沃通(WoSign)数字证书
EmailGoogleTwitterFacebook

智能手机安全的迷思

最近一段时间,关于智能手机安全的问题又被炒作了起来,一方面各个准备向高大上发展的手机品牌都拿安全作为卖点,另一方面手机造成金钱损失的新闻频频出现。智能手机为什么不安全?应该如何解决呢?

一、智能手机为什么不安全?

在功能机的时候,我们没有所谓手机信息安全的概念。如同在 DOS 时代,我们不担心互联网木马一样。非联网时代的电脑和手机就是简单的工具,他干不了很多事情,也就没有安全问题。 电脑安全问题的泛滥是互联网时代以后的事情,一方面各种账号密码有了价值,QQ 号可以卖钱,游戏账号可以卖钱,肉机可以卖钱。另外一方面,互联网与实体经济结合的越来越紧密,网络可以购物了,可以转账了。网络可以盗取的不仅仅是 QQ 号,而是真金白银。电脑的信息安全问题就严重了。

而智能手机流行的年代,已经是互联网经济发展很成熟的年代。智能手机木马可以直接盗取用户的金钱。而智能手机用户的信息化经验远不如电脑用户。诱惑力足够大,防范足够低。智能手机的安全问题就愈发严重。

二、信息是怎么丢的?

就目前来看,智能手机的安全问题主要出在两个地方。

(一)木马程序

木马程序是安装在智能手机里面的,安装的途径很多很多,你上网下载个游戏,在不靠谱的商店下载个应用,扫个二维码,QQ 或者旺旺点个链接,收到短信点个链接……

能中招的方式太多了,只要木马程序进入,就能获取最高权限,然后你的一切就没有秘密了。你在手机上干什么,信息就丢什么。你用网银就丢网银密码,用 QQ 就丢 QQ 密码,用淘宝就丢淘宝密码……

更糟的是,木马还能干涉短信验证功能,这个本来是银行或者网络支付的验证利器。但是智能手机的短信第三方程序是可以管理的。木马转发删除不通知你,这招也就没用了。

(二)WiFi 泄密或者第三方泄密

无论是加密的 WiFi,不加密的 WiFi,只要在 WiFi 端开个监控程序抓包。你通过 WiFi 干的一切事情也就没有秘密了。少数程序对外发送信息是严格加密的,大多程序就是明文。 还有一个问题是程序或者网站泄密,你注册网站也好,使用 App 也好,这些东西都要搜集你的信息,干什么不知道。假设他们的善意的,不对外出售你的信息。但是他们自己管理不善,给黑客破解。你的秘密也就没有了,前一段比较出名的是小米网站和携程网,携程网保留用户信用卡的后三码,这是相当危险的。

三、普通人怎么防范?

如果你是高手,你能看源代码,控制权限,写程序加密信息……不幸的是大多数人不是高手。

普通人只能用笨办法防范,其实也很简单。你和钱有关的手机别随便装东西。或者你用功能机或者小众系统的手机。或者你用智能机,但是严格控制用途。

和钱有关的手机,只装自带应用,只打电话,发短信。平时网络断开,或者干脆这个手机卡就不开联网功能。要联网只在可信的网络中去联(譬如运营商的 WiFi)。

总之,不联网的功能机相对比较安全,和钱有关的手机(短信银行验证),你就当功能机来用。

电脑不插网线,天才的黑客也没辙,手机不开通上网功能也有同样的效果。

四、厂商的责任

对厂商来说,一方面应该给用户各种提醒,另外一方面应该从技术上解决问题。

能不能把安卓程序放到一个黑箱里面去运行,不允许安卓程序去动电话短信这些东西,要动也要先提示授权。

在信息传送上,能不能向黑莓一样做到两端硬件信息做密钥加密,即使传输信息被截获也没关系?

PC 时代的安全问题,是安全软件厂商解决的。智能手机的安全问题,需要硬件厂商和安全软件厂商一起努力。

发表评论