你的手機安全嗎?
許多人可能被前兩天突然出現的“超級手機病毒”給嚇到了,一部分人被嚇到可能是因為害怕自己的手機莫名就感染了這種所謂的“超級手機病毒”,還有以小部分人被嚇到則是驚訝於“超級手機病毒”其實是一種“超級簡單手機病毒”,技術含量十分之低,稍加註意就可以完全避免危害。
據悉,這個蝗蟲惡意軟件(病毒)的製造者只是一名初學Android 軟件的學生,這個惡意軟件也只是他拿來練手用,不想造成了廣泛的傳播和影響。因為這個惡意軟件的安裝需要用戶點擊鏈接下載,授權讀取聯繫人發送短信權限選項,並需要確認安裝,稍微有安全意識的手機用戶就可以避免,這反映的問題其實並不是手機病毒的強大,而是相對於電腦安全,大部分用戶對於手機安全問題還沒有明確的意識。
回顧過去的消息報導,我們發現,這次爆發的“超級手機病毒”只是手機安全問題中的一朵小小浪花,我們面臨的手機安全問題似乎不是很樂觀。
Android 的開放與安全
對於手機系統來說,安全和開放看起來是一個不可調和的悖論。因為點擊下載鏈接後下載的文件後綴是apk。所以這次爆發的“超級手機病毒”也是只能在Android 手機範圍內傳播。
互聯網安全公司F-secure 發布的移動互聯網安全報告指出,Android 平檯面對著比較大的安全問題,2012 年有79 % 的惡意軟件都寄生於Andriod 之上,此數字比2011 年更高出12.3%。相較之下,iOS 平台內的惡意軟件僅佔總量的0.7%。如今兩年過去,隨著Android 份額的水漲船高,Android 平台的安全問題也並沒有得到好轉。
Public Intelligence 在2013 年發表了一份來自美國國土安全部和司法部的聯合聲明,數據也和F-secure 的類似,在2012 年有79% 惡意軟件(木馬)來自Android,而iOS 只有0.7%。來自塞班的木馬比例為19%,黑莓和Windows Mobile 的移動木馬比例相同,都是0.3%。
不是Android 本身並不重視系統的安全問題,2012 年,Android 4.1 才是第一個完全意義上支持ASLR 技術的版本。 ASLR( Address space layout randomization )技術,這是一種針對緩衝區溢出的安全保護技術,通過對棧、共享庫映射等線性區佈局的隨機化,增加攻擊者預測目的地址的難度,防止攻擊者定位攻擊代碼位置,達到阻止溢出攻擊的目的。這樣可以極大地提高黑客在利用內存漏洞上的難度。
稍微回顧一下,Android 手機安全問題的新聞不在少數。一般認為,相比於其他一些不知名的軟件市場,Google Play 要安全一些,但是即使是這個官方的軟件商店,裡面也可能有惡意軟件存在。
翻下2012 年的舊賬,根據Ars Technica 的報導,研究人員發現已經有更多的惡意軟件進駐到了Google Play 。而且有趣的是,這些惡意軟件能夠駐留在官方市場裡很長一段時間,即使已經有了很大的下載量也依舊能不被發現。比如一款名為Android.Dropdialer 的木馬程序,通過強制用戶撥打某些特定號碼來榨取高額費用,在進駐Google Play 數週之後才被發現;而“ Super Mario Bros ” 和“ GTA 3 Moscow City ”作為惡意程序被打包,下載量達到了10萬。
對於Android 嚴峻的安全問題,Google 方面似乎也是有心無力。當法國Android 站點FrAndroid 問及Android 的惡意軟件時,Google 副總裁、Android 部門主管Sundar Pichai 回答道:
引用“我們不會保證說Android 是用於安全用途,它主要用來提供更多自由。當人們討論90% 的Android 木馬時,他們必須要認識到這樣一個事實:它是世界上最流行的操作系統。如果我在生產惡意軟件的公司,我想我也會把攻擊目標瞄向Android 的。”
Chrome 出於安全考慮關閉插件入口,只能商店安裝,則被人指責走向封閉,安全和開放此時確實難以調和,並且,安全問題不僅僅是系統方的責任,用戶和第三方安全公司也不能置身事外。
iOS 就一定安全?
