中心动态
  业界动态
  通知公告
最新动态
新闻动态
严防三类手机威胁,保护手机信息安全
发布时间:  共有2906人查看
 

□消费者抵触实名 是因个人信息不安全 

业内人士强调,手机实名制是对公民个人信息、企业信息安全以及国家信息安全都有重要意义的举措。对一些消费者来说,抵触使用实名制的SIM卡,主要原因还是个人信息安全仍没有得到加强。

“消费者担心身份证复印件被转让使用或泄露,其家庭住址、手机号被轻松获取,就可能收到大量垃圾短信,甚至个人安全受到威胁。”

中国消费者协会律师团团长邱宝昌说,一些推送卖发票、刻章、卖证件的垃圾信息者,他们肯定不愿意手机实名制。可以说垃圾短信不灭、个人信息安全得不到有效维护,手机实名制很难落实。

邱宝昌认为,手机实名制没有明确的法律规定,只是部门规章要求,法律效力很弱,需将其上升为法律,以保护消费者权益。

不少专家认为,当前我国使用的是电信管理条例,但从长远看,还是需要一部电信行业的专门法律,以法律原则保障信息通信秩序和规则。

更换加密手机有必要吗?

“上海的公务员开始更换国产加密手机了。”近期上海媒体的这样一则报道引起广泛关注,这个“加密手机”是什么样的手机,与我们平时使用的手机有什么不同?同时一些用户也难免产生了几分不安,是否面对手机安全威胁,我们都需要更换加密手机呢?记者为你揭秘“加密手机”和手机安全问题。  

□起因

手机变成手雷的担忧

最近有关手机安全的各类消息不绝于耳。先是央视曝光iPhone会收集用户的位置信息,紧接着有国外资深黑客曝出了苹果iOS系统中存在可窃取用户信息的惊天内幕。苹果之外,安卓手机也未能幸免,继安卓系统被发现存在严重的安全漏洞,攻击者可以伪造ID,冒充可信任的APP窃取用户信息后,被安卓手机广泛采用的高通芯片又被曝出安全漏洞。除此之外,近日小米手机因为回传用户信息到大陆服务器遭台湾、新加坡等地调查的消息又搞得满城风雨。

“感觉手机在一夜之间变成了手雷,让我都有些不敢用了。”记者身边一位朋友小叶的抱怨也代表了很多手机用户在看到这些新闻后的心态。记者发现,无论是在微信朋友圈当中还是微博上,关于手机安全的转发帖一下子多了起来;甚至在地铁上,记者就听到有两个小姑娘在议论“苹果手机有后门,会收集你的隐私,不能再用了”。

这些担心,有的有一定道理,有的在专业人士看来显得有些过度敏感,然而公众对手机安全以及个人隐私的越来越重视,已经成为不争的事实。“随着技术的进步,智能手机在带给人们越来越多方便的同时,也必然会带来一些衍生的安全问题,这是不可避免的。”中国移动互联网产业联盟秘书长李易认为,就像步行虽然比开车安全,但现在的人也不可能集体放弃汽车一样,安全问题不可能阻挡智能手机的普及,当然前提是技术上的问题要通过技术的进步来解决。

在360公司手机安全专家陈冲看来,虽然有些情况下人们对手机安全的担心有些过度,但这算是一个好现象,说明我国的用户开始真正意识到并且注意自己的隐私和信息安全问题了。“不管怎样,智能手机并没有百分百的安全。”他强调说。

“蹭网”每年盗用50亿网费

WiFi已经成为人们日常生活的“必需品”,如果WiFi被他人破解,不仅网速会变慢,手机里的照片、视频、短信息、银行账号密码等隐私信息也会暴露。近日,360进行的一项全国调查显示,国内80%的WiFi能被轻易破解,今年上半年国内有9.5%的WiFi遭遇了“蹭网”侵害,带来的网费损失每年约50亿元。安全专家提醒,要防止被蹭网,用户要避免使用简单密码,最好同时使用安全软件加强安全防护。   

同时发布的《2014年中国家用路由器安全报告》统计,今年上半年国内有9.5%的WiFi实际遭遇了蹭网侵害。按照全国约1亿台无线路由器的市场规模估算,被蹭网的WiFi数量高达950万个,而我国上网资费平均每年为1000元左右,带来的网费损失每年多达50亿元。   

记者发现,由于国内大部分WiFi安全性薄弱,无论是电子市场还是线上网店中,各种蹭网软件、蹭网卡、蹭网器等长期销售火爆,不少商家声称“先试用再购买,一次投入、终身免费上网”,购买者遍布全国各地。

“WiFi蹭网将为黑客攻击打开方便之门。”360安全专家白嘎力介绍,蹭网者在接入WiFi后,常见攻击方式有两种:第一种是局域网ARP攻击,即监控受害用户上网设备发送和接收的数据,从而盗取账号密码;第二种攻击方式主要威胁越狱的苹果设备和root的安卓设备,蹭网者可以直接入侵到此类设备中,窃取短信、照片等重要隐私。

