作者│吳俊宇

從“蘋果大戰(zhàn)FBI”看智能手機(jī)乃至物聯(lián)網(wǎng)的安全與挑戰(zhàn)

作者│吳俊宇

日前，蘋果與FBI就手機(jī)用戶隱私之爭，再次引發(fā)了業(yè)內(nèi)對于手機(jī)安全的關(guān)注。其實(shí)除了用戶隱私之外，手機(jī)的安全一直存在著諸多挑戰(zhàn)。

一個月前的“蘋果大戰(zhàn)FBI”可能是一次標(biāo)志性的事件?？萍脊具x擇與國家執(zhí)法部門“斗法”，這是前所未有的。更重要的是，蘋果還得到了谷歌、微軟、Facebook等競爭對手的支持。近日，據(jù)國外媒體報道，庫克因捍衛(wèi)用戶隱私登上《時代》雜志。某種意義上來看，這是2013年斯諾登爆料“棱鏡門”之后，普通公眾對抗強(qiáng)權(quán)監(jiān)控的第一次勝利。也正是如此，智能手機(jī)系統(tǒng)乃至未來物聯(lián)網(wǎng)世界的安全與挑戰(zhàn)再一次進(jìn)入大眾視野。

三大手機(jī)系統(tǒng)安全各有千秋

按照一般的觀點(diǎn)，iOS、Android、WP三者從系統(tǒng)和應(yīng)用的安全性看，iOS一定是排在首位。而在事實(shí)上，Windows Phone的安全性很多時候甚至遠(yuǎn)超iOS。

2014年的Pwn2Own黑客大賽上，黑客接連破解了三星Galaxy S5以及iPhone5s并取得了完整控制，而Lumia1520因?yàn)椤吧澈小钡谋Ｗo(hù)，黑客雖將其功破，卻未能取得完整控制權(quán)限。2015年的“央視3·15”晚會也曾報道一項測試，該測試就某公共Wi-Fi網(wǎng)絡(luò)中的530部手機(jī)進(jìn)行了監(jiān)測。這530部手機(jī)中，包含319部Android機(jī)型，205部iOS機(jī)型以及6部Windows Phone機(jī)型。其中Android和iOS接連被測出手機(jī)內(nèi)安裝的軟件以及用戶的私密信息、密碼等，能夠知道用戶正在干什么，以及其使用情況，只有Windows Phone未被監(jiān)控。

事實(shí)上，在去年9月18日，國內(nèi)眾多iOS軟件被曝出惡意代碼植入事件，向來安全性領(lǐng)域的“優(yōu)等生”也暴露了安全隱患。Windows Phone也因其安全性受到了歐美政界的歡迎，政府部門公務(wù)人員持有Windows Phone的比例相對較高。最近熱播的美劇《紙牌屋》第四季中，Windows Phone也頻頻亮相，眾議院“黨鞭”杰姬·夏普、白宮幕僚長道格使用的均是Windows Phone。

不僅是Windows Phone，Android陣營近年來在安全性上也有了相當(dāng)?shù)倪M(jìn)展。不過，Android系統(tǒng)作為開源系統(tǒng)，在系統(tǒng)和應(yīng)用安全層面上始終比iOS以及WP略遜一籌。

據(jù)媒體報道，以色列軟件研究公司NorthBit近日發(fā)布報告稱，Android系統(tǒng)中又發(fā)現(xiàn)一處安全漏洞，可導(dǎo)致2.75億部設(shè)備遭到黑客攻擊。報告顯示，該安全漏洞存在于Android的媒體服務(wù)器和多媒體庫Stagefright中，運(yùn)行Android 2.2至4.0以及Android 5.0和5.1系統(tǒng)的設(shè)備都將受到該漏洞的影響。

此外，日本的安全公司“趨勢科技”也發(fā)現(xiàn)了高通處理器上的兩個安全漏洞，據(jù)了解，攻擊者可以通過該漏洞獲取訪問設(shè)備的root權(quán)限。雖然此后高通公司迅速修復(fù)了漏洞，但該漏洞影響的Android設(shè)備超過10億部。