上面說到,在2012 年,來自iOS 的惡意軟件數量僅為總數的0.7%,相比於當時iOS 的市場佔有率,這個成績還算不錯。但這代表的是iOS 只是相對安全,而不是絕對安全。事實上,關於iOS 安全漏洞的新聞也不在少數。
同樣是在2012 年,根據福布斯報導稱,一位卡巴斯基的反病毒研究人員Maslennikov 在App Stroe 中發現了一款名為“Find and Call ”的應用程序,表面上看起來它與其他的通話應用程序的功能沒有區別,但通過調查發現,這款“Find and Call ”的應用程序還會擅自收集用戶的私人信息,隨後將這些信息資料上傳至一個遠程服務器,最後該服務器會向用戶聯繫人名單上的每一個人都發出短信,並附上應用的下載鏈接。這個原理聽起來和那個“超級手機病毒”如出一轍。
值得說明的是,這是以嚴格審核著稱的App Store 裡發現的首例惡意軟件。此次iOS 平台上的惡意軟件事件,以及之前Mac OS X 一次又一次的飽受病毒的困擾,讓蘋果大力宣傳的安全機制受到了諸多挑戰,蘋果“無毒”也漸成過去。
在去年的 Usenix 安全會議上,來自喬治亞理工學院的科學家們演示了他們的研究成果——一段好像阿米巴變形蟲的代碼,這段代碼在通過App Store 應用測試的時候,表現是無害的,但當它被安裝到iOS 機器上,這段代碼就會搖身一變,從小綿羊變為豺狼。更重要的,通過這樣的方式,他們的確成功地在App Store 發布惡意應用。當然,因為是試驗性質,科學家們沒有利用漏洞作惡。不過這也證明了當時的App Store 審核機制仍有可趁之機存在。
如果說因為 iOS 的圍欄花園安全模式(Walled Garden Model)使得這個系統裡的應用還相對安全的話,那麼iOS 系統層面的漏洞就經常被發掘出來。
去年初,iOS 7 還沒有發布的時候,iOS 6 的一個安全漏洞會對所有未啟用兩步安全機制的用戶造成影響。利用這個漏洞,使用者只需要郵箱地址和機主的出生日期,然後登陸蘋果的iForgot 網頁,在回答安全問題時將修改後的URL 地址粘貼進去,就能夠隨意重置Apple ID 和iCloud 密碼。隨後蘋果關閉了 iForgot 網頁,並承認了該漏洞的存在。
而在iOS 7 剛剛發布不久,一名網友發現了一個新的iOS7 安全漏洞:在密碼鎖屏狀態下,點擊“緊急呼叫”,輸入任意號碼,然後不停地快速點擊“呼叫”按鈕直至手機出現蘋果logo,之後電話就會成功地撥打出去。事實上,許多版本的iOS 都有不一樣的鎖屏漏洞出現。
Touch ID 的出現被認為是在安全和便捷之間取得了一種微妙的平衡。不過對於黑客來說,破解Touch ID 指紋識別毫無壓力,德國知名黑客Starbug 自己製作了一套指紋,成功騙過了Touch ID 系統。但Starbug 卻表示破解Touch ID “毫無挑戰”,他甚至感到“非常失望”:
引用“我只花了30 個小時就成功破解了Touch ID。我大概花了半個小時來做準備工作,而花費了更多的時間去尋找傳感器的技術規格信息。我非常失望,因為原本以為需要花費1 到2 個星期才能破解它。這次破解毫無挑戰。”
這個破解過程揭示了一個殘酷的現實——遺留在任何地方的指紋,都可能被用來繞過Touch ID。 Starbug 更是一針見血地指出,Touch ID 只是增加了便利性而不是安全性。
