利用彩信攻擊獲取他人手機(jī)
通信錄上的電話(huà)號(hào)碼��、通過(guò)一根數(shù)據(jù)線(xiàn)竊取現(xiàn)場(chǎng)觀(guān)眾的微信聊天記錄……近日����,在京舉行的2015中國(guó)互聯(lián)網(wǎng)安全大會(huì)上�����,幾位信息安全專(zhuān)家在演講中隨意演示的幾個(gè)智能移動(dòng)終端攻防招數(shù)�����,讓現(xiàn)場(chǎng)的觀(guān)眾瞠目結(jié)舌,切身體會(huì)到智能手機(jī)信息安全問(wèn)題的嚴(yán)重性�。
移動(dòng)互聯(lián)網(wǎng)時(shí)代,智能手機(jī)已成為人們生活中不可或缺的工具�。據(jù)統(tǒng)計(jì),截至目前�����,全球智能手機(jī)銷(xiāo)量達(dá)11.2億部�����。這些手機(jī)中���,絕大多數(shù)是基于安卓系統(tǒng),只有14%是蘋(píng)果系統(tǒng)��,而安卓系統(tǒng)的開(kāi)放性導(dǎo)致用戶(hù)的信息安全存在隱患��。據(jù)易觀(guān)智庫(kù)發(fā)布的一份統(tǒng)計(jì)顯示�,僅2014年,我國(guó)安卓平臺(tái)中就被檢測(cè)出7500萬(wàn)個(gè)惡意軟件樣本���,安卓用戶(hù)累計(jì)受感染量達(dá)9663萬(wàn)人次���。
那么����,面對(duì)重重危機(jī)�,國(guó)產(chǎn)軟件廠(chǎng)商該如何通過(guò)創(chuàng)新研發(fā)來(lái)保護(hù)手機(jī)用戶(hù)的信息安全?在此次大會(huì)上����,特設(shè)了智能移動(dòng)終端攻防論壇,揭秘移動(dòng)安全暗戰(zhàn)�����,國(guó)內(nèi)安全軟件研發(fā)團(tuán)隊(duì)與企業(yè)代表共同探討智能手機(jī)用戶(hù)信息安全保護(hù)方案��。
智能終端暗藏安全隱患
在智能手機(jī)應(yīng)用中����,支付應(yīng)用軟件的便捷性備受網(wǎng)民親睞。然而�����,很多用戶(hù)并不知道這背后暗藏巨大的隱患。易觀(guān)智庫(kù)發(fā)布的報(bào)告顯示���,2014年安卓平臺(tái)移動(dòng)應(yīng)用惡意行為前十名單中�,包括手機(jī)銀行等在內(nèi)的支付應(yīng)用盜版率達(dá)20%�����?���!盎谶@種盜版應(yīng)用��,已形成一個(gè)安卓隱私交易黑色鏈條��?��!蓖ǜ抖芤苿?dòng)安全研究員宋超詳解了這一產(chǎn)業(yè)鏈的操作流程:由黑客開(kāi)發(fā)一款盜版應(yīng)用�����,比如盜版的微信或支付寶���,然后將其投放到第三方不安全的應(yīng)用市場(chǎng)��,通過(guò)釣魚(yú)短信或郵件被普通用戶(hù)下載之后�����,就能輕而易舉地獲得用戶(hù)的個(gè)人隱私信息����。他指出����,這些信息在黑市上被明碼標(biāo)價(jià)出售,而這只是互聯(lián)網(wǎng)信息安全隱患的冰山一角�����。
開(kāi)放的安卓系統(tǒng)存在很多安全隱患��,系統(tǒng)上的高危害漏洞時(shí)常爆發(fā)�����?!耙桓鶖?shù)據(jù)線(xiàn)就有可能引發(fā)安卓高危漏洞。”360公司高級(jí)安全研究員周亞金介紹��,生活中��,用戶(hù)在使用數(shù)據(jù)線(xiàn)充電����、備份照片、傳輸文件���、安裝應(yīng)用時(shí)���,都可能受到潛在的安全威脅。這一切的始作俑者�����,就是能影響所有安卓系統(tǒng)版本�、被谷歌確認(rèn)為高危漏洞的JDWPExposed���。在論壇上����,周亞金現(xiàn)場(chǎng)向觀(guān)眾演示了如何通過(guò)漏洞,執(zhí)行惡意代碼破解用戶(hù)的手機(jī)屏幕鎖�����,竊取微信聊天記錄���,讓現(xiàn)場(chǎng)觀(guān)眾驚噓不已��。
在安全性較好的蘋(píng)果系統(tǒng)中�����,信息安全問(wèn)題也時(shí)常發(fā)生��。日前���,由于開(kāi)發(fā)者從第三方渠道下載被植入了惡意代碼的iOS應(yīng)用開(kāi)發(fā)工具XcodeGhost,包括12306���、滴滴出行等在內(nèi)���,許多iOS應(yīng)用被感染病毒,影響了上億iOS用戶(hù)�����。
