你的手機(jī)安全嗎?
許多人可能被前兩天突然出現(xiàn)的“超級手機(jī)病毒”給嚇到了,一部分人被嚇到可能是因為害怕自己的手機(jī)莫名就感染了這種所謂的“超級手機(jī)病毒”,還有以小部分人被嚇到則是驚訝于“超級手機(jī)病毒”其實是一種“超級簡單手機(jī)病毒”,技術(shù)含量十分之低,稍加注意就可以完全避免危害。
據(jù)悉,這個蝗蟲惡意軟件(病毒)的制造者只是一名初學(xué) Android 軟件的學(xué)生,這個惡意軟件也只是他拿來練手用,不想造成了廣泛的傳播和影響。因為這個惡意軟件的安裝需要用戶點擊鏈接下載,授權(quán)讀取聯(lián)系人發(fā)送短信權(quán)限選項,并需要確認(rèn)安裝,稍微有安全意識的手機(jī)用戶就可以避免,這反映的問題其實并不是手機(jī)病毒的強(qiáng)大,而是相對于電腦安全,大部分用戶對于手機(jī)安全問題還沒有明確的意識。
回顧過去的消息報道,我們發(fā)現(xiàn),這次爆發(fā)的“超級手機(jī)病毒”只是手機(jī)安全問題中的一朵小小浪花,我們面臨的手機(jī)安全問題似乎不是很樂觀。
Android 的開放與安全
對于手機(jī)系統(tǒng)來說,安全和開放看起來是一個不可調(diào)和的悖論。因為點擊下載鏈接后下載的文件后綴是 apk。所以這次爆發(fā)的“超級手機(jī)病毒”也是只能在 Android 手機(jī)范圍內(nèi)傳播。
互聯(lián)網(wǎng)安全公司 F-secure 發(fā)布的移動互聯(lián)網(wǎng)安全報告指出,Android 平臺面對著比較大的安全問題,2012 年有 79% 的惡意軟件都寄生于 Andriod 之上,此數(shù)字比 2011 年更高出 12.3%。相較之下,iOS 平臺內(nèi)的惡意軟件僅占總量的 0.7%。如今兩年過去,隨著 Android 份額的水漲船高,Android 平臺的安全問題也并沒有得到好轉(zhuǎn)。
Public Intelligence 在 2013 年發(fā)表了一份來自美國國土安全部和司法部的聯(lián)合聲明,數(shù)據(jù)也和 F-secure 的類似,在 2012 年有 79% 惡意軟件(木馬)來自 Android,而 iOS 只有 0.7%。來自塞班的木馬比例為 19%,黑莓和 Windows Mobile 的移動木馬比例相同,都是 0.3%。
不是 Android 本身并不重視系統(tǒng)的安全問題,2012 年,Android 4.1 才是第一個完全意義上支持 ASLR 技術(shù)的版本。ASLR( Address space layout randomization )技術(shù),這是一種針對緩沖區(qū)溢出的安全保護(hù)技術(shù),通過對棧、共享庫映射等線性區(qū)布局的隨機(jī)化,增加攻擊者預(yù)測目的地址的難度,防止攻擊者定位攻擊代碼位置,達(dá)到阻止溢出攻擊的目的。這樣可以極大地提高黑客在利用內(nèi)存漏洞上的難度。
稍微回顧一下,Android 手機(jī)安全問題的新聞不在少數(shù)。一般認(rèn)為,相比于其他一些不知名的軟件市場,Google Play 要安全一些,但是即使是這個官方的軟件商店,里面也可能有惡意軟件存在。
翻下 2012 年的舊賬,根據(jù) Ars Technica 的報道,研究人員發(fā)現(xiàn)已經(jīng)有更多的惡意軟件進(jìn)駐到了 Google Play 。而且有趣的是,這些惡意軟件能夠駐留在官方市場里很長一段時間,即使已經(jīng)有了很大的下載量也依舊能不被發(fā)現(xiàn)。比如一款名為 Android.Dropdialer 的木馬程序,通過強(qiáng)制用戶撥打某些特定號碼來榨取高額費用,在進(jìn)駐 Google Play 數(shù)周之后才被發(fā)現(xiàn);而“ Super Mario Bros ” 和 “ GTA 3 Moscow City ” 作為惡意程序被打包,下載量達(dá)到了10萬。
對于 Android 嚴(yán)峻的安全問題,Google 方面似乎也是有心無力。當(dāng)法國 Android 站點 FrAndroid 問及 Android 的惡意軟件時,Google 副總裁、Android 部門主管 Sundar Pichai 回答道:
“我們不會保證說 Android 是用于安全用途,它主要用來提供更多自由。當(dāng)人們討論 90% 的 Android 木馬時,他們必須要認(rèn)識到這樣一個事實:它是世界上最流行的操作系統(tǒng)。如果我在生產(chǎn)惡意軟件的公司,我想我也會把攻擊目標(biāo)瞄向 Android 的。”
Chrome 出于安全考慮關(guān)閉插件入口,只能商店安裝,則被人指責(zé)走向封閉,安全和開放此時確實難以調(diào)和,并且,安全問題不僅僅是系統(tǒng)方的責(zé)任,用戶和第三方安全公司也不能置身事外。
iOS 就一定安全?