不過蘋果白皮書曾指出,Touch ID 是絕對安全的。不過此安全非彼安全,指的是個人信息和隱私的安全性:每塊A7 芯片中都有一個唯一的安全模塊,無論是蘋果還是A7 處理器都不能讀取這個模塊中的數據。而且每次認證過程都在“終端對終端”的加密中進行,也就是說,你的指紋信息不會被上傳。 iPhone 5s 在完成指紋數據的處理和分析後,會自動刪除這些數據,不會同步到iCloud 或者iTunes。
蘋果還進一步解釋了指紋圖像的用途。指紋圖像會一直只保存在內部存儲內,直到它變成解碼密鑰。如果用戶超過48 小時沒有解鎖、重啟手機,或者解碼失敗超過5 次,那麼iPhone 的保護系統就會被激活。另外,當陌生用戶觸摸Touch ID 時,他們解鎖手機的概率僅有大約五萬分之一。
有時候也不是系統的關係
前面提到的都是系統層面的東西,除了系統層面,手機的安全漏洞也可能在別處。
計算機安全問題研究員Karsten Nohl 和Jakob Lell 最新的一項研究發現,USB 設備存在一個嚴重的安全漏洞。一種叫做BadUSB 的惡意軟件會通過鼠標、鍵盤及U 盤等USB設備入侵個人電腦,篡改硬盤軟件。 Karsten Nohl 和Jakob Lell 長期從事USB 設備安全問題研究,這一次他們沒有像往常那樣編寫惡意軟件代碼入侵USB 設備的儲存器,以測試安全性能;而是把研究重點放在了USB 設備中控制轉存功能的固件上。結果發現,通過編寫一定程序,黑客可以很容易將惡意代碼隱藏在固件內,殺毒軟件根本找不到。
除了U 盤這樣的存儲設備,像USB 鍵盤、鼠標,甚至是USB 線連接的智能手機等都會出現這樣的問題。賓夕法尼亞大學計算機科學教授 Matt Blaze 認為這項研究揭示了一個重大的安全隱患。他還推測,美國NSA 有可能很早就知道了這個問題,並使用這種方式蒐集過不少數據和資料。
而在公共廁所的門背後,我們經常會發現諸如“複製SIM 卡竊聽”違法信息,這可能並非詐騙信息,而是真實的違法服務項目。 《紐約時報》曾報導,德國安全研究實驗室(German firm Security Research Labs) 創始人卡斯滕·諾爾(Karsten Nohl )在對北美及歐洲約1000 張SIM 卡進行測試後對外透露,黑客可利用一個安全漏洞向手機用戶發送虛假信息,使得25% 的DES SIM 卡自動回复消息,並且暴露出它們的56 位安全密匙。得到安全密匙後,黑客就能夠通過短信向SIM 卡發送病毒,該病毒讓黑客假冒機主,可以對短信進行攔截甚至可以通過移動支付系統購物。以上過程僅需2 分鐘並且只需要一台PC 就能夠完成。
早在2011 年,來自盧森堡大學的Ralf-Philipp Weinman 發現大部分無線設備所使用的用於處理無線電信號的高通(Qualcomm)和英飛凌(Infineon Technologies)芯片所搭載的固件上存在漏洞。於是他利用這種漏洞破解了用於收發無線通信網絡信號的基帶(Baseboard)芯片,通過破解基帶芯片入侵手機是一種此前不曾有的方式。由於手機的無線信號都需要通過基站來傳播,所以Weinman 的將首先架設一個虛假的基站欺騙別的手機連接上來,然後向攻擊目標發送惡意代碼。 Weinman 所編寫的惡意代碼只能在無線電處理器的固件上運行。
而就在不久前,網絡安全公司Accuvant 的手機研究人員Mathew Solnik 表示,他可以在30 英尺之外不知不覺地入侵一部智能手機,包括侵入其通話、瀏覽聯繫人甚至讀取短信。 Solnik 表示他們已經大概想出辦法,通過智能手機在無線電方面的漏洞偽裝成無線運營商——利用一個不到1000 美元、筆記本電腦大小的虛擬信號塔便可以在30 英尺範圍內的手機上傳惡意代碼。
