部門,于2014年4月至9月在全國范圍內組織開展了打擊治理移動互聯網惡意程序專項行動,按照各自職責,充分發揮各自優勢,建立協調配合機制,集中整治移動惡意程序,打擊利用惡意程序從事違法犯罪的行為。
[page]
目前各地通信管理局已組織抽查了部分應用商店,抽測應用程序10萬余個,發現惡意程序3700多個,并通知有關應用商店進行下架處理。(夏冰)
●相關新聞
企業簽署手機安全八大承諾
本報訊(記者武曉莉)日前,《人民郵電》報社召開了以“新形勢·新特點·新思路”為主題的“2014手機安全研討會”。會上,運營商、安全廠商和移動互聯網企業共同簽署了手機安全八項承諾。據悉,來自工業和信息化部、中國電信、中國聯通、國家計算機網絡安全中心、工信部電信研究院、北京郵電大學、南京郵電大學、手機安全軟件企業、手機終端制造企業、互聯網企業的相關代表齊聚一堂,為進一步維護網絡和信息安全,凈化移動互聯網環境,保護手機用戶合法權益獻計獻策。中國電信、中國聯通、中興通訊、奇虎360、酷派、百度、騰訊、中郵世紀的企業代表共同簽署了手機安全八大承諾。一是不斷增強本企業業務范圍內的監測處理能力,完善惡意程序監測與處置技術手段,落實網絡安全責任。二是建立健全惡意程序、垃圾短信、惡意鏈接等舉報和處理機制。當發現手機安全隱患(例如用戶手機流量異常激增、大量群發短信,監測并確認惡意鏈接大量傳播等)后,第一時間向本企業用戶提供信息提示和查殺技術咨詢服務。三是通過技術手段對垃圾短信、病毒短信內容關鍵詞進行分析、過濾、封堵,切斷這些短信的傳播途徑。四是不在手機中預裝惡意程序,不將預裝的一般程序設置成系統程序,支持用戶可自主刪除預裝的非系統類程序。五是未經用戶許可,不私自獲取并上傳用戶的手機號碼、通訊錄、通話記錄、短信、位置等隱私信息。六是未經用戶許可,不向用戶強制推送廣告,不強行篡改手機瀏覽器主頁。七是不誘騙或誤導用戶安裝應用程序,未經用戶許可不在手機后臺擅自下載并安裝應用程序。八是妥善保管本企業在業務活動中合法收集的公民個人電子信息,確保不泄露、毀損、丟失。一旦出現信息泄露、毀損、丟失的情況,立即采取補救措施。