米也塞·艾尼玩

（新疆職業(yè)大學(xué) 信息技術(shù)學(xué)院，新疆 烏魯木齊 830013）

智能手機(jī)通信安全保密隱患分析

米也塞·艾尼玩

（新疆職業(yè)大學(xué) 信息技術(shù)學(xué)院，新疆 烏魯木齊 830013）

本文從手機(jī)的無(wú)線通信原理、結(jié)構(gòu)、擴(kuò)展功能、智能平臺(tái)、使用不當(dāng)?shù)确矫娣治隽耸謾C(jī)存在的安全隱患，提出要嚴(yán)格落實(shí)保密制度，采取各種技術(shù)手段，要從使用干擾、屏蔽設(shè)備，應(yīng)用通信加密技術(shù)，安裝手機(jī)安全軟件，增強(qiáng)自我防范意識(shí)等方面層層設(shè)防，加強(qiáng)手機(jī)使用的安全防護(hù)。

智能手機(jī)；保密問(wèn)題；重視

隨著移動(dòng)通信技術(shù)的高速發(fā)展，移動(dòng)通信應(yīng)用也日益普及，在人們頻繁地使用移動(dòng)通信終端進(jìn)行信息交互時(shí)，人們也越來(lái)越關(guān)心移動(dòng)網(wǎng)絡(luò)中信息的安全性以及網(wǎng)絡(luò)資源使用的安全性，對(duì)這方面的一些問(wèn)題展開研究具有十分重要的實(shí)際意義。

一、智能手機(jī)通信安全涉及的因素

雖然智能手機(jī)終端是安全問(wèn)題的主要表現(xiàn)所在，但是在整個(gè)移動(dòng)通信系統(tǒng)都是有所涉及的。手機(jī)終端安全、通信安全、管理安全這三方面是智能手機(jī)通信安全在結(jié)構(gòu)上的三點(diǎn)問(wèn)題。

（一）終端安全

智能手機(jī)和傳統(tǒng)PC在體系結(jié)構(gòu)上相似，都可以分為三個(gè)方面：手機(jī)硬件層、手機(jī)操作系統(tǒng)層和應(yīng)用軟件層。[1]然而智能手機(jī)的移動(dòng)互聯(lián)性和傳統(tǒng)PC終端有著不同的地方。目前，將手機(jī)終端安全問(wèn)題分為四個(gè)方面：手機(jī)硬件、操作系統(tǒng)和應(yīng)用軟件以及手機(jī)新功能。

1.手機(jī)硬件。這一類因素的關(guān)鍵是需要專業(yè)人員的參與，在手機(jī)內(nèi)部裝入竊聽裝置，使得手機(jī)變成一個(gè)竊聽器，并且使用者毫不知情，這樣會(huì)使得使用者自身信息被他人所獲取，甚至有些裝置還能遠(yuǎn)程遙控，在發(fā)射端發(fā)出一些指令供其識(shí)別完成。當(dāng)然這種方式需要對(duì)手機(jī)硬件做手腳，需要技術(shù)要求，有些廠家甚至為了一些利益加入其中和不法分子一起來(lái)獲得竊聽使用者的信息。然而這類問(wèn)題又極為隱蔽，一般情況下很難被發(fā)現(xiàn)，特別是如今智能手機(jī)內(nèi)部繁瑣的硬件和各種芯片，在復(fù)雜的電路系統(tǒng)中，如果沒有專業(yè)人士去專門檢測(cè)，很難發(fā)現(xiàn)其中安置的裝置。

2.手機(jī)操作系統(tǒng)。手機(jī)通信系統(tǒng)安全的關(guān)鍵是手機(jī)操作系統(tǒng)安全。這一類方式想要竊聽手機(jī)需要在操作系統(tǒng)中安置“后門”，然后安裝者通過(guò)特定的短信來(lái)激活從而獲得用戶手機(jī)內(nèi)私密信息。如今，市場(chǎng)上主要幾大智能手機(jī)操作系統(tǒng)都是外國(guó)主導(dǎo)，例如如今盛行三大系統(tǒng)IOS，Andriod，Windows Phone。以上幾種智能手機(jī)系統(tǒng)本來(lái)就繁瑣，預(yù)設(shè)“后門”或者因?yàn)樯a(chǎn)者的粗心所引起的問(wèn)題比上述手機(jī)操作系統(tǒng)的安全問(wèn)題很大。這種手機(jī)生產(chǎn)商主觀安置的方式，讓手機(jī)使用者難以洞察。在去年夏季，市場(chǎng)上暢銷的IOS操作系統(tǒng)也陷入了竊聽風(fēng)波，最終承認(rèn)自己在手機(jī)中有“后門”，可以在用戶不知情的形式下獲取手機(jī)里面的內(nèi)容，包括短信、照片等等。[2]因此，手機(jī)操作系統(tǒng)對(duì)手機(jī)的安全有著很嚴(yán)重的威脅。