上面說到,在 2012 年,來自 iOS 的惡意軟件數(shù)量僅為總數(shù)的 0.7%,相比于當(dāng)時 iOS 的市場占有率,這個成績還算不錯。但這代表的是 iOS 只是相對安全,而不是絕對安全。事實上,關(guān)于 iOS 安全漏洞的新聞也不在少數(shù)。
同樣是在 2012 年,根據(jù)福布斯報道稱,一位卡巴斯基的反病毒研究人員 Maslennikov 在 App Stroe 中發(fā)現(xiàn)了一款名為 “Find and Call ”的應(yīng)用程序,表面上看起來它與其他的通話應(yīng)用程序的功能沒有區(qū)別,但通過調(diào)查發(fā)現(xiàn),這款 “Find and Call ”的應(yīng)用程序還會擅自收集用戶的私人信息,隨后將這些信息資料上傳至一個遠(yuǎn)程服務(wù)器,最后該服務(wù)器會向用戶聯(lián)系人名單上的每一個人都發(fā)出短信,并附上應(yīng)用的下載鏈接。這個原理聽起來和那個“超級手機(jī)病毒”如出一轍。
值得說明的是,這是以嚴(yán)格審核著稱的 App Store 里發(fā)現(xiàn)的首例惡意軟件。此次 iOS 平臺上的惡意軟件事件,以及之前 Mac OS X 一次又一次的飽受病毒的困擾,讓蘋果大力宣傳的安全機(jī)制受到了諸多挑戰(zhàn),蘋果“無毒”也漸成過去。
在去年的 Usenix 安全會議上,來自喬治亞理工學(xué)院的科學(xué)家們演示了他們的研究成果——一段好像阿米巴變形蟲的代碼,這段代碼在通過 App Store 應(yīng)用測試的時候,表現(xiàn)是無害的,但當(dāng)它被安裝到 iOS 機(jī)器上,這段代碼就會搖身一變,從小綿羊變?yōu)椴蚶恰8匾模ㄟ^這樣的方式,他們的確成功地在 App Store 發(fā)布惡意應(yīng)用。當(dāng)然,因為是試驗性質(zhì),科學(xué)家們沒有利用漏洞作惡。不過這也證明了當(dāng)時的 App Store 審核機(jī)制仍有可趁之機(jī)存在。
如果說因為 iOS 的圍欄花園安全模式(Walled Garden Model)使得這個系統(tǒng)里的應(yīng)用還相對安全的話,那么 iOS 系統(tǒng)層面的漏洞就經(jīng)常被發(fā)掘出來。
去年初,iOS 7 還沒有發(fā)布的時候,iOS 6 的一個安全漏洞會對所有未啟用兩步安全機(jī)制的用戶造成影響。利用這個漏洞,使用者只需要郵箱地址和機(jī)主的出生日期,然后登陸蘋果的 iForgot 網(wǎng)頁,在回答安全問題時將修改后的 URL 地址粘貼進(jìn)去,就能夠隨意重置 Apple ID 和 iCloud 密碼。隨后蘋果關(guān)閉了 iForgot 網(wǎng)頁,并承認(rèn)了該漏洞的存在。
而在 iOS 7 剛剛發(fā)布不久,一名網(wǎng)友發(fā)現(xiàn)了一個新的 iOS7 安全漏洞:在密碼鎖屏狀態(tài)下,點擊“緊急呼叫”,輸入任意號碼,然后不停地快速點擊“呼叫”按鈕直至手機(jī)出現(xiàn)蘋果 logo,之后電話就會成功地?fù)艽虺鋈ァJ聦嵣希S多版本的 iOS 都有不一樣的鎖屏漏洞出現(xiàn)。
Touch ID 的出現(xiàn)被認(rèn)為是在安全和便捷之間取得了一種微妙的平衡。不過對于黑客來說,破解 Touch ID 指紋識別毫無壓力,德國知名黑客 Starbug 自己制作了一套指紋,成功騙過了 Touch ID 系統(tǒng)。但 Starbug 卻表示破解 Touch ID “毫無挑戰(zhàn)”,他甚至感到“非常失望”:
