移动互联网快速发展的今天,手机等移动智能终端的功能日益强大,在我们的生活中扮演的角色也越来越重要。手机中会有哪些敏感信息,这些信息面临着什么样的安全威胁?我们应如何保证自己手机的信息安全?
从技术上说,手机其实比电脑更安全
人们可能会觉得,个人电脑性能强大,可以安装许多大型杀毒软件和防火墙等,应该比手机安全。“但其实现在的观点应该是手机更安全。”中科院信息工程所陈恺研究员表示。这是因为手机系统中的保护机制比较多。比如说,手机操作系统中有一种比较有效的保护机制,叫“沙盒”(sandbox),如图1所示。沙盒简单说来就是为每一个运行的程序提供一个隔离的环境,严格控制每个程序所能访问的资源(如内存、硬盘等)。这样,这些程序在运行时如果有什么潜在的问题,就不会影响到同一台设备上的其他程序。
而在电脑里,如果多个进程(例如“记事本”、“Word”和邮件客户端等)是属于同一用户的,那么这些进程之间通常可以互相交互,比如它们的内存是可以互相访问的。这样的设计有一些好处,如便于硬件资源如内存、CPU的共享等。但这样一来,如果其中的一个程序有问题,那么同一用户的其他所有程序就都会有风险。如果某一个程序被攻击者控制并改变了共享内存中的内容(加入恶意代码),则其他程序访问这个共享内存时,则有可能造成难以预料的后果。
但是在手机中,通过沙盒,不同的进程被完全隔离开了。即使是同一个用户的两个不同的程序,它们之间也是不能互相访问的。所以如果其中的一个程序有问题,另一个程序并不会受到影响。现在,不同的手机操作系统,比如谷歌公司开发的安卓(Android)和苹果公司开发的iOS等,都具有这样的机制。这是一个很大的进步。
但是为什么又说手机的安全问题很严重呢?一个重要的原因就是手机上集成的信息太多了,因此有很多用心不良的人会想方设法来进行攻击,窃取用户的隐私信息。
手机中的敏感信息
相比于传统意义上的移动电话,智能手机不如说是一台可以放入衣服口袋的移动电脑。对不少用户来说,打电话甚至已经变成手机的次要用途了。很多以往需要用电脑或其他设备才能实现的功能,都因为有了手机而变得非常方便。全球每天有无数的人用手机来了解资讯、收发电子邮电、搜索信息、社交、购物、理财、摄影摄像、导航、管理健身运动、玩游戏。
然而,大部分人在享受手机带来的好处时,并没有充分意识到,随着手机中涉及到个人隐私的信息越来越多,手机的信息安全问题也变得越来越重要。现在智能手机中的各种隐私信息,甚至比个人电脑中还多得多。你的手机中可能会有银行卡和各种网络支付的相关信息,家庭和单位的位置、地址信息,社交软件、电子邮箱等的账号、密码,网络聊天的内容,私人照片视频,通讯录等。这些都是很敏感的信息,如果泄露,就可能会造成严重后果。
另外,还有一些风险一般人可能更意识不到。如果手机的摄像头被人控制而悄悄工作的话,那么用户所处的环境,包括家里或办公室中的情况,都有可能被拍下来并发送出去。随着智能家居的普及,越来越多的设备可以与手机连接,例如可以用手机来控制冰箱、电视等电器的开关,还有人为了防盗等在家里安装了可以通过手机控制的摄像头。在这种情况下,一旦黑客入侵了手机,就可以把用户家里的情况了解得很清楚,安全风险不言而喻。
定制系统的安全问题
虽然手机因为有沙盒等机制,从理论上说比电脑要安全,但手机也有一些自己所特有的问题。
安卓手机的操作系统存在“碎片化”的现象。所谓碎片化,就是不同的厂商都在开发自己的定制系统,系统的差异越来越大。安卓是一个开源的系统,在一定的基础上可以对原生系统进行修改,既在很大程度上保留了安卓原有的特性,又可以添加一些新的功能和特点。而有一些应用软件是专门针对深度定制的安卓系统而开发的,所以与原生的安卓系统可能不兼容。总体来说,定制系统和原生系统在操作上相似度很高,但一般都无法升级成原生安卓系统,只能使用相关厂商发布的定制系统升级包。现在全球大概有上万个大大小小的手机厂商。谷歌的原生安卓系统版本更新很快,而不同终端厂商的版本各异的系统难以同步更新,使得安全漏洞不容易得到及时的修补。所以,使用定制的系统存在一定的安全风险。