3.手機(jī)應(yīng)用軟件。當(dāng)今世界雖然手機(jī)系統(tǒng)安全威脅嚴(yán)重，但是智能手機(jī)應(yīng)用安全有過(guò)之而無(wú)不及。成為了當(dāng)前移動(dòng)互聯(lián)網(wǎng)終端的主要問(wèn)題。某些人會(huì)惡意利用應(yīng)用軟件的正常功能，是手機(jī)應(yīng)用程序安全問(wèn)題中最突出的。其中最頻繁的就是利用一種叫做云備份服務(wù)的功能，因?yàn)橛脩魰?huì)上傳一些個(gè)人資料到云服務(wù)服務(wù)器中，諸如通話、信息、自己的安排之類，雖然在某方面將自己所需要的東西備份保證了不丟失不遺忘，但是也相當(dāng)于把這些信息都提供給了商家，如果受到不法分子的利用，便會(huì)變相泄露自己的隱私。其中有些手機(jī)軟件中還含有惡意程序，根據(jù)奇虎在去年發(fā)表的報(bào)告中顯示，在互聯(lián)網(wǎng)安全平臺(tái)中發(fā)現(xiàn)了多種病毒樣本，相比于去年的數(shù)據(jù)有所增加。

（二）無(wú)線通信安全

當(dāng)今存在著不完善的手機(jī)通信協(xié)議設(shè)計(jì)和內(nèi)部的漏洞問(wèn)題，這些很有可能被不法分子找到空隙加以利用。其中以下兩點(diǎn)為主：

1.利用正常通信功能的竊聽行為，這種方式隱蔽不易被發(fā)現(xiàn)。其中不法分子主要利用移動(dòng)通信協(xié)議里漫游機(jī)制的漏洞，通過(guò)它然后獲得一定的電信管理權(quán)，他們便能夠運(yùn)用協(xié)議里的漫游功能，將手機(jī)使用者的通信內(nèi)容通過(guò)特定的服務(wù)器中轉(zhuǎn)，最后滿足自己竊聽的目的。這個(gè)方法簡(jiǎn)單易行，只要你輸出一個(gè)手機(jī)號(hào)碼，無(wú)論你在哪里都能夠很好的獲得手機(jī)使用者的通話信息和短信。

2.手機(jī)通信的低強(qiáng)度，易破解的密碼。當(dāng)前正廣泛使用于智能手機(jī)的3G、4G技術(shù)設(shè)計(jì)，就是運(yùn)用了多種可選的加密算法，并且在加密時(shí)采用了特定的算法，本身具有一定的安全性，但是伴隨著計(jì)算機(jī)算法不斷更新和發(fā)展，通過(guò)一些不法途徑可以較為輕而易舉的對(duì)其進(jìn)行破解，使其安全性無(wú)法得到保障，因而使用戶的隱私受到侵犯。

3.通信系統(tǒng)管理安全。本來(lái)在手機(jī)系統(tǒng)中有一個(gè)主導(dǎo)的系統(tǒng)，只能你進(jìn)入這個(gè)系統(tǒng)，就能夠?qū)嵭兴邢嚓P(guān)手機(jī)的操作，比如短信、上網(wǎng)、通話和各種服務(wù)的開通、中斷、監(jiān)聽等各種內(nèi)容。而且一些運(yùn)營(yíng)商的運(yùn)維網(wǎng)和互聯(lián)網(wǎng)是存在聯(lián)系的，所以說(shuō)其中的漏洞就會(huì)使得黑客有機(jī)會(huì)通過(guò)自己的技術(shù)手段去對(duì)你的電信網(wǎng)絡(luò)加以控制，從而獲得使用該網(wǎng)絡(luò)的消費(fèi)者的信息。“棱鏡事件”主角斯諾登在2013年也有提到，美國(guó)相關(guān)部門就數(shù)次通過(guò)漏洞進(jìn)入我國(guó)通信網(wǎng)絡(luò)，來(lái)得到中國(guó)民眾的相關(guān)信息。[3]