軟件創(chuàng)新保護(hù)用戶(hù)信息
面對(duì)來(lái)勢(shì)洶洶的網(wǎng)絡(luò)攻擊,國(guó)產(chǎn)安全軟件廠(chǎng)商如何創(chuàng)新研發(fā)予以應(yīng)對(duì)�����?周亞金表示����,目前安卓手機(jī)廠(chǎng)商定制化存在較多的問(wèn)題。他們?cè)诙ㄖ浦幸话銜?huì)加入新的功能�,這就會(huì)帶來(lái)一些新的安全問(wèn)題和安全漏洞。而應(yīng)用開(kāi)發(fā)者因?yàn)榘踩R(shí)缺乏�����,不知道怎么預(yù)防漏洞���,也不知道怎么保護(hù)自己的應(yīng)用不被盜版�����。對(duì)于用戶(hù)來(lái)說(shuō),則需要及時(shí)升級(jí)手機(jī)系統(tǒng)�����,盡量避免連接到不可信電腦。
對(duì)于移動(dòng)應(yīng)用源碼安全問(wèn)題���,宋超也表示�,目前很多應(yīng)用開(kāi)發(fā)人員還缺乏基本的安全意識(shí)和安全技能��,同時(shí)許多移動(dòng)應(yīng)用還側(cè)重應(yīng)用功能���,相對(duì)忽視了安全開(kāi)發(fā)��,這與國(guó)外有很大差距����,需要引起業(yè)界關(guān)注���。
如何確保用戶(hù)的網(wǎng)絡(luò)信息安全���?360公司、百度��、騰訊��、金山等國(guó)內(nèi)安全廠(chǎng)商紛紛推出創(chuàng)新的手機(jī)安全軟件。如由騰訊推出的騰訊手機(jī)管家軟件�����,具有體檢加速���、健康優(yōu)化�����、安全防護(hù)�����、軟件管理等智能化功能����,還能為手機(jī)用戶(hù)提供“管家安全登錄QQ”“秘拍”“小火箭釋放內(nèi)存”等特色體驗(yàn)��,保護(hù)手機(jī)用戶(hù)的信息安全�����。百度手機(jī)衛(wèi)士則提出“泛安全”理念�����,注重“安全”和“守護(hù)”功能�。
剛剛涉足智能手機(jī)市場(chǎng)的360公司,依靠在網(wǎng)絡(luò)安全領(lǐng)域的積累����,提出要做一部在信息安全方面超越蘋(píng)果的手機(jī)。據(jù)介紹��,剛剛上市的360奇酷手機(jī)旗艦版內(nèi)置自主研發(fā)的360OS操作系統(tǒng)�,在保護(hù)用戶(hù)信息安全軟件與技術(shù)上進(jìn)行多種創(chuàng)新?�!叭缭诠δ苌暇哂懈鄤?chuàng)新的隱私空間�,用戶(hù)可以將不想讓別人看見(jiàn)的短信、聯(lián)系人等全部放入隱私空間����。隱私空間無(wú)入口,只能通過(guò)設(shè)置的指紋或者在鍵盤(pán)上輸入特定數(shù)字才能打開(kāi)�。”360公司董事長(zhǎng)周鴻祎介紹��,應(yīng)用鎖也是該款手機(jī)的一大創(chuàng)新��,可以給所有應(yīng)用加上密鑰。另外����,具有智能判斷功能的360OS應(yīng)用權(quán)限管理功能可以根據(jù)大數(shù)據(jù)給應(yīng)用分配權(quán)限,通過(guò)這些創(chuàng)新來(lái)保護(hù)用戶(hù)的信息安全����。
提升服務(wù)升級(jí)安全保護(hù)
在萬(wàn)物互聯(lián)時(shí)代,安全已經(jīng)突破了軟件�����、內(nèi)容等界限�����,傳統(tǒng)的安全防護(hù)已無(wú)法應(yīng)對(duì)挑戰(zhàn)����。對(duì)此,宋超提出“安全即服務(wù)”的觀(guān)點(diǎn)���。他表示�����,目前國(guó)內(nèi)安全軟件廠(chǎng)商開(kāi)發(fā)的安全產(chǎn)品與用戶(hù)使用體驗(yàn)還存在一定的差距�,缺乏用戶(hù)體驗(yàn)?�!氨热缭谵r(nóng)村�����,有大量的老年人�����,他們中有些人會(huì)應(yīng)銀行的要求安裝App��,但不知道需要下載手機(jī)助手�����、殺毒軟件等��,面臨很大的信息安全隱患����。因此,面對(duì)大量不懂安全知識(shí)的用戶(hù)�,安全軟件廠(chǎng)商應(yīng)該把安全做成服務(wù),這樣才能更好地保護(hù)用戶(hù)的信息安全��?��!彼硎?����。
