Perface
前面看了硬件层安全和操作系统安全,这里继续看看应用软件安全、云端服务安全、移动网络安全的概要
3、应用软件安全威胁
智能终端可以通过下载和安装应用软件来扩展终端功能,为用户提供扩展服务。
但是目前用户对应用安全威胁的认知不够,整个移动应用规模极大而质量良莠不齐,整个移动互联网产业链对应用软件的管理和认证投入不足,造成了各类恶意应用软件的广泛传播。
(1)木马软件
如“微信鬼面”手机木马,通过伪装成微信支付功能,接收木马作者的短信指令使中招手机向外发送短信,还能将中招手机收到的短信转发给木马作者。
还有针对通讯录的手机木马,会遍历中招手机的通讯录向所有联系人群发短信,或在后台私自发送付费信息。
(2)钓鱼链接和电信欺诈
暗藏钓鱼链接的消息经红火的社交软件频繁现身网络,不少网友在抽到“中奖”后根据提示输入个人身份和账号信息,最终遭受极大的经济损失。
还有模拟电话号码、窃取他人微信账号,并假冒熟人进行的诈骗也越来越多,避免这类安全问题的关键只能是提高个人安全防范意识,避免上当受骗。
(想起初中上网特么说我中奖了18W,还有个电脑,那个时候对18W没什么概念,只记得有一台电脑了,激动地给我爸打电话说我中奖了,让我爸给我银行卡号。然后我爸给了我,(给了一张没钱的,因为他怀疑是假的),让我因为验证码认不出来,没有受骗成功,那天我晚上还在做梦自己的新电脑,记得那个时候弹出我中奖消息的时候我激动的一身汗。哈哈哈,时间好快)
(3)反编译、应用仿冒
Android平台仅要求应用软件开发者自签名,且不对签名的真实性进行验证,造成基于Android平台开发的应用软件签名真实性无法保证、软件信息无法溯源,再加上Java应用易于反编译,许多应用在分发环节被反编译并被植入恶意代码或广告,之后仿冒原应用在网络流传。
另外,Android系统爆出的假ID漏洞,系统针对应用的签名ID被黑客仿冒后,可以仿冒该应用而获取相应的权限和信息,如冒充Google钱包获得付款和财务数据、冒充Adobe应用获取用户某些敏感文档数据等。
联想到TEE开发了吗?应用者开发的应用要入住各大终端的应用商城,都需要获取对应的应用签名,才能最后安装成功,这是后话。
(盗版软件,哈哈哈免费软件,破解软件,果然也不安全,所以搞一些很私密的事情,还是要注意。最好是物理保存。)
(4)隐私数据窃取
窃取隐私数据包括应用将未经用户确认的隐私数据收集或泄露,以及恶意篡改用户数据等行为。
终端应用大多存在过度申请权限的问题,在功能之外收集用户通讯录、通话记录、短信、位置信息等隐私数据,造成泄露风险。
还有木马病毒等恶意应用,直接以窃取用户隐私数据、窃取用户金融资产为目的。
如一款名为“隐私洗劫器”的木马,可伪装成Facebook安全令牌等手机安全软件,窃取中招者的银行验证码、通讯录等大量隐私;一款名为“窃听大盗”的手机木马,偷录用户的通话、调用摄像头偷拍周边环境、定位用户位置等。
(5)恶意吸费
应用在用户不知情或未授权的情况下,通过自动拨打付费电话、发送业务订阅短信、频繁连接网络等方式,导致用户资费损失。相当比例的用户资费争议最终都被证明是由于用户终端中被植入了恶意吸费应用。
应用安全需要用户和行业的共同努力。用户方面,提高应用安全意识,主动拒绝安装和使用不明来源的应用;行业方面,加大安全宣传,加大应用安全检测的投入,进一步完善应用商店建设,使应用商店切实起到应用安全规范化引导,遏制恶意代码、违规内容及盗版软件传播,推动建设健康的移动互联网生态系统的作用。
4、云端服务安全威胁
云端服务具有高度分布式、高度虚拟化的特点,对个人用户而言,将信息的存储和计算放在云端,可降低自身存储和计算资源有限所带来的很多约束。伴随着移动网络传输速度的进一步提升,服务云端化已呈趋势。
云端服务如不能有效地管理加密信息、认证代码和接入权限,可能会带来诸如数据丢失和泄露的问题,且危害范围更大。如2014年5月,乌云漏洞报告平台证实,小米论坛官方数据库泄露,涉及800万使用小米手机、MIUI系统等小米产品用户的大量用户资料被泄露。2014年9月初,据美国新闻网站BuzzFeed消息,黑客攻击了苹果的iCloud账号,获取了多位好莱坞女星的私密照片并在网上流传。