二、各因素危害性分析

綜上所述，具體分析了各個(gè)環(huán)節(jié)，總結(jié)如下：

1.在用戶手機(jī)里面安置竊聽裝置亦或是預(yù)留“后門”，利用通信協(xié)議這三類是危害最大的竊聽方式?？梢赃@么說(shuō)，它們是最機(jī)密的方式，想要這樣獲取需要足夠的技術(shù)和資金支持，不然無(wú)法維持，所以是靠個(gè)人難以維持的，因此，其背后一定有著更具威脅性的目的與動(dòng)機(jī)，所以他們針對(duì)的目標(biāo)也是社會(huì)中具有重大影響力的人物，可以說(shuō)這種竊聽對(duì)于國(guó)家安全危害上有著一定的威脅。

2.有三種比較容易竊聽用戶的方法，就連普通用戶也能夠獲得這種方法的。其中最為普遍的當(dāng)屬在手機(jī)中植入惡意程序，通過(guò)它來(lái)實(shí)現(xiàn)獲取用戶的私密信息和隱私。占據(jù)第二的便是建立偽基站，從而來(lái)得到用戶收發(fā)的信息，同時(shí)發(fā)送一些垃圾短信。占據(jù)第三的就是利用無(wú)線通信線路來(lái)得到使用者的信息。

3.利用手機(jī)操作系統(tǒng)和應(yīng)用軟件的相關(guān)漏洞來(lái)植入惡意程序不僅難度較高，而且應(yīng)用面小，所以較少的人會(huì)去通過(guò)這個(gè)方式，并不能很理想簡(jiǎn)單的獲取信息。通過(guò)軟件漏洞來(lái)竊聽信息通用性不高，并且范圍狹隘，還需要很高的技術(shù)條件，通常這種被運(yùn)用在高級(jí)持續(xù)威脅的攻擊中，去攻擊指定的目標(biāo)。通常來(lái)說(shuō)，公布了一個(gè)通用的漏洞，之后就會(huì)引起一大部分利用這個(gè)漏洞的攻擊潮。

4.相比較而言，通過(guò)云服務(wù)來(lái)獲得用戶信息的方法最吸引人，因?yàn)檫@種竊取方式?jīng)]那么容易讓手機(jī)使用者產(chǎn)生厭惡感。上面提到的“棱鏡門”這個(gè)事例就暴露出了該方式的普及性，境外情報(bào)機(jī)構(gòu)已經(jīng)開始通過(guò)云服務(wù)對(duì)一些信息進(jìn)行收集整理，從而確定哪些對(duì)自己有用。甚至一些云服務(wù)的提供商會(huì)為了自己的私利，去上傳一些客戶的信息資料，這便形成了所謂的“產(chǎn)業(yè)鏈”。

三、關(guān)于智能手機(jī)的安全性分析

隨著科學(xué)技術(shù)的飛速發(fā)展，手機(jī)也越來(lái)越科技化，從最開始的“老人機(jī)”，經(jīng)過(guò)短短幾年的時(shí)間便發(fā)展成了如今的超薄智能手機(jī)，手機(jī)的功能也越來(lái)越多，比如攝像攝影功能，錄音功能，GPS定位功能等等，但是這也恰恰對(duì)我們的個(gè)人信息及隱私的泄露埋下了隱患，比如一些不法分子趁機(jī)監(jiān)聽電話，截取短信，甚至能通過(guò)定位功能判斷目標(biāo)所在地，這些對(duì)于我們來(lái)說(shuō)都極其危險(xiǎn)。