另外,每个厂商在系统里捆绑的程序也都不一样。通常我们买来的新手机,里面都已经预装了一些应用程序,这就是捆绑在手机系统中的程序,它们大多是无法卸载的。有人做过调研,发现很多这样预装的程序都有问题。由于手机厂商和软件厂商之间的各种利益,手机预装市场比较混乱,用户则可能成为最终的受害者。
2015年11月,国家工信部公布了《移动智能终端应用软件(App)预置和分发管理暂行规定》,向社会公开征求意见。这个规定提出,手机生产商和互联网信息服务提供者要尊重用户的知情权和选择权,不得调用与所提供服务无关的终端功能、强行捆绑推广无关应用软件,确保除基本功能软件外的移动智能终端应用软件必须可由用户方便地卸载等。如果这个规定得以正式颁布施行,将有利于手机预装市场的规范化。
手机面临的安全威胁
目前,手机的信息安全主要面临着两类威胁,即恶意程序和电信诈骗。
恶意程序
恶意程序是指强行或秘密安装在用户的设备上,侵害用户合法权益的程序,如病毒、木马等。目前很多手机都遭到了恶意程序的侵害。据陈恺研究员介绍,2015年,每5.6台安卓设备中就约有1台被病毒木马等感染,感染率高达18%。
2015年各类病毒木马感染用户量的情况如图2所示,其中流氓行为类病毒木马感染用户量最多,超过50%。其他还包括恶意扣费、隐私窃取等。
(注:流氓行为包括未经用户许可自动安装运行、强行弹窗显示广告、劫持浏览器等,而且难以卸载、清除;恶意扣费程序会私自发送扣费短信,并拦截运营商发送的确认短信,让用户在不知不觉中被扣费;隐私窃取病毒会盗取用户通讯录、通话记录、浏览器书签、聊天记录等,上传到远程服务器;盗版软件会伪装成正版软件骗取用户安装,启动后可以实施恶意行为;系统破坏程序会获取root权限,破坏文件系统,偷偷安装未知软件;短信劫持程序能向用户的所有联系人发送短信,骗取好友安装,还会拦截、转发用户的短信;诱骗欺诈程序诱使用户安装后,会自动创建桌面图标,用户点击后提示更新软件诱骗用户下载其他程序。)
自2015年中旬以来,还出现了大量的锁屏勒索软件,这类应用多伪装成游戏外挂、QQ刷钻软件等。病毒启动后,就会强制锁屏,即使用户重启手机也无济于事。病毒制造者会故意将自己的联系方式留在锁屏界面,等用户联系时进行恐吓,诈骗钱财。同时出现的还有大量的色情类病毒软件,通过诱惑性的应用图标或应用名称来刺激用户下载,几个月的时间就可以感染上百万用户。这类病毒具有恶意扣费、窃取隐私、强制推送并安装其他恶意程序等行为,由于此类病毒能够直接获益,备受不法分子青睐,用户需提高警惕。
还有很多程序被称为“有潜在危害的程序”(potentially harmful apps),因为很难界定它们是不是恶意的。如果一个视频播放软件要求能访问很多与它的主要功能无关的信息,比如用户的通讯录、位置信息、短信、摄像头、通话信息等,就很不合理。我国在这方面的行业规范和监管还不完善,不少应用程序,包括一些著名厂商开发的程序里,常常会有一些侵犯用户隐私信息的内容。“把我国厂商开发的程序拿到防恶意程序扫描引擎,例如集成了56个防毒引擎的VirusTotal里去扫描,大概有一半以上都是有问题的。很多此类程序都会把手机中能界定用户身份的信息拿走。但我们不清楚他们为什么要获取这些信息,是要做好事还是坏事。”陈恺研究员说。
那么,如何避免下载到恶意程序或有潜在危害的程序?虽然专业机构可以对程序进行检测,但对一般用户来说,很难直接判断某个程序是否含有恶意代码,比较现实的办法就是通过应用市场和厂商的声誉来间接判断。正规的市场(商店)都会对应用程序进行某种程度的监管。