USB 接口,SIM 卡,基帶芯片,不同的數據傳輸方式也往往伴隨著不同的安全隱患。
黑莓最後的榮耀
雖然黑莓江河日下,市場份額逐漸萎縮,但是其手機安全性仍被許多人認可,此前德國內政部採購了3000 部採用了德國公司Secusmart 技術加密的黑莓設備,並發放該部門成員使用,內政部發言人Tobias Plate 表示,通過使用這些黑莓設備降低了使用者被黑客竊聽的風險,因此德國政府還將訂購更多的黑莓手機供官員使用。
隨後德國內政部宣布黑莓是唯一符合其安全標準的手機,德國政府還將繼續訂購2 萬多台採用BB10 的黑莓手機。
在企業市場,黑莓手機依靠安全性勉強支撐著。 在早前黑莓開始衰落的時候,幫助企業部署手機 Mission Critical Wireless 公司的 CEO Dan Croft 認為:
引用“現在為RIM 寫悼詞太早了,很顯然他們面臨著許多突出的問題,但是仍然有上百萬的黑莓在順利運行。我們看到的不是RIM 被趕出企業市場。我們只是看到非黑莓設備的增多。”
Croft 認為,雖然iOS/Android 設備增強了安全功能,但是黑莓的安全功能更加強健,更易配置。為消費者設備,如iPhone 和Android 配置合適的安全系統需要更多的計劃。這個例子現在看仍不過時。
三星一直想要在企業和政府市場大展拳腳,為此還專門研發了 Knox 安全解決方案。只是這些正在和黑莓競爭,爭取美國政府方面的客戶,並安裝有Knox 安全解決方案的手機曝出了重大安全漏洞,該漏洞的存在使得黑客可以追踪到手機用戶的郵件信息,個人數據等隱私信息,這次安全漏洞的曝出,使得三星在這場競爭處於一個不利的位置。
今年年初,美國五角大樓啟用了最新的管理系統,其中被激活的新設備中,98% 為黑莓手機。新管理系統預計將激活8 萬台黑莓手機以及1800 台iOS 和Android 設備。新管理系統的預期開支為1.6 億美元,將確保30 萬安全人員在使用移動設備時不會洩露軍事機密。
黑莓在德國和美國政府市場依舊受信任也並不意味著他們在政府和企業市場高枕無憂,
據英國衛報報導,黑莓BB 10 系統在去年被英國政府拒絕,原因是未通過英國通信電子安全小組(CESG)的安全認證,該機構是英國國家信息安全技術權威部門,它的拒絕認證,意味著英國政府認為黑莓BB 10 系統不安全。在黑莓BB 10 中,除了黑莓傳統的特有網絡服務外,BlackBerry Balance 是一個主要針對企業和政府設計的應用,主要用來隔離個人和工作之間的數據,兩者之間不發生任何交集,從而保證安全。但英國政府並不認為其符合安全標準。
更早之前,美國移民和海關執法局放棄黑莓,轉向iPhone,該機構的員工多達1.7 萬名。
為了手機安全,我們可能得花更多的時間和金錢
隨著智能手機的日漸普及,移動支付開始逐漸滲透,這種比POS 機刷卡、Web 端支付更便捷的方法,無疑會有更廣闊的的想像空間。
目前的移動支付方法包括Paypal 數字錢包、Google Wallet、Square 等,他們藉助智能手機,正在飛速擴張。比如Square 在2012 年交易額達到了100 億美元,並逐漸部署到星巴克的7000 多家店面中,今年它的交易額將會更上一層樓。