應(yīng)大眾消費(fèi)需求，手機(jī)網(wǎng)絡(luò)已經(jīng)成了手機(jī)必不可少的功能之一，尤其是近幾年新興的手機(jī)Wi-Fi功能更是日趨盛行，但是許多專業(yè)人士都知道，帶有Wi-Fi功能的智能手機(jī)不但可以通過(guò)用戶設(shè)置的方法接入網(wǎng)絡(luò)，也可以通過(guò)信令的方式接入無(wú)線網(wǎng)，這樣就不能保證用戶的唯一可操作性，當(dāng)智能手機(jī)連入手機(jī)Wi-Fi時(shí)，能夠同時(shí)自動(dòng)將無(wú)口令的無(wú)線網(wǎng)絡(luò)連接，這樣電子黑客便能輕而易舉的入侵我們消費(fèi)者的手機(jī)了。[4]由此一來(lái)，我們的通話記錄，手機(jī)短信，音頻視頻等許多存儲(chǔ)內(nèi)容將不會(huì)成為隱私，同時(shí)，他們還能通過(guò)網(wǎng)絡(luò)進(jìn)行全方位的監(jiān)聽，竊取并拍攝周邊環(huán)境等等。

越來(lái)越多的電腦功能都逐漸在手機(jī)上得以實(shí)現(xiàn)，但是現(xiàn)在智能手機(jī)的安全防護(hù)機(jī)制還不是很完備，而關(guān)于手機(jī)的安全問(wèn)題，也是這幾年才得到大家的重視，各企業(yè)，設(shè)計(jì)師們已經(jīng)開始著力安全保護(hù)的設(shè)計(jì)工作，但是顯然，我們做的還不夠，現(xiàn)有的防護(hù)措施并不能真正起到保護(hù)信息安全的功能，因此我們應(yīng)當(dāng)加強(qiáng)對(duì)只能手機(jī)的安全性防范技術(shù)和措施。

四、手機(jī)安全問(wèn)題在國(guó)內(nèi)的反響與措施

針對(duì)以上所提到的種種手機(jī)安全的問(wèn)題，相關(guān)政府部門、信息安全保護(hù)機(jī)構(gòu)和相關(guān)的智能手機(jī)開發(fā)商等都在這個(gè)問(wèn)題上傾注了很大的心血，力求最大程度上保護(hù)消費(fèi)者的隱私問(wèn)題，工業(yè)和信息化部門出臺(tái)了一系列的手機(jī)安全和檢測(cè)的標(biāo)準(zhǔn)說(shuō)明，并且想盡一切措施避免惡意軟件的植入。對(duì)于國(guó)內(nèi)現(xiàn)存的手機(jī)應(yīng)用下載的站點(diǎn)，相關(guān)的手機(jī)安全部門進(jìn)行了逐一的檢查測(cè)試，并且督促其刪除并停止一切有可能泄露手機(jī)安全的軟件安裝，這已經(jīng)在一定的程度上從源頭阻斷了其傳播。同時(shí)，公安部門也配合并組織排查了偽基站，對(duì)于一切干擾正常通信的信號(hào)源及垃圾傳播文件進(jìn)行了徹底的打擊掃除。相關(guān)的網(wǎng)站也設(shè)計(jì)推出了各種各樣的防病毒軟件，比如說(shuō)大家熟知的手機(jī)管家等等。盡管各種防泄露措施都在不斷實(shí)施，但是離最終目標(biāo)還有較大的差距。

根據(jù)實(shí)際的調(diào)查分析，目前我們最重要的工作是要設(shè)計(jì)出終端檢測(cè)的軟件，從手機(jī)功能，硬件軟件、程序方面進(jìn)行全方位的安全測(cè)試，否則，便始終不能從源頭上遏制信息的傳染源。國(guó)內(nèi)已經(jīng)存在的一些檢測(cè)方式，但其檢測(cè)范圍和覆蓋點(diǎn)均不完全，對(duì)于一些違法犯規(guī)的機(jī)構(gòu)沒有明確的行政法規(guī)提出具體的懲罰措施，從而讓他們有機(jī)可趁，鉆了法律的空子。我們的措施只能一部分減少這種行為卻不能完全遏制這種行為的發(fā)生。再者，沒有一套完全、整體、切實(shí)可行的手機(jī)安裝軟件的政策制度，像國(guó)內(nèi)盛行的山寨機(jī)等非正常渠道的供貨商不能起到約束的作用。[5]在此過(guò)程中，很有可能縱容了各種病毒的惡意傳播。并且手機(jī)安全軟件的防護(hù)速度往往跟不上惡意病毒源文件的傳播速度，有極大滯后的現(xiàn)象。雖然目前市面上存在的部分軟件已經(jīng)解決了部分問(wèn)題，但是還是存在許多的風(fēng)險(xiǎn)。最后公安部門所打擊制止的一部分偽基站類的非法組織，雖然取得了很大的成績(jī)，但是這類組織在我國(guó)十分猖狂，參與面積大，他們隱蔽性強(qiáng)，作案方式巧妙，使得案件十分不容易破獲，這也是目前存在的一個(gè)非常重要的問(wèn)題。