“我只花了 30 個小時就成功破解了 Touch ID。我大概花了半個小時來做準(zhǔn)備工作,而花費了更多的時間去尋找傳感器的技術(shù)規(guī)格信息。我非常失望,因為原本以為需要花費 1 到 2 個星期才能破解它。這次破解毫無挑戰(zhàn)。”
這個破解過程揭示了一個殘酷的現(xiàn)實——遺留在任何地方的指紋,都可能被用來繞過 Touch ID。Starbug 更是一針見血地指出,Touch ID 只是增加了便利性而不是安全性。
不過蘋果白皮書曾指出,Touch ID 是絕對安全的。不過此安全非彼安全,指的是個人信息和隱私的安全性:每塊 A7 芯片中都有一個唯一的安全模塊,無論是蘋果還是 A7 處理器都不能讀取這個模塊中的數(shù)據(jù)。而且每次認(rèn)證過程都在“終端對終端”的加密中進(jìn)行,也就是說,你的指紋信息不會被上傳。iPhone 5s 在完成指紋數(shù)據(jù)的處理和分析后,會自動刪除這些數(shù)據(jù),不會同步到 iCloud 或者 iTunes。
蘋果還進(jìn)一步解釋了指紋圖像的用途。指紋圖像會一直只保存在內(nèi)部存儲內(nèi),直到它變成解碼密鑰。如果用戶超過 48 小時沒有解鎖、重啟手機(jī),或者解碼失敗超過 5 次,那么 iPhone 的保護(hù)系統(tǒng)就會被激活。另外,當(dāng)陌生用戶觸摸 Touch ID 時,他們解鎖手機(jī)的概率僅有大約五萬分之一。
有時候也不是系統(tǒng)的關(guān)系
前面提到的都是系統(tǒng)層面的東西,除了系統(tǒng)層面,手機(jī)的安全漏洞也可能在別處。
計算機(jī)安全問題研究員 Karsten Nohl 和 Jakob Lell 最新的一項研究發(fā)現(xiàn),USB 設(shè)備存在一個嚴(yán)重的安全漏洞。一種叫做 BadUSB 的惡意軟件會通過鼠標(biāo)、鍵盤及U 盤等USB設(shè)備入侵個人電腦,篡改硬盤軟件。Karsten Nohl 和 Jakob Lell 長期從事 USB 設(shè)備安全問題研究,這一次他們沒有像往常那樣編寫惡意軟件代碼入侵 USB 設(shè)備的儲存器,以測試安全性能;而是把研究重點放在了 USB 設(shè)備中控制轉(zhuǎn)存功能的固件上。結(jié)果發(fā)現(xiàn),通過編寫一定程序,黑客可以很容易將惡意代碼隱藏在固件內(nèi),殺毒軟件根本找不到。
除了 U 盤這樣的存儲設(shè)備,像 USB 鍵盤、鼠標(biāo),甚至是 USB 線連接的智能手機(jī)等都會出現(xiàn)這樣的問題。賓夕法尼亞大學(xué)計算機(jī)科學(xué)教授 Matt Blaze 認(rèn)為這項研究揭示了一個重大的安全隱患。他還推測,美國 NSA 有可能很早就知道了這個問題,并使用這種方式搜集過不少數(shù)據(jù)和資料。
