目前,手机的信息安全主要面临着两类威胁,即恶意程序和电信诈骗。
恶意程序
恶意程序是指强行或秘密安装在用户的设备上,侵害用户合法权益的程序,如病毒、木马等。目前很多手机都遭到了恶意程序的侵害。据阿里移动安全的分析系统,2015年,每5.6台安卓设备中就约有1台被病毒木马等感染,感染率高达18%。
2015年各类病毒木马感染用户量的情况如上图所示,其中流氓行为类病毒木马感染用户量最多,超过50%。其他还包括恶意扣费、隐私窃取等。
自2015年中旬以来,还出现了大量的锁屏勒索软件,这类应用多伪装成游戏外挂、QQ刷钻软件等。病毒启动后,就会强制锁屏,即使用户重启手机也无济于事。病毒制造者会故意将自己的联系方式留在锁屏界面,等用户联系时进行恐吓,诈骗钱财。同时出现的还有大量的色情类病毒软件,通过诱惑性的应用图标或应用名称来刺激用户下载,几个月的时间就可以感染上百万用户。这类病毒具有恶意扣费、窃取隐私、强制推送并安装其他恶意程序等行为,由于此类病毒能够直接获益,备受不法分子青睐,用户需提高警惕。
还有很多程序被称为“有潜在危害的程序”(potentially harmful apps),因为很难界定它们是不是恶意的。如果一个视频播放软件要求能访问很多与它的主要功能无关的信息,比如用户的通讯录、位置信息、短信、摄像头、通话信息等,就很不合理。我国在这方面的行业规范和监管还不完善,不少应用程序,包括一些著名厂商开发的程序里,常常会有一些侵犯用户隐私信息的内容。“把我国厂商开发的程序拿到防恶意程序扫描引擎,例如集成了56个防毒引擎的VirusTotal里去扫描,很多程序都是被标记为有问题的。很多此类程序会把手机中能界定用户身份的信息拿走。但很多情况下我们不清楚他们为什么要获取这些信息,是要做好事还是坏事。”陈恺研究员说。
那么,如何避免下载到恶意程序或有潜在危害的程序?虽然专业机构可以对程序进行检测,但对一般用户来说,很难直接判断某个程序是否含有恶意代码,比较现实的办法就是通过应用市场和厂商的声誉来间接判断。正规的市场(商店)都会对应用程序进行某种程度的监管。
陈恺研究员建议,对于苹果公司的操作系统(iOS),从安全的角度来说,最好不要去越狱。iOS越狱(iOS Jailbreaking)使得用户可以从苹果应用商店外下载安装其他非官方的应用程序,甚至获取root权限。root权限是系统权限的一种,获得root权限就是拥有了整个系统的最高的权限,可以对系统中其他用户的文件甚至是系统文件执行所有增、删、改、查的操作。所以,很多黑客在入侵系统的时候,都要把权限提升到root权限。理论上,iPhone越狱后安全性会大为降低。在越狱的应用市场中,程序的问题很多。如果用户不小心安装了某个恶意程序,它就可以随意读取、修改系统中的文件,获取社交、网络支付等应用的数据,还可以删除系统文件、导致系统崩溃等等。
而对于安卓系统,则尽量不要去那些小的市场中下载程序。目前我国的第三方安卓应用市场没有统一的管理尺度和规范标准,小的市场对程序的审查往往不太严格,甚至还会存在向程序里加入恶意代码的现象。
有些开发者将自己的程序放在网页中,让用户去点击下载,很多用户也觉得官网上的程序最可靠。其实,官网未必安全,因为那些程序没有经过任何审查。有时,同样一个应用,在声誉较好的市场中下载的程序是没有问题的,但其官网上的程序却有问题。总的来说,苹果或安卓官方应用市场中那些知名度比较高的厂商开发的程序,相对来说更安全。
不过,手机的安全机制也在不断进步。以前,安卓系统安装一个应用程序的时候,会弹出它需要的权限列表,用户如果要安装这个程序,只能同意所有要求,无法选择。而现在苹果系统和安卓6以上的系统,则都是采用这样的方式:当这个程序第一次要用到某个权限的时候,会询问是否允许使用这个权限。如果用户选择“否”,那么以后就都会按这个决定执行。这样可有效防止潜在的信息泄露。
图. 2015年各类病毒木马感染手机量的比例。
流氓行为包括未经用户许可自动安装运行、强行弹窗显示广告、劫持浏览器等,而且难以卸载、清除;恶意扣费程序会私自发送扣费短信,并拦截运营商发送的确认短信,让用户在不知不觉中被扣费;隐私窃取病毒会盗取用户通讯录、通话记录、浏览器书签、聊天记录等,上传到远程服务器;盗版软件会伪装成正版软件骗取用户安装,启动后可以实施恶意行为;系统破坏程序会获取root权限,破坏文件系统,偷偷安装未知软件;短信劫持程序能向用户的所有联系人发送短信,骗取好友安装,还会拦截、转发用户的短信;诱骗欺诈程序诱使用户安装后,会自动创建桌面图标,用户点击后提示更新软件诱骗用户下载其他程序。 数据来源:阿里安全2015移动安全病毒年报
电信诈骗
相比以往,现在的电信诈骗非常猖獗,手法更具欺骗性、多样性。典型的电信诈骗是通过伪基站伪造银行或者移动运营商的官方客服短信,此类短信中通常包含木马链接。
所谓的伪基站,是利用一些特殊设备伪装成运营商的基站,屏蔽和干扰一定范围内的真基站的信号,然后搜索出其覆盖范围内的手机号,并向这些手机发送诈骗或广告信息。伪基站能模拟任意号码发送短信,比如冒充常见的公共服务号、银行服务号,或是用户亲朋好友的号码,所以很容易让人失去警惕。而用户一旦点击短信中的恶意链接,就会下载一个有问题的数据包,或者是登录上一个诈骗网站。
除了通过伪基站发送诈骗短信外,诈骗者也可能冒充司法机关等公众比较信任的机构给用户打电话,引导用户访问某个钓鱼网站。
网络钓鱼的英文为Phishing,是由phone(电话)和fishing(钓鱼)两个单词组合而成,主要是通过短信、电子邮件、即时通信软件等发送欺骗性信息,诱使用户登陆到钓鱼网站上。这些网站通过精心设计,伪装得与银行网站、社交网站、电商网站等非常相似。用户一旦在这些钓鱼网站上输入账号密码等,这些敏感信息就会被攻击者获取。
不管是哪种方式的电信诈骗,其共同特点都是利用社会工程学诱骗用户安装木马程序等并套取用户的个人资料。社会工程学指利用人们心理上的弱点,通过与他人的合法交流,来使对方心理受到影响,骗取对方的信任,使其做出某些行为或透露某些机密信息。社会工程学将目标定位在计算机信息安全中最脆弱的环节(也就是人)上,通过高明的欺诈手段收集信息、行骗和入侵计算机系统。社会工程学的手法非常复杂,很多表面上看起来无用的信息(比如一个电话、一个人名等)都会被攻击者利用。即使是比较警惕、小心的人,也可能会被高明的社会工程学手段欺骗。
当这些诈骗团伙取得用户个人信息后,会冒充用户的好友或是用户本人,对用户或其亲友实施诈骗。因此,当收到短信、邮件或消息时,不要轻易点击其中的链接,要仔细确认,以防上当。
(本文发表于《科学世界》2016年第10期)
请 登录 发表评论
赞(0)
