苹果手机后门的曝光,引起了国人对手机等智能设备信息安全的高度关注。在移动互联网时代,企业和个人都有了窃取个人隐私信息的新技术,而防御技术方案也在形成。一场新领域的“黑白之战”已然打响。
在这场注定旷日持久的战斗中,“黑方”和“白方”各有哪些技术手段?记者采访了长期从事网络安全工作的专业人士。
三种途径可植入后门
罗清篮,上海利物盛网络科技有限公司总经理,在第二届全国 ISG 信息安全技能竞赛中,带领团队获渗透测试组第一名、综合运维组第二名。
据他介绍,在移动互联领域,后门植入有三种途径。第一种途径,是在操作系统中植入。苹果iOS系统是闭源操作系统,苹果公司植入后门从技术上讲非常容易;安卓虽然是开源系统,但其代码中也存在植入后门的可能。第二种途径,是在 OEM 系统中植入后门。如今,许多手机厂商对安卓系统进行了深度定制,开发出各种 OEM 系统。在开发过程中,手机厂商也可能开设各自的后门。第三种途径,是在第三方应用(App)中植入后门,通过App窃取手机、平板电脑用户的个人隐私信息。
利用这些后门,企业和个人可远程获取用户信息。例如,手机厂商能通过其建构的云服务系统,激活任意手机客户端的信息,将其传送至云端。在此过程中,手机厂商如果不告知用户,后者根本不会察觉。
对于操作系统、OEM 系统中的后门,政府部门应采取行动,防止用户、特别是公职人员的隐私信息被窃取。近日我国政府应对苹果后门事件,堪称经典案例。来自中国电信和国内相关政府门户网站的消息称,苹果公司将把 i-Cloud 数据存储在中国电信的云服务系统,改变 iCloud 数据此前一直存储在美国的局面。
在罗清篮看来,在国产操作系统没有问世的情况下,使用智能手机总是存在个人隐私被外国企业获取的可能。“所以,我个人觉得公职人员,特别是要害岗位的公职人员在工作中不要使用智能手机,改用功能机。当然,做到这点可能不太现实。”
罗清篮还指出,目前,苹果、安卓系统潜藏的漏洞、后门大多由西方专业人士发现。这说明,我国对这两种主流移动操作系统的安全研究有待加强。他建议有关部门有所作为,建立更多专攻苹果、安卓安全问题的团队。他们发现漏洞和后门后,可及时报告有关部门,做到安全预警。
对于 App后门,用户的有效应对方法,是不轻易在来源不明的地方(如不明网站、短信)下载App。相对而言,知名企业的官方下载平台是比较安全的。
手机骇客技术层出不穷
除了利用后门窃取个人信息,移动时代的骇客技术还有很多,如手机木马、二维码钓鱼、邮件钓鱼、虚假短信、GSM中间人攻击。
PC时代,木马犯下的恶行已罄竹难书,而今,它们又潜入了手机。近日,一种利用恶意App潜入用户手机的安卓木马被曝光。它能在用户不知情的情况下,读取手机通讯录,并冒充用户给通讯录里的联系人发送短信,要求他们安装该恶意App。对方一旦下载App,其中的木马又开始新一轮的短信发送……对普通用户来说,应对手机木马的办法,就是不轻易在来源不明的地方下载App;收到带有链接的短信后,也不要轻易点击并下载。
在二维码铺天盖地的今天,二维码钓鱼已成为一种“主流技术”。具有“钓鱼”功能的二维码嵌入了恶意下载地址,人们用手机扫描这种二维码后,手机可能会自动下载恶意 App,也可能直接进行手机支付。罗清篮说,如今许多人的手机绑定了支付功能,在支付时无需输入密码,因此一旦钓鱼二维码启动了手机支付功能,就有可能窃取用户的资金账户。鉴于此,开发移动支付应用的企业应予以重视; 用户则应对二维码留个心眼,不要轻易下载出现在安全性无法保证的地方的二维码。
邮件钓鱼,对网民而言早已不陌生。由于许多人的手机已绑定支付功能,用户在手机上点击这种邮件的链接,危害可能更大——点击链接后,手机可能直接完成支付,“坑你没商量”。
在功能机时代就诞生的虚假短信,其危险指数在智能手机上急剧上升。借助“短信猫”或虚拟基站,不法分子能用任意手机号码给大量用户发送短信。比如,他们可冒用银行服务短信号码发送虚假短信,引诱用户点击链接,进入一个要求输入支付密码等重要隐私信息的网页。对短信号码深信不疑的用户,就会中招,导致经济损失。
GSM 中间人攻击,是一种窃听用户语音通话的技术。GSM 是“全球移动通信系统”的英文首字母缩写,该系统是当今应用最广泛的移动电话标准。在很多地方,GSM信号是不加密的。骇客能通过刷系统,将一部手机改造成假基站,从而截获GSM信号。当骇客要通过这种技术监听某人的手机通话,就需与他保持较近的距离,比如,尾随此人进入一家酒店;随后,在“假基站”手机上输入监听对象的手机号码,便能截获该手机发出的GSM信号,充当该手机与另一台通话手机的“中间人”,监听两人的通话。
加密通话技术,能应对 GSM 中间人攻击。两部手机进行加密通话时,一部手机将包括 SIM 卡序列号、手机序列号等信息的密钥发送给另一部手机,后者接收并解密后,即可让用户听到语音。在此过程中,通话是用密文传输的,GSM中间攻击只能截获密文,但很难破解。这种加密技术也可用于短信。
警惕谷歌眼镜窃取密码
如今,移动时代的黑客技术在不断发展过程中。罗清篮透露,利物盛网络科技公司的技术人员最近了解到一种国外新技术——有黑客开发出一款软件,将它安装在谷歌眼镜里。这款软件能根据手指输入密码的视频,利用手势与屏幕相对位置的分析算法,分析出输入的是哪些字符或何种手势图形。我们知道,谷歌眼镜拍摄视频十分方便,隐蔽性也很强。当一个人戴着装有这款软件的谷歌眼镜,偷偷拍摄其他人在手机上输入密码(包括字符密码、手势密码)的视频,就有可能获取密码。
这种黑客技术的潜在威胁很大。人们不一定要借助谷歌眼镜,用装有这款软件的手机偷偷拍摄视频后,也可获知密码。如果这种技术被许多不法分子应用,那么,在公众场合用手机输入密码就存在巨大的安全隐患。
道高一尺,魔高一丈。如何应对形形色色的新型黑客技术,成为摆在政府部门、信息安全研究人员面前的挑战。
罗清篮指出,PC 时代的网络黑客技术与移动时代的黑客技术还能结合在一起,发挥更大的杀伤力。例如,黑客攻破网站的数据库后,可获取大量用户个人信息,再利用这些信息对用户的手机进行定向攻击。因此,在移动互联时代,各类网站应进一步加强安全维护。个人用户则应避免在各网站使用相同的密码。用户可根据“各网站域名字符+通用密码”等规则,设置一系列便于记忆的不同密码。(本报记者 俞陶然)