把安全做成一種服務(wù)����,許多安全公司也認(rèn)識(shí)到這一點(diǎn)�����。如360奇酷手機(jī)推出了一整套安全防御體系�����,如對(duì)用戶(hù)最關(guān)注的財(cái)產(chǎn)安全問(wèn)題����,周鴻祎介紹���,為防止誤裝惡意應(yīng)用,用戶(hù)可以到奇酷自帶的應(yīng)用商店下載正版安全應(yīng)用��。在進(jìn)行網(wǎng)上支付時(shí)����,用戶(hù)可以使用手機(jī)獨(dú)立運(yùn)行的安全系統(tǒng)——360OS財(cái)產(chǎn)隔離系統(tǒng)。在這個(gè)封閉的空間里�����,只有系統(tǒng)允許的正版網(wǎng)銀應(yīng)用可以運(yùn)行�����,并且�����,手機(jī)會(huì)自動(dòng)禁止截屏等不安全操作���,從而避免了惡意網(wǎng)絡(luò)和惡意應(yīng)用。
同時(shí)����,對(duì)于整個(gè)網(wǎng)絡(luò)信息安全環(huán)境�����,周鴻祎提出了“網(wǎng)絡(luò)安全新法則”�����,呼吁業(yè)界通過(guò)應(yīng)用大數(shù)據(jù)來(lái)防御新的安全威脅�����。
四步走打造信息安全立體防護(hù)網(wǎng)
在2015中國(guó)互聯(lián)網(wǎng)安全大會(huì)上���,多國(guó)網(wǎng)絡(luò)安全專(zhuān)家現(xiàn)場(chǎng)分享了如何應(yīng)對(duì)網(wǎng)絡(luò)威脅以及一些網(wǎng)絡(luò)安全技術(shù)的解析。國(guó)際網(wǎng)絡(luò)安全公司Kaymera公司首席執(zhí)行官兼聯(lián)合創(chuàng)始人阿維·羅森(AviRosen)現(xiàn)場(chǎng)解析了黑客通過(guò)智能手機(jī)收集用戶(hù)信息的全過(guò)程���,并提供了防止黑客入侵的安全措施��。他介紹�����,黑客可通過(guò)竊聽(tīng)通話(huà)����、木馬攻擊、物理提取���、位置跟蹤�����、蜂窩網(wǎng)絡(luò)等等�,獲取用戶(hù)的信息�。
那么,面對(duì)網(wǎng)絡(luò)信息安全隱患�,如何保護(hù)用戶(hù)手機(jī)不受威脅?阿維·羅森表示�����,任何保護(hù)手機(jī)免受威脅的解決方案都需要滿(mǎn)足以下條件:
首先����,用戶(hù)避免下載不安全的應(yīng)用����。很多用戶(hù)手機(jī)上都安裝了防病毒軟件�,但這些軟件可能只會(huì)保護(hù)手機(jī)免受惡意軟件的威脅�,無(wú)法保障手機(jī)免受語(yǔ)音截獲等的威脅。所以����,用戶(hù)要自覺(jué)避免下載惡意、不安全的各種應(yīng)用�。
其次,必須建立多層防護(hù)措施����。手機(jī)蜂窩網(wǎng)絡(luò)一般會(huì)存在漏洞,包括藍(lán)牙���、應(yīng)用商店�、U盤(pán)等等界面都需要多層防護(hù)����。任何一個(gè)安全保護(hù)系統(tǒng)都不是百分之百安全的,必須要建立多層的防護(hù)措施�,如只有防火墻是不夠的,還要建立檢測(cè)機(jī)制��、對(duì)抗機(jī)制等����。
再次���,要進(jìn)行預(yù)防。要安裝防御層等保護(hù)設(shè)施��,能夠?qū)诳托袨檫M(jìn)行預(yù)防��。
最后����,要積極進(jìn)行手機(jī)檢測(cè)。對(duì)手機(jī)系統(tǒng)�,以及手機(jī)使用情況進(jìn)行檢測(cè),如wifi網(wǎng)絡(luò)等����。同時(shí)還要對(duì)數(shù)據(jù)進(jìn)行加密,通過(guò)通信加密��、信息加密�、設(shè)備本身的加密等��,來(lái)更好地保護(hù)用戶(hù)的數(shù)據(jù)�����。(竇新穎)
來(lái)源:中國(guó)知識(shí)產(chǎn)權(quán)報(bào)
版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來(lái)源“中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”�,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力。凡轉(zhuǎn)載文章��,不代表本網(wǎng)觀(guān)點(diǎn)和立場(chǎng)�����。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056�。
延伸閱讀