此外,无线路由器是所有设备上网的关卡,攻击者破解了WiFi,就意味着整个家庭网络都敞开大门,包括智能电视、网络摄像头等所有智能终端都可能被蹭网者恶意控制,其安全风险远远超过网费损失。

专家提醒,用户要防止被蹭网,首先要避免使用简单数字组成的密码,最好还要使用安全软件予以防护,目前已经有国内安全厂商推出了关于WiFi的安全软件,可以在陌生设备接入用户WiFi时及时提醒用户。

密码被暴力破解比例达30%

在360居民社区WiFi安全测试中,北京的林先生表示,他的WiFi网速经常变得很慢,怀疑已经被蹭网了两年时间,但有时换密码后用不了多久又会变慢。工程师现场检测发现,就在林先生抱怨的时候,有一部笔记本电脑、一部Pad正连接着他家的WiFi,经确认都不是林先生的设备。

为什么修改密码还无法阻挡蹭网?360安全专家表示,密码仍不够复杂,除了对路由器设置不当外,用户使用蹭网软件、专业黑客等的恶意蹭网也可以不断将密码破解。据金山的统计,除了密码太过简单之外,WiFi被人用暴力破解的比例达到了30%。

据瑞星最新的报告显示,有5%的用户因路由器安全问题遭遇过盗刷网银。从目前看,尽管360、金山、瑞星、腾讯等都纷纷针对WiFi安全问题推出了相关服务,但网民的安全意识依然淡薄。

手机用户难觅安全岛

高速互联的智能手机时代,没有真正的安全岛。记者查阅360公司此前公开的一份手机安全报告显示,资费消耗、隐私窃取以及恶意扣费是手机恶意软件的主要危害,其中,谷歌Android平台感染量高达1137万余人次。2013年上半年,新增手机恶意软件97%来自Android平台。瑞星安全专家唐威表示,从技术角度而言,这种悄悄收集用户隐私信息的能力并不“专属”于苹果。

唐威称,大量的手机应用均可以实现类似的功能。“一个音乐软件,非要获取定位功能;一个手电筒软件,也要具备定位功能;一个电子小说软件,非要获取用户短信阅读权限,还要定位功能;一个播放器软件,不仅要定位,还要拥有打电话权限。更有一些软件,要求获取电话录音功能。”一位安全工程师表示,这些“越权”要求,已经成为当下智能手机市场的普遍状态。

该工程师表示,不少软件公司获取这些功能时,并没有明确的目的,只是希望获得最多的信息。因为在大数据时代,信息是高价值的。“但如果这些个人信息外露,被不法分子或企业内部人士用来作恶,比如上传录音等,消费者的隐私将毫无保障。”

360的报告统计显示,九成以上的应用要求读取已安装应用列表和设备号相关权限,五成以上应用要求读取位置信息权限,24.2%的应用要求发短信权限。打开摄像头、读取联系人、读通话记录权限的应用也均占到两成以上。此外,还有15%以上的应用要求拥有录音权限、窃听功能、读短信记录和打电话权限。

一位安全工程师表示,截至目前,智能手机软件泄露用户隐私的行为越演越烈,因为没有监管部门来推动用户隐私保护,相关法律仍然缺失。

唐威表示,当前的局面,不是某一个厂商、或某个人能推动的,需要社会各层面人士的共同努力。首先国人隐私保护意识需要提高;立法部门要对一些行为作出法律界定,制定相关法律;国家监管部门需要加大监管,对违法行为及时追责、查处。

□发展  

公务员更换加密手机  

苹果的“安全门”被曝光之后,不断有信息行业的专家提出建议,希望国内工作内容较为敏感的人员,特别是党政军以及重要基础设施的人员,应该禁止使用苹果手机。这当中以浙江传媒学院互联网与社会研究中心主任方兴东最有代表性。他撰文公开表示,公职人员应该换用国产手机,因为国产手机目前基本使用谷歌的安卓系统,安卓相对开放,提供大量源代码,可以通过实施二次开发、安全“加固”等措施,一定程度上提升安全性。  

现在看来,这已经不再仅仅是一个专家提出的建议了。近日,据上海媒体报道,上海不少机关的公务员开始更换国产的加密手机来规避信息泄露的风险。报道中介绍,这种加密手机具有通话加密功能,可以防止通话内容被窃听;同时一旦手机丢失,还可以远程删除手机内的所有信息。  

据记者进一步了解到的情况,上海公务员系统曾就安全手机进行过面对厂商的招标,包括苹果、三星在内的众多国外内手机厂商的产品都参与了竞标,最终国产厂商酷派成为中标者。目前上海市的公务员当中,已经有数万人用上了特制的“加密手机”,其中包括上海市公安局、武警上海总队、上海市消防局等多家单位。记者还从酷派公司了解到,不仅是上海,河北省安全厅在2014年初也已经批量采购安全加密手机,河南省相关单位也在同步采购此类产品。这些信息也说明,专家们对于国家公职人员手机使用安全的建议,正在逐步变成现实。

□解读  

加密手机如何能保密

在此之前,标榜安全的手机产品并不少,与安全防护有关的手机应用也不在少数,而作为政府选定的“加密手机”,又在安全防护上有哪些特殊之处?其“加密”又是基于怎样的原理?酷派集团副总裁曹井升在接受记者采访时披露了“加密手机”的更多细节。  