但安全問題依舊是用戶最憂慮的,有時候,消費者並不是一味的追求便捷。由於移動支付和個人使用的智能移動設備密切相關,而移動設備容易丟失,安全問題不可小覷。用戶很可能因為安全問題對移動支付望而卻步,有時候,更繁瑣的手續來增加安全性反而更容易讓用戶接受。
來自英國的調研機構Auriemma Consulting Group 做了一組調查,他們發現,和智能設備強調用戶體驗至上相悖的是,更繁瑣的手續反而更容易讓用戶接受。
便利性和安全性的往往不可兼得,為了手中的錢。用戶也願意忍受更繁瑣的手續。在Web 端,在線支付已經比較普及,比如網銀、信用卡和支付寶,這幾種方式在用戶中比較受認可。從他們的操作方式來看,安全認證文件、多次輸入密碼、驗證碼在每次交易中都會使用到。然而移動設備對便捷的需求更加強烈,簡化流程是大勢所趨,但如何兼顧安全性,以及讓用戶接受成為一個難題。
Blackphone,但機不如其名,機雖取名“黑機”,但實際上是一部專門防黑的智能手機。 Blackphone 是由一支軟件和硬件團隊合作的成果,軟件方面有則是加密領域有名的 Silent Circle,這個團隊的聯合創始人則是發明了PGP 郵件加密的 Phil Zimmermann,而Zimmermann 本人也入選了互聯網協會的“互聯網名人堂”。
關於 Silent Circle,則是2012 年成立的一支年輕安全團隊,但是這支團隊的陣容可不可小覷,除了Zimmermann 外,著名的計算機安全專家Jon Callas 也是團隊創始人之一,另外團隊的其它成員都是高級工程師或是前特種部隊通訊專家。
在發布Blackphone 之前,Silent Circle 在安全界已小有名氣,推出了針對電話、短信、郵件的加密服務Silent Phone、Silent Text、以及Silent Mail。而Blackphone 將順理成章地運用團隊這方面的積累,除了提供以上三種通訊的加密外,手機還通過一個全天候的虛擬私人網絡(VPN)使用戶的網上行踪匿名化。據說,這部手機連 NSA 也無法入侵。
基於PrivatOS 的深度定制Android 系統,內置Silent Circle 的加密即時通訊應用、Spider Oak 的加密數據存儲、Disconnect 的反追踪服務和Kizmet 的反WiFi 嗅探使得 Blackphone 看起確實很安全,同時,它的價格也很相對高昂,為 629 美元。
為手機提供特定安全服務的不僅有 Blackphone,土豪手機 Vertu Signature Touch 手機內置了卡巴斯基反病毒軟件和防竊聽功能,保證通話短信不被竊取。當然,這款手機的價格是 11350 美元起步。
這裡的時間也還有等待新技術的時間。
一家來自紐約的安全公司 EyeLock 也在嘗試用更先進的生物密碼來代替傳統密碼,他們的武器是虹膜掃描。 Myris 就是他們帶來的設備,它可以掃描用戶虹膜上的240 個關鍵節點,然後生成一個長度為2048 比特的數字簽名。使用時,使用者只要抓起Myris,然後掃描一下眼球就能完成賬號登陸。
根據EyeLock 提供的數據,Myris 認證失誤的概率只有2.25 萬億分之一,遠遠超過聲音識別和Touch ID 指紋掃描。它的精準度只遜於 DNA 驗證。 EyeLock CMO 安東尼·安托利諾(Anthony Antolino)自信滿滿地說道,Myris 未來有望徹底取代傳統密碼。不過 Myris 是一款和鼠標差不多大的外接設備,目前也只能用在電腦端,虹膜識別的未來應當是集成到手機電腦這樣的設備中去。
資料來源:ifanr