而在公共廁所的門背后,我們經(jīng)常會發(fā)現(xiàn)諸如“復(fù)制 SIM 卡竊聽”違法信息,這可能并非詐騙信息,而是真實的違法服務(wù)項目。《紐約時報》曾報道,德國安全研究實驗室(German firm Security Research Labs) 創(chuàng)始人卡斯滕·諾爾(Karsten Nohl)在對北美及歐洲約 1000 張 SIM 卡進(jìn)行測試后對外透露,黑客可利用一個安全漏洞向手機(jī)用戶發(fā)送虛假信息,使得 25% 的 DES SIM 卡自動回復(fù)消息,并且暴露出它們的 56 位安全密匙。得到安全密匙后,黑客就能夠通過短信向 SIM 卡發(fā)送病毒,該病毒讓黑客假冒機(jī)主,可以對短信進(jìn)行攔截甚至可以通過移動支付系統(tǒng)購物。以上過程僅需 2 分鐘并且只需要一臺 PC 就能夠完成。
早在 2011 年,來自盧森堡大學(xué)的 Ralf-Philipp Weinman 發(fā)現(xiàn)大部分無線設(shè)備所使用的用于處理無線電信號的高通(Qualcomm) 和英飛凌(Infineon Technologies)芯片所搭載的固件上存在漏洞。于是他利用這種漏洞破解了用于收發(fā)無線通信網(wǎng)絡(luò)信號的基帶(Baseboard)芯片,通過破解基帶芯片入侵手機(jī)是一種此前不曾有的方式。由于手機(jī)的無線信號都需要通過基站來傳播,所以 Weinman 的將首先架設(shè)一個虛假的基站欺騙別的手機(jī)連接上來,然后向攻擊目標(biāo)發(fā)送惡意代碼。Weinman 所編寫的惡意代碼只能在無線電處理器的固件上運行。
而就在不久前,網(wǎng)絡(luò)安全公司 Accuvant 的手機(jī)研究人員 Mathew Solnik 表示,他可以在 30 英尺之外不知不覺地入侵一部智能手機(jī),包括侵入其通話、瀏覽聯(lián)系人甚至讀取短信。Solnik 表示他們已經(jīng)大概想出辦法,通過智能手機(jī)在無線電方面的漏洞偽裝成無線運營商——利用一個不到 1000 美元、筆記本電腦大小的虛擬信號塔便可以在 30 英尺范圍內(nèi)的手機(jī)上傳惡意代碼。
USB 接口,SIM 卡,基帶芯片,不同的數(shù)據(jù)傳輸方式也往往伴隨著不同的安全隱患。
黑莓最后的榮耀
雖然黑莓江河日下,市場份額逐漸萎縮,但是其手機(jī)安全性仍被許多人認(rèn)可,此前德國內(nèi)政部采購了 3000 部采用了德國公司 Secusmart 技術(shù)加密的黑莓設(shè)備,并發(fā)放該部門成員使用,內(nèi)政部發(fā)言人 Tobias Plate 表示,通過使用這些黑莓設(shè)備降低了使用者被黑客竊聽的風(fēng)險,因此德國政府還將訂購更多的黑莓手機(jī)供官員使用。
隨后德國內(nèi)政部宣布黑莓是唯一符合其安全標(biāo)準(zhǔn)的手機(jī),德國政府還將繼續(xù)訂購 2 萬多臺采用 BB10 的黑莓手機(jī)。
在企業(yè)市場,黑莓手機(jī)依靠安全性勉強(qiáng)支撐著。在早前黑莓開始衰落的時候,幫助企業(yè)部署手機(jī) Mission Critical Wireless 公司的 CEO Dan Croft 認(rèn)為:
“現(xiàn)在為 RIM 寫悼詞太早了,很顯然他們面臨著許多突出的問題,但是仍然有上百萬的黑莓在順利運行。我們看到的不是 RIM 被趕出企業(yè)市場。我們只是看到非黑莓設(shè)備的增多。”
Croft 認(rèn)為,雖然 iOS/Android 設(shè)備增強(qiáng)了安全功能,但是黑莓的安全功能更加強(qiáng)健,更易配置。為消費者設(shè)備,如 iPhone 和 Android 配置合適的安全系統(tǒng)需要更多的計劃。這個例子現(xiàn)在看仍不過時。