造成云端服务安全问题的主要原因有:认证、授权和审计控制不足、加密或认证密钥的使用不统一、操作失败、处理不当、管辖权和政治问题、数据中心的可靠性以及数据恢复策略不完善等。
为提高安全性,云端服务应设计相应的安全机制以保护用户数据的机密性、完整性和可用性,并需要使云服务器的执行具有高度的可信性。
5、移动网络安全威胁
移动互联网面临的网络环境,主要包括移动网络接入、Wi-Fi热点接入等。
随着4G网络的部署和商用,国内的移动通信网络将长期处于2G、3G、4G多种制式长期共存的态势。
相对来看,早期的2G网络存在一定的安全缺陷,由于系统只对无线信道加密,不是端对端的加密,用户信息在Abis、A接口上的明文传输时可能被截取;只有网络对用户的单向身份认证,无法防止伪造网络设备(如基站)的攻击;移动台第一次注册和漫游时,IMSI(International Mobile Subscriber Identification Number,国际移动用户识别码)以明文方式发送到网络,被监听后手机会被克隆。
2G网络存在多数技术缺陷在3G时代得到修正,如改进密钥安全算法、采用双向认证、提高数据完整性和机密性保护等。移动网络的安全策略,大多是基于国际通信标准的进度部署和应用,网络安全性方面整体呈现逐步提升的趋势。
Wi-Fi非常适合移动办公用户的需要。Wi-Fi本身是无线局域网的范畴,由于设计满足近距离接入的使用场景,其安全策略设计弱于移动网络。技术上,Wi-Fi面临地址欺骗和会话拦截的问题,非法用户通过侦听手段会获得合法MAC地址而发起恶意攻击,或者侵入网络伪造身份拦截局域网内的会话信息。
典型的网络安全问题有伪基站、不安全Wi-Fi热点等。
伪基站问题,即使用伪基站设备,伪装成运营商的基站,冒用他人手机号码强行向用户手机发送诈骗、广告等非法短信。伪基站问题利用了GSM网络的安全设计缺陷,解决伪基站问题的核心是加强通信业立法,联合公检法等行政力量打击诈骗等违法行为。
Wi-Fi热点也可能存在巨大的安全隐患:公共场所的免费Wi-Fi热点可能是钓鱼陷阱,家用Wi-Fi可能被轻松攻破,网民可能面临个人敏感信息被盗,甚至造成直接的经济损失。用户应提高安全意识,慎用公共场所Wi-Fi热点,注意个人敏感信息保护。
整体来看,移动网络自身的不断演进,以及移动网络与WLAN、WiMax(Worldwide Interoperability for Microwave Access,全球微波互联接入)等其他无线网络的异构融合都伴随着网络安全体系与机制的不断发展与完善,从技术角度对身份认证机制、数据完整性保护、空口加密机制、用户身份保护、网络信息安全交换、终端安全接入等均有相应的安全策略部署。
所以对于这个公共的wifi还是不要乱连接。
小结
安全这些事情真的是在生活中能切实感受到的。
在移动互联网快速发展的时代,网络无处不在、无时不在,网络与民众的生活息息相关。移动智能终端和移动互联网的信息安全将会面临更加严峻的挑战。
从目前的数据和发展趋势可以预测,未来的移动互联网安全攻防仍将围绕移动智能终端展开。
未来的移动智能终端将会越来越开放和智能,承载更多有价值的用户信息,也会承载更多办公、支付等业务功能,体现更大的商业价值。
巨大的群体规模和经济利益将会刺激针对移动智能终端的恶意行为继续增长。在使用过程中,移动智能终端在硬件、操作系统、应用软件、云端服务和移动网络方面面临着无处不在的安全威胁,这需要终端与移动互联服务提供商、与平台、与网络等各方面采取协同的安全措施来应对。
同时,移动智能终端用户也应提升自身的安全防护意识,主动规避各类安全威胁。
参考资料
•移动互联网时代的智能终端安全
文章来源:TrustZone
推荐阅读
更多物联网安全,PSA等技术干货请关注平台安全架构(PSA)专栏。欢迎添加极术小姐姐微信(id:aijishu20)加入PSA技术交流群,请备注研究方向。