陈恺研究员建议,对于苹果公司的操作系统(iOS),从安全的角度来说,最好不要去越狱。iOS越狱(iOS Jailbreaking)使得用户可以从苹果应用商店外下载安装其他非官方的应用程序,甚至获取root权限。root权限是系统权限的一种,获得root权限就是拥有了整个系统的最高权限,可以对系统中的任何文件(包括系统文件)执行所有增、删、改、查的操作。所以,很多黑客在入侵系统的时候,都要把权限提升到root权限。理论上,iPhone越狱后安全性会大为降低。在越狱的应用市场中,程序的问题很多。如果用户不小心安装了某个恶意程序,它就可以随意读取、修改系统上任意文件,获取社交、网络支付等应用的数据,还可以删除系统文件、导致系统崩溃等等。
而对于安卓系统,则尽量不要去那些小的市场中下载程序。目前我国的第三方安卓应用市场没有统一的管理尺度和规范标准,小的市场对程序的审查往往不太严格,甚至还会存在向程序里加入恶意代码的现象。有些开发者将自己的程序放在网页中,让用户去点击下载,很多用户也觉得官网上的程序最可靠。其实,官网未必安全,因为那些程序没有经过任何审查。有时,同样一个应用,在声誉较好的市场中下载的程序是没有问题的,但其官网上的程序却有问题。总的来说,苹果或安卓官方应用市场中那些知名度比较高的厂商开发的程序,相对来说更安全。
不过,手机的安全机制也在不断进步。以前,安卓系统安装一个应用程序的时候,会弹出它需要的权限列表,用户如果要安装这个程序,只能同意所有要求,无法选择。而现在苹果系统和安卓6以上的系统,则都是采用这样的方式:安装时不再询问,但是当这个程序第一次要用到某个权限的时候,会询问是否允许使用这个权限。如果用户选择“否”,那么以后就都会按这个决定执行。这样可有效防止潜在的信息泄露。
电信诈骗
相比以往,现在的电信诈骗非常猖獗,手法更具欺骗性、多样性。典型的电信诈骗是通过伪基站伪造银行或者移动运营商的官方客服短信,此类短信中通常包含木马链接。
所谓的伪基站,是利用一些特殊设备伪装成运营商的基站,屏蔽和干扰一定范围内的真基站的信号,然后搜索出其覆盖范围内的手机号,并向这些手机发送诈骗或广告信息。伪基站能模拟任意号码发送短信,比如冒充常见的公共服务号、银行服务号,或是用户亲朋好友的号码,所以很容易让人失去警惕。而用户一旦点击短信中的恶意链接,就会下载一个有问题的数据包,或者是登录上一个诈骗网站。
除了通过伪基站发送诈骗短信外,诈骗者也可能冒充司法机关等公众比较信任的机构给用户打电话,引导用户访问某个钓鱼网站。网络钓鱼的英文为Phishing,是由phone(电话)和fishing(钓鱼)两个单词组合而成,主要是通过短信、电子邮件、即时通信软件等发送欺骗性信息,诱使用户登录到钓鱼网站上。这些网站通过精心设计,伪装得与银行网站、社交网站、电商网站等非常相似。用户一旦在这些钓鱼网站上输入账号密码等,这些敏感信息就会被攻击者获取。
网络钓鱼的目标是获取用户的重要信息,如银行帐号、密码。
不管是哪种方式的电信诈骗,其共同特点都是利用社会工程学诱骗用户安装木马程序等并套取用户的个人资料。社会工程学指利用人们心理上的弱点,通过与他人的合法交流,来使对方心理受到影响,骗取对方的信任,使其做出某些行为或透露某些机密信息。社会工程学将目标定位在计算机信息安全中最脆弱的环节(也就是人)上,通过高明的欺诈手段收集信息、行骗和入侵计算机系统。社会工程学的手法非常复杂,很多表面上看起来无用的信息(比如一个电话、一个人名等)都会被攻击者利用。即使是比较警惕、小心的人,也可能会被高明的社会工程学手段欺骗。
当这些诈骗团伙取得用户个人信息后,会冒充用户的好友或是用户本人,对用户或其亲友实施诈骗。因此,当收到短信、邮件或消息时,不要轻易点击其中的链接,要仔细确认,以防上当。