人们可能会觉得,个人电脑性能强大,可以安装许多大型杀毒软件和防火墙等,应该比手机安全。“但其实现在的观点应该是手机更安全。”中科院信息工程所陈恺研究员表示。这是因为手机系统中的保护机制比较多。比如说,手机操作系统中有一种比较有效的保护机制,叫“沙盒”(sandbox)。沙盒简单说来就是为每一个运行的程序提供一个隔离的环境,严格控制每个程序所能访问的资源(如内存、硬盘等)。这样,这些程序在运行时如果有什么潜在的问题,就不会影响到同一台设备上的其他程序。
而在电脑里,如果多个进程(例如“记事本”、“Word”和邮件客户端等)是属于同一用户的,那么这些进程之间通常可以互相交互,比如它们的内存是可以互相访问的。这样的设计有一些好处,如便于硬件资源如内存、CPU的共享等。但这样一来,如果其中的一个程序有问题,同一用户的其他所有程序就都会有风险。如果某一个程序被攻击者控制并改变了共享内存中的内容(加入恶意代码),则其他程序访问这个共享内存时,就有可能造成难以预料的后果。
但是在手机中,通过沙盒,不同的进程被完全隔离开了。即使是同一个用户的两个不同的程序,它们之间也是不能互相访问的。所以如果其中的一个程序有问题,另一个程序并不会受到影响。现在,不同的手机操作系统,比如谷歌公司开发的安卓(Android)和苹果公司开发的iOS等,都具有这样的机制。这是一个很大的进步。
但是为什么又说手机的安全问题很严重呢?一个重要的原因就是手机上集成的信息太多了,因此有很多用心不良的人会想方设法来进行攻击,窃取用户的隐私信息。
图1.沙盒机制示意图
手机中的敏感信息
相比于传统意义上的移动电话,智能手机不如说是一台可以放入衣服口袋的移动电脑。对不少用户来说,打电话甚至已经变成手机的次要用途了。很多以往需要用电脑或其他设备才能实现的功能,都因为有了手机而变得非常方便。全球每天有无数的人用手机来了解资讯、收发电子邮件、搜索信息、社交、购物、理财、摄影摄像、导航、管理运动健身、玩游戏……
然而,大部分人在享受手机带来的好处时,并没有充分意识到,随着手机中涉及到个人隐私的信息越来越多,手机的信息安全问题也变得越来越重要。现在智能手机中的各种隐私信息,甚至比个人电脑中还多得多。你的手机中可能会有银行卡和各种网络支付的相关信息,家庭和单位的位置、地址信息,社交软件、电子邮箱等的账号、密码,网络聊天的内容,私人照片视频,通讯录等。这些都是很敏感的信息,如果泄露,就可能会造成严重后果。
另外,还有一些风险一般人可能更意识不到。如果手机的摄像头被人控制而悄悄工作的话,那么用户所处的环境,包括家里或办公室中的情况,都有可能被拍下来并发送出去。随着智能家居的普及,越来越多的设备可以与手机连接,例如可以用手机来控制空调、电视等电器的开关,还有人为了防盗等在家里安装了可以通过手机控制的摄像头。在这种情况下,一旦黑客入侵了手机,就可以把用户家里的情况了解得很清楚,安全风险不言而喻。
定制系统的安全问题
虽然手机因为有沙盒等机制,从理论上说比电脑要安全,但手机也有一些自己所特有的问题。
安卓手机的操作系统存在“碎片化”的现象。所谓碎片化,就是不同的厂商都在开发自己的定制系统,系统的差异越来越大。安卓是一个开源的系统,在一定的基础上对原生系统进行修改,既在很大程度上保留了安卓原有的特性,又可以添加一些新的功能和特点。而有一些应用软件是专门针对深度定制的安卓系统而开发的,所以与原生的安卓系统可能不兼容。总体来说,定制系统和原生系统在操作上相似度很高,但一般都无法升级成原生安卓系统,只能使用相关厂商发布的定制系统升级包。现在全球大概有上万个大大小小的手机厂商。谷歌的原生安卓系统版本更新很快,而不同终端厂商的版本各异的系统难以同步更新,使得安全漏洞不容易得到及时的修补。所以,使用定制的系统存在一定的安全风险。
另外,每个厂商在系统里捆绑的程序也都不一样。通常我们买来的新手机,里面都已经预装了一些应用程序,这些捆绑在手机系统中的程序大多是无法卸载的。有人做过调研,发现很多这样预装的程序都有问题。由于手机厂商和软件厂商之间的各种利益关系,手机预装市场比较混乱,用户则可能成为最终的受害者。
2015年11月,国家工信部公布了《移动智能终端应用软件(App)预置和分发管理暂行规定》,向社会公开征求意见。这个规定提出,手机生产商和互联网信息服务提供者要尊重用户的知情权和选择权,不得调用与所提供服务无关的终端功能、强行捆绑推广无关应用软件,确保除基本功能软件外的移动智能终端应用软件必须可由用户方便地卸载等。如果这个规定得以正式颁布施行,将有利于手机预装市场的规范化。
(本文发表于《科学世界》2016年第10期)
请 登录 发表评论
赞(-1)