國內(nèi)外廠商均在采取措施

其實(shí)，黑客和手機(jī)系統(tǒng)安全之間始終都是矛和盾的關(guān)系。道高一尺，魔高一丈，兩者之間始終處于你追我趕相互競爭之中。各個手機(jī)、系統(tǒng)廠商都在就提升系統(tǒng)安全進(jìn)行持續(xù)不斷的努力。

例如i O S 9 系統(tǒng) 采用了名為“Rootless”的最新安全機(jī)制,對系統(tǒng)內(nèi)核的安全等級進(jìn)行了提升，使黑客無法再對iOS系統(tǒng)進(jìn)行“越獄”。除此之外，為繼續(xù)加強(qiáng)用戶隱私保護(hù)，蘋果在iOS9上還更改了部分第三方應(yīng)用策略，阻止應(yīng)用查找用戶設(shè)備已安裝的其它第三方應(yīng)用。

近日正在全面推送更新的Windows 10 Mobile也在安全性上有了進(jìn)一步的提高。谷歌則在Android系統(tǒng)底層增強(qiáng)了安全措施。去年開始，Android M開始支持應(yīng)用權(quán)限管理功能，而在今年Android N預(yù)覽版的權(quán)限管理功能正在得到進(jìn)一步細(xì)化，應(yīng)用權(quán)限的分級也更為明確，系統(tǒng)安全性得到了進(jìn)一步提升。

需要說明的是，雖然谷歌官方在系統(tǒng)安全層面上所做的舉動微乎其微。也正是如此，各個手機(jī)廠商也在自家Rom中采取各種措施提高系統(tǒng)安全。

首先是內(nèi)置安全中心。如今，國產(chǎn)定制Rom基本都已經(jīng)添加了內(nèi)置的安全中心，用戶可以在安全中心內(nèi)進(jìn)行簡單的殺毒、應(yīng)用授權(quán)管理、清理垃圾等操作，這種功能性的提升在某種程度上給系統(tǒng)安全帶來了一定的幫助。

除此之外，開設(shè)隔離分區(qū)也成為了較為普遍的做法。以三星在旗艦機(jī)型上提供的移動安全解決方案Knox為例，Knox為企業(yè)和個人提供了完全隔離的安全防護(hù)。Knox啟用后，用戶的個人手機(jī)存儲辦公數(shù)據(jù)會經(jīng)過加密，可以抵御各種攻擊。而在國內(nèi)，奇酷手機(jī)的措施與其基本類似，360 OS中的“財產(chǎn)隔離系統(tǒng)”和“隱私空間”，同樣采取了軟硬件結(jié)合的方式將用戶數(shù)據(jù)加密，保證用戶數(shù)據(jù)安全。

在通信和數(shù)據(jù)安全層面，華為和酷派兩大廠商走在了行業(yè)前列。華為旗艦機(jī)型Mate8不僅支持SD卡加密功能，還可以實(shí)時加密，通過技術(shù)手段也無法讀取手機(jī)數(shù)據(jù)和隱私。此外，芯片級防偽基站功能，還能從源頭防止短信詐騙。而酷派新品鋒尚MAX則采用了雙系統(tǒng)的方式對通話、信息進(jìn)行系統(tǒng)級別的加密。也正是如此，華為和酷派兩大廠商的旗艦機(jī)型也被列入政府部門的采購清單。

泛安全市場的重要性需重視

“蘋果大戰(zhàn)FBI”的新聞事件雖然正在逐漸降溫，但其中帶來的警示也預(yù)示著安全存在著巨大的市場空間。

根據(jù)艾媒咨詢2015年12月公布的《中國手機(jī)安全市場季度監(jiān)測報告》顯示，中國手機(jī)用戶面臨的安全問題主要為手機(jī)隱私泄露、騷擾電話和詐騙短信、吸費(fèi)和吸流量，另外，隨著移動支付應(yīng)用的推廣和普及，越來越多的用戶關(guān)心移動支付過程中的財產(chǎn)安全問題。