五、意見和建議

如果我們要建立設(shè)計(jì)一整套防護(hù)安全的措施，包括對(duì)硬件、軟件系統(tǒng)，安全應(yīng)用，運(yùn)營(yíng)網(wǎng)絡(luò)等方面進(jìn)行實(shí)時(shí)監(jiān)測(cè)，那必然要求我們能夠建立一套強(qiáng)大的系統(tǒng)，這不僅需要相關(guān)行政部門的積極配合，也需要安全機(jī)構(gòu)的全力支持。目前來(lái)看，二者所采取的手段措施還遠(yuǎn)遠(yuǎn)不能解決現(xiàn)實(shí)問(wèn)題，特別是上述提到的一些違法性的組織群體所實(shí)行的高級(jí)竊取行為，需要引起我們極大的重視。

對(duì)于這個(gè)方面，我們提倡加強(qiáng)對(duì)于與核心機(jī)密密切相關(guān)的技術(shù)人員和涉密人員的監(jiān)察和管理措施，盡量要求大家使用部門定制手機(jī)，該手機(jī)可以只具備日?；A(chǔ)的功能，比如打電話發(fā)短信等，而不具備其他相應(yīng)的拓展功能，手機(jī)應(yīng)該具備相關(guān)的密碼鎖定功能，對(duì)于一些重要的文件進(jìn)行高級(jí)加密，不讓不法分子有機(jī)可趁。并且定期進(jìn)行講座和學(xué)習(xí)，提高大家的防機(jī)密泄露意識(shí)，從源頭上杜絕隱患的存在。其次建立一套可控制的通信體系，用相應(yīng)的行政法規(guī)來(lái)約束通信業(yè)的發(fā)展軌道和發(fā)展方向。鼓勵(lì)生產(chǎn)商自主研究手機(jī)硬件軟件系統(tǒng)，手機(jī)操作系統(tǒng)等，構(gòu)建三方聯(lián)系平臺(tái)，即手機(jī)廠商、運(yùn)營(yíng)商、開發(fā)商的三方面交流平臺(tái)，及時(shí)解決突發(fā)問(wèn)題，共同遏制消費(fèi)者信息的泄露。

[1]求偉.手機(jī)隱患與安全保密[J].電子世界，2014，（16）:368-370.

[2]李沁.智能手機(jī)安全保密隱患及防范對(duì)策[J].黑龍江科技信息，2015，（13）:158.

[3]李俊華，何建波.智能手機(jī)通信安全保密隱患分析[J].保密科學(xué)技術(shù)，2015，（5）:10-15.

[4]王宇.智能手機(jī)泄密風(fēng)險(xiǎn)分析及安全保密技術(shù)解決方案[J].保密科學(xué)術(shù)，2013，（6）:42-47.

[5]馬顏軍.智能手機(jī)安全隱患分析與對(duì)策[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013，（10）:94-95.

Analysis of the Risks of Security of Communication by Smart Phone

ANIWAN Mi-ersa
(Information Technological College，Xinjiang Normal University，Urumqi，Xinjiang 830013)

Smart phones，which are like PC，have independent operating systems and operating space.Their users can install their own software，games，navigation and other programs provided by third-party service，and can be accessed to the wireless network through the mobile communication network Mobile phones.The age when phones can only be used to make calls and send and receive SMS has gone，now we have already used smart phones to take pictures，shoot video，send，receive e-mail，view web pages and run a wide variety of applications.And the major manufacturers are constantly to add richer features，such as fingerprint identification which is convenient to social communication，financial management，shopping，and entertainment.But with so many functions，their securities also need our attention.

smart phone; security problem; attention

G642

A

1009-9545（2016）02-0117-04

2016-02-20

米也塞·艾尼玩（1985-），女 （維吾爾族 ），助教，主要從事智能手機(jī)應(yīng)用、物聯(lián)網(wǎng)技術(shù)研究.