曹井升介绍,目前市面上主流的第三方安全软件,仅仅是纯软件层面上的保护,无法取得用户手机软件驱动层的管理权限,不能完全杜绝某些恶意软件透过非法途径入侵到软件底层达成非法目的,而“加密手机”则是采用了软件、硬件与系统底层协议结合的安全保护方式。为了应对Android本身的安全缺陷问题,“加密手机”重构了AndroidOS并删除其后门程序,植入酷派底层安全架构,安全防护直接管理到软件驱动层,与硬件平台互动控制。

在安全功能上,“加密手机”首先具有语音通话加密的能力。据了解,加密手机在拨打电话时,可以选择加密通话模式,只要对方也是加密手机,双方的通话内容就会被重新编码、加密,使得窃听者即使截获了通话信号,也很难破译通话的内容;对于一些涉密工作者来说,其行踪往往也是保密的内容,加密手机会关闭所有涉及定位功能的第三方软件,同时关闭所有可以启动摄像头的第三方软件,确保使用者的位置信息不被他人所非法获取;另外,加密手机还可以防止微信短信内容被窃取,为微信隔离独立的信息存在环境,阻止微信读取手机联系人名单、短信记录以及通话记录、位置信息等。  

通信专家项立刚还介绍,加密手机目前使用的是CDMA网络,这一通信网络最初是军用技术,在安全保密上也有着先天的优势,相比其他的通信网络制式,更加不容易被入侵。

加密手机非人人必需  

虽然相比普通的手机,加密手机在功能和网络上都更为先进,但并不意味着所有的手机用户都有必要使用加密手机来保护自己的隐私。  

对于被传得沸沸扬扬的苹果后门事件,手机行业分析师成博表示,如果苹果的iOS中确实被有意植入后门程序,那的确是很严重的安全事件。但是这种后门如果存在,针对的肯定是少数掌握核心机密的人,如政府和军队的高级别领导,或者关键技术的科研人员等,对于绝大多数的普通用户来说,“并没有值得动用后门窃取信息的价值,哪怕你的手机里有艳照。”所以对于普通用户来说,没有必要被吓得丢掉iPhone。  

对于手机通话的安全保护,也不一定非要用加密手机。中国移动一位内部人士表示,虽然中国电信的CDMA网络号称军用技术安全性更高,但是被更广泛采用的GSM网络,也并没有发生过被外界破解窃听的案例,安全性上也是足够的。“当然国家安全部门特殊目的的窃听属于例外,但这种情况技术要求极高,绝非一般机构和个人能掌握的。”  

陈冲也表示,一般用户可能遇到的电话窃听,多是手机内被安装了病毒程序,很少有直接从外界截获信号进行窃听的,而前者,手机上使用的安全软件就可以做到防范。对于绝大多数用户来说,安装可靠的手机安全软件就足矣。

另外,手机业内人士还表示,不管什么样的国产手机,有一个问题没法改变,那就是手机芯片、系统等核心技术还是掌握在国外厂商手中,而只要不掌握这些核心技术,那我们的手机安全就始终面临着不可知的风险。  

□建议  

三类手机威胁要严防

360手机安全专家陈冲表示,虽然对于大多数手机用户来说,对安全性的要求并没有那么高,但是手机的安全,仍是每一个手机用户必须重视的问题。他介绍,作为普通的手机用户,所面临的手机安全威胁主要有几个方面:  

首先是各种用户名和密码的安全,一旦用户的账户信息和密码被窃,则可能带来巨大的损失。这种对用户信息的窃取,主要是通过手机木马病毒和钓鱼网站的方式进行。防范这类问题的措施,就是在手机中安装主流的安全软件,同时通过正规途径下载可靠的手机应用。

其次是对用户短信内容和通讯录的获取。这些都是重要的个人信息,若泄露可能带来垃圾短信甚至诈骗等问题。作为防范措施,用户需要用安全软件来限定手机应用的权限,看是否有可疑的程序会调用你的短信和通讯录内容。陈冲还建议,用户在参加微信朋友圈里一些姓名、手机号等测试游戏时要谨慎,因为这种测试很可能会让用户的个人信息被他人获取。  

最后则是一些手机应用的信息上传情况,例如用户的位置信息、使用习惯信息等。陈冲建议,用户一方面可以通过安全软件监控手机内安装应用的上传情况,同时对于个人信息比较敏感的用户,可以选择尽量关闭各种云服务和云应用。

如何保护手机安全?  

1.不轻易打开陌生邮件。

2.不加陌生好友。  

3.不乱进不安全网站。

4.不乱下载。

5.不要乱扫二维码。

6.连接电脑等开启防火墙。

7.注意手机内部保护,安装安全软件。

8.做好备份,有备无患。

(综合新华网、新京报、北京晨报、钱江晚报、京华时报报道)

版权所有: 东南大学信息安全研究中心 2000-2014
地址:东南大学信息安全研究中心 邮编:210096
邮箱: qungu@seu.edu.cn [前台管理]