三星一直想要在企業(yè)和政府市場大展拳腳,為此還專門研發(fā)了 Knox 安全解決方案。只是這些正在和黑莓競爭,爭取美國政府方面的客戶,并安裝有 Knox 安全解決方案的手機(jī)曝出了重大安全漏洞,該漏洞的存在使得黑客可以追蹤到手機(jī)用戶的郵件信息,個人數(shù)據(jù)等隱私信息,這次安全漏洞的曝出,使得三星在這場競爭處于一個不利的位置。
今年年初,美國五角大樓啟用了最新的管理系統(tǒng),其中被激活的新設(shè)備中,98% 為黑莓手機(jī)。新管理系統(tǒng)預(yù)計將激活 8 萬臺黑莓手機(jī)以及 1800 臺 iOS 和 Android 設(shè)備。新管理系統(tǒng)的預(yù)期開支為 1.6 億美元,將確保 30 萬安全人員在使用移動設(shè)備時不會泄露軍事機(jī)密。
黑莓在德國和美國政府市場依舊受信任也并不意味著他們在政府和企業(yè)市場高枕無憂,
據(jù)英國衛(wèi)報報道,黑莓 BB 10 系統(tǒng)在去年被英國政府拒絕,原因是未通過英國通信電子安全小組(CESG)的安全認(rèn)證,該機(jī)構(gòu)是英國國家信息安全技術(shù)權(quán)威部門,它的拒絕認(rèn)證,意味著英國政府認(rèn)為黑莓 BB 10 系統(tǒng)不安全。在黑莓 BB 10 中,除了黑莓傳統(tǒng)的特有網(wǎng)絡(luò)服務(wù)外,BlackBerry Balance 是一個主要針對企業(yè)和政府設(shè)計的應(yīng)用,主要用來隔離個人和工作之間的數(shù)據(jù),兩者之間不發(fā)生任何交集,從而保證安全。但英國政府并不認(rèn)為其符合安全標(biāo)準(zhǔn)。
更早之前,美國移民和海關(guān)執(zhí)法局放棄黑莓,轉(zhuǎn)向 iPhone,該機(jī)構(gòu)的員工多達(dá) 1.7 萬名。
為了手機(jī)安全,我們可能得花更多的時間和金錢
隨著智能手機(jī)的日漸普及,移動支付開始逐漸滲透,這種比 POS 機(jī)刷卡、Web 端支付更便捷的方法,無疑會有更廣闊的的想象空間。
目前的移動支付方法包括 Paypal 數(shù)字錢包、Google Wallet、Square 等,他們借助智能手機(jī),正在飛速擴(kuò)張。比如 Square 在 2012 年交易額達(dá)到了 100 億美元,并逐漸部署到星巴克的 7000 多家店面中,今年它的交易額將會更上一層樓。
但安全問題依舊是用戶最憂慮的,有時候,消費者并不是一味的追求便捷。由于移動支付和個人使用的智能移動設(shè)備密切相關(guān),而移動設(shè)備容易丟失,安全問題不可小覷。用戶很可能因為安全問題對移動支付望而卻步,有時候,更繁瑣的手續(xù)來增加安全性反而更容易讓用戶接受。
來自英國的調(diào)研機(jī)構(gòu) Auriemma Consulting Group 做了一組調(diào)查,他們發(fā)現(xiàn),和智能設(shè)備強(qiáng)調(diào)用戶體驗至上相悖的是,更繁瑣的手續(xù)反而更容易讓用戶接受。
便利性和安全性的往往不可兼得,為了手中的錢。用戶也愿意忍受更繁瑣的手續(xù)。在 Web 端,在線支付已經(jīng)比較普及,比如網(wǎng)銀、信用卡和支付寶,這幾種方式在用戶中比較受認(rèn)可。從他們的操作方式來看,安全認(rèn)證文件、多次輸入密碼、驗證碼在每次交易中都會使用到。然而移動設(shè)備對便捷的需求更加強(qiáng)烈,簡化流程是大勢所趨,但如何兼顧安全性,以及讓用戶接受成為一個難題。
