2014年08月07日 星期四
苹果“后门”事件之后,我们该怎样用手机?
本报记者 吴佳珅

    前不久,苹果公司继被曝收集用户详细行踪后,又再次被曝故意留“后门”提取苹果手机用户的短信、通讯录和照片等个人数据。

    众所周知,手机等移动设备是当前全球距离个人以及个人信息最近的通信和交互设备。现在的手机不仅仅是通信工具,更是个人社交、金融、信息存储甚至是工作等方面必须的工具和载体。那么,手机“后门”会带来哪些安全问题,有哪些常被忽视的信息安全,作为手机用户的个人应该做什么?带着这些问题,科技日报记者采访了相关专家。

    后门或带来严重的安全问题

    “苹果这类后门带来的不仅是安全隐患,更可能是严重的安全问题。”国家网络信息安全技术研究所移动互联网安全研究人员李挺博士直言。

    在网络上,各种关于智能手机安全的帖子屡见不鲜。网络论坛上,不难发现诸如“这个安卓应用程序是恶意扣费软件吗?”这类的问题。记者在8月4日以“手机安全”作为搜索关键词,可以看到百度找到约90500000个相关结果。

    目前在各类手机中,智能手机已经成为主流。智能手机具备优秀的操作系统、可自由安装各类软件、触屏式操作,几乎完全终结曾经的键盘式手机。

    工信部的统计数据显示,截止到5月底,我国手机用户数量已达到12.56亿,手机上网的用户数量为8.57亿人。

    李挺认为,从技术角度来看,有这样的后门,用户在终端的绝大多数数据都可以在不被告知的前提下传输出去,用户对数据加密了也没有用,因为这个漏洞可以绕过苹果的加密机制,获得用户加密前的短信、通讯录、照片等信息。对于个人用户,这将带来严重的个人隐私泄露问题;如果用户设备中存储了重要的工作信息,那么还可能造成商业秘密和核心技术等重要数据的泄露问题。

    那些常被忽视的信息安全

    手机等移动设备的信息安全包含硬件和软件这两个层面。硬件涉及到芯片的硬件设计、生产和芯片内的指令性软件代码组成,软件又可以分为操作系统和应用软件两大类。“随着手机应用软件的丰富和社会使用场合的不断叠加,应用软件的信息安全是移动设备信息安全中最容易忽视和最薄弱的环节。”原国际著名IT公司合伙人荆伟博士一针见血地说。

    在荆伟看来,“应用软件往往是个人敏感信息的第一载体;为了谋取应用的尽快上架,很多软件开发团队没有完整和系统的测试,甚至个别软件有明显的缺失也开放给消费者使用;很多应用软件的开发是在一个‘迷你团队’, 甚至是几个初级程序员的团队生产出来的,这样的应用软件在安全性和稳定性方面是有很多安全隐患的;某些应用软件本身就是以收集消费者的个人信息、操作习惯、消费习惯等作为主要软件亮点和盈利模式的。”

    当前全球流行的手机操作系统有安卓、苹果iOS、微软WinMobile 等等,其中安卓占有率最高、iOS其次。荆伟说,操作系统是移动设备的最低层应用,控制着移动设备的全部功能,如:麦克风是否打开、摄像头是否打开、无线是否打开、红外是否可以被人访问。操作系统直接控制着移动设备是否与外部通信、是否接受外部的访问。除了个别的“主观预留”外,其他“安全漏洞”一定会很快发现后进行修补的, 这也是各大移动操作系统软件团队维护的关键工作之一。

    而很多硬件方面的“安全漏洞”则是源于设计本身的缺陷和“检测预留”。荆伟透露,这些安全漏洞是依靠技术的升级换代和自然淘汰来完善的,很难在后期进行本质性修复。考虑到硬件的零件生产已经全球化、分散化和相对细分厂商专业化,而且硬件的访问还需要借助操作系统等软件来驱动,非直接接触的硬件安全漏洞相对较少。现在比较多的信息泄露是借助于“介质”来完成的,“比如存储卡是当前硬件泄露中最常发生的”。

    应用软件应“优选必须的,删除不用的”

    苹果有后门,那么安卓等其他操作系统的手机有没有类似的后门?安卓、苹果、微软和塞班哪一种手机更安全?这是很多手机用户颇为关心的问题。

    对于哪一种手机更安全的问题,李挺认为无法给出标准答案。“因为在我看来安全性是多角度的。例如,从恶意代码的种类和数量来看,塞班和安卓平台上的恶意代码的种类和数量远远多于苹果和微软平台。但不能这样就说前者的安全性比后者差。”

    李挺说,后门是苹果自己研发的,其技术细节并不对外开放,至今没有发现安卓系统具有这样的后门。他认为,从这个角度来看,如果苹果在技术上不提供足够的配合,很难从技术上堵住后门。李挺建议,考虑到苹果这个后门的严重性,如果用户认为自己的手机里存有决不能泄露的重要数据,可以暂时不要使用苹果手机。

    作为对消费者和用户的尊重,操作系统厂商应该提供可以让用户自己决定的“关闭预留通信和服务”的功能, 荆伟认为,这样做既是对个人信息的尊重,同时也是最基本的商业伦理。

    对于目前许多手机用户的担心,荆伟深表理解。他认为这样的担心既有必要又很无奈,硬件和操作系统是普通消费者无力改变的现实,只能寄希望于法律和法规来促进规范和完善,并期待应用软件检查标准和法规能够尽快出台。

    但是,应用软件是每个消费者可以自己管理的“辖区”。荆伟补充说,从个人信息安全的视角看,建议手机用户“优选必须的,删除不用的”。荆伟建议,尽量避免安装非正规渠道推荐的软件,少安装不需要的软件,拒绝安装收集个人信息的软件。“最新的移动设备大多速度快,容量大。有些消费者买来后,动不动安装几十个甚至上百个应用软件,这样的方式很危险”。

京ICP备06005116