艾媒咨詢的報告還顯示，手機(jī)安全功能整合一體化、指紋識別等加密技術(shù)普及、針對開發(fā)者的防護(hù)軟件增多，正在顯示出未來泛安全市場的巨大需求。在這個市場需求中，用戶會需要“一站式”的手機(jī)安全軟件，針對開發(fā)者的防護(hù)軟件需求也將進(jìn)一步增加。而各類網(wǎng)絡(luò)威脅事件頻繁發(fā)生，也會帶動市場對信息安全產(chǎn)品和服務(wù)需求的持續(xù)增長。

更重要的是，除了智能手機(jī)以外，泛安全市場的重要性也正在進(jìn)一步凸顯。因?yàn)?，隨著云計算、物聯(lián)網(wǎng)及移動互聯(lián)網(wǎng)等新技術(shù)、新應(yīng)用的不斷出現(xiàn)和發(fā)展，信息安全將面臨新的挑戰(zhàn)，整個產(chǎn)業(yè)也將步入新的發(fā)展階段。不僅僅是智能手機(jī)，包括智能家居乃至整個以智能手機(jī)為核心的物聯(lián)網(wǎng)市場也正面臨挑戰(zhàn)。

其實(shí)，今年的央視“3·15晚會”還曝光了智能手機(jī)以及智能硬件的安全問題，總共涉及到的品類包括：無人機(jī)、智能樓宇、智能家居類產(chǎn)品（如智能插座、洗衣機(jī)、烤箱等）、安防攝像頭、智能支付POS機(jī)、智能汽車，共六大品類。根據(jù)央視曝光的信息看，黑客可以通過入侵系統(tǒng)，對智能家居、智能硬件產(chǎn)品進(jìn)行遠(yuǎn)程控制，所以在未來，不僅僅是智能手機(jī)，包括以智能手機(jī)為計算中心的物聯(lián)網(wǎng)系統(tǒng)也需要更加注重安全二字。

用戶須保持良好個人習(xí)慣

廠商的努力十分必要，市場的進(jìn)展也必不可少。但多數(shù)情況下，手機(jī)系統(tǒng)安全問題往往是用戶個人不在意所致。所以用戶在使用個人手機(jī)時，也需要掌握一些基本安全知識，保持良好的安全習(xí)慣。

首先是必須在正規(guī)的應(yīng)用商店下載應(yīng)用軟件。因?yàn)檎?guī)應(yīng)用商店的軟件都是經(jīng)過嚴(yán)格測試和審核的，一般不存在吸費(fèi)、竊取用戶隱私資料等行為。而網(wǎng)絡(luò)上不明來源的軟件往往會被植入木馬病毒，給用戶帶來吸費(fèi)、扣費(fèi)的危險。

其次是不要瀏覽一些不明來源或存在安全隱患的網(wǎng)站。這類網(wǎng)站經(jīng)常會存在惡意鏈接，誘導(dǎo)用戶強(qiáng)制下載存在病毒的軟件，導(dǎo)致用戶手機(jī)信息被竊。

再次對于公共場所不明來源的Wi-Fi一定要保持警惕，因?yàn)椴糠轴烎~Wi-Fi經(jīng)常會誘導(dǎo)用戶輸入支付密碼，竊取用戶個人信息。

最后在無任何安全保障的原生Android系統(tǒng)中，用戶需要注意安裝手機(jī)安全軟件。如LBE安全大師、360手機(jī)衛(wèi)士、金山手機(jī)衛(wèi)士等，并及時更新手機(jī)病毒庫、定期執(zhí)行手機(jī)系統(tǒng)安全掃描，修復(fù)手機(jī)安全隱患。

編輯｜孫永杰 sunyongjie@bixintong.com.cn