Blackphone,但機(jī)不如其名,機(jī)雖取名 “黑機(jī)”,但實際上是一部專門防黑的智能手機(jī)。Blackphone 是由一支軟件和硬件團(tuán)隊合作的成果,軟件方面有則是加密領(lǐng)域有名的 Silent Circle,這個團(tuán)隊的聯(lián)合創(chuàng)始人則是發(fā)明了 PGP 郵件加密的 Phil Zimmermann,而 Zimmermann 本人也入選了互聯(lián)網(wǎng)協(xié)會的“互聯(lián)網(wǎng)名人堂”。
關(guān)于 Silent Circle,則是 2012 年成立的一支年輕安全團(tuán)隊,但是這支團(tuán)隊的陣容可不可小覷,除了 Zimmermann 外,著名的計算機(jī)安全專家 Jon Callas 也是團(tuán)隊創(chuàng)始人之一,另外團(tuán)隊的其它成員都是高級工程師或是前特種部隊通訊專家。
在發(fā)布 Blackphone 之前,Silent Circle 在安全界已小有名氣,推出了針對電話、短信、郵件的加密服務(wù) Silent Phone、Silent Text、以及 Silent Mail。而 Blackphone 將順理成章地運用團(tuán)隊這方面的積累,除了提供以上三種通訊的加密外,手機(jī)還通過一個全天候的虛擬私人網(wǎng)絡(luò)(VPN)使用戶的網(wǎng)上行蹤匿名化。據(jù)說,這部手機(jī)連 NSA 也無法入侵。
基于 PrivatOS 的深度定制 Android 系統(tǒng),內(nèi)置 Silent Circle 的加密即時通訊應(yīng)用、Spider Oak 的加密數(shù)據(jù)存儲、Disconnect 的反追蹤服務(wù)和 Kizmet 的反 WiFi 嗅探使得 Blackphone 看起確實很安全,同時,它的價格也很相對高昂,為 629 美元。
為手機(jī)提供特定安全服務(wù)的不僅有 Blackphone,土豪手機(jī) Vertu Signature Touch 手機(jī)內(nèi)置了卡巴斯基反病毒軟件和防竊聽功能,保證通話短信不被竊取。當(dāng)然,這款手機(jī)的價格是 11350 美元起步。
這里的時間也還有等待新技術(shù)的時間。
一家來自紐約的安全公司 EyeLock 也在嘗試用更先進(jìn)的生物密碼來代替?zhèn)鹘y(tǒng)密碼,他們的武器是虹膜掃描。Myris 就是他們帶來的設(shè)備,它可以掃描用戶虹膜上的 240 個關(guān)鍵節(jié)點,然后生成一個長度為 2048 比特的數(shù)字簽名。使用時,使用者只要抓起 Myris,然后掃描一下眼球就能完成賬號登陸。
根據(jù) EyeLock 提供的數(shù)據(jù),Myris 認(rèn)證失誤的概率只有 2.25 萬億分之一,遠(yuǎn)遠(yuǎn)超過聲音識別和 Touch ID 指紋掃描。它的精準(zhǔn)度只遜于 DNA 驗證。EyeLock CMO 安東尼·安托利諾(Anthony Antolino)自信滿滿地說道,Myris 未來有望徹底取代傳統(tǒng)密碼。不過 Myris 是一款和鼠標(biāo)差不多大的外接設(shè)備,目前也只能用在電腦端,虹膜識別的未來應(yīng)當(dāng)是集成到手機(jī)電腦
