智能手機(jī)與我們的生活越來(lái)越緊密,目前我國(guó)手機(jī)網(wǎng)民已將近7億,但智能手機(jī)的信息安全問(wèn)題不容忽視。今天國(guó)家質(zhì)檢總局發(fā)布的智能手機(jī)產(chǎn)品信息安全專項(xiàng)風(fēng)險(xiǎn)警示顯示,智能手機(jī)在手機(jī)系統(tǒng)、應(yīng)用軟件和云平臺(tái)等方面,存在安全風(fēng)險(xiǎn)。
日前,國(guó)家質(zhì)檢總局組織了一次智能手機(jī)產(chǎn)品信息安全的專項(xiàng)風(fēng)險(xiǎn)監(jiān)測(cè),測(cè)試機(jī)型包括了市場(chǎng)上大部分高中低端的手機(jī)產(chǎn)品,共40批次。
記者了解到,按照進(jìn)網(wǎng)標(biāo)準(zhǔn)要求,手機(jī)系統(tǒng)在遇到木馬病毒或惡意程序讀取用戶數(shù)據(jù)時(shí),應(yīng)有一定的提示,提醒用戶防范信息泄露。那么這些最新的智能手機(jī),系統(tǒng)的安全性能會(huì)怎么樣呢?工程師隨后在多款智能手機(jī)上都安裝了一個(gè)測(cè)試木馬,檢驗(yàn)這些手機(jī)對(duì)語(yǔ)音、通話、短信等數(shù)據(jù)的保護(hù)。
測(cè)試發(fā)現(xiàn),大多數(shù)手機(jī)在木馬啟動(dòng)的時(shí)候,都會(huì)彈出提示框,但個(gè)別手機(jī)卻毫無(wú)動(dòng)靜,任由測(cè)試木馬暗中讀取隱私數(shù)據(jù)。
工程師透露,除了手機(jī)系統(tǒng)本身的安全防護(hù)要求,目前的進(jìn)網(wǎng)標(biāo)準(zhǔn)還對(duì)預(yù)置軟件提出了安全提示等要求。記者了解到,存在于手機(jī)當(dāng)中的各類應(yīng)用軟件都會(huì)因功能需要,要求獲取用戶的相關(guān)權(quán)限。
比如地圖軟件需要獲取位置信息,聊天軟件要求獲取通話記錄信息等等,按照要求,獲取涉及用戶隱私的這些信息必須要經(jīng)過(guò)用戶同意。
工信部電子五所質(zhì)檢中心工程師 李樂(lè)言:提示有文字圖片或者一些按鈕,比如彈出一個(gè)對(duì)話框,這個(gè)對(duì)話框會(huì)告知收集你的位置,或者是聯(lián)系人,或者是圖片信息,如果你不點(diǎn)確認(rèn)的話,它是不會(huì)再收集你的信息的。不符合的話是打開(kāi)應(yīng)用的時(shí)候,用戶看不到提示內(nèi)容。
工程師隨后對(duì)所有手機(jī)樣品進(jìn)行了測(cè)試,在專門的測(cè)試軟件監(jiān)控下,總共40批次手機(jī)樣品中,發(fā)現(xiàn)有9批次手機(jī)當(dāng)中的相關(guān)軟件在未提示用戶的情況下,暗中收集手機(jī)用戶私密信息。
經(jīng)過(guò)對(duì)手機(jī)系統(tǒng)安全和預(yù)置應(yīng)用安全的相關(guān)測(cè)試,工程師都發(fā)現(xiàn)了存在風(fēng)險(xiǎn)的手機(jī)產(chǎn)品。而在隨后進(jìn)行的智能手機(jī)后端云平臺(tái)系統(tǒng)的安全測(cè)試中,工程師發(fā)現(xiàn),云平臺(tái)對(duì)用戶身份鑒別和權(quán)限控制方面的安全風(fēng)險(xiǎn),是最主要的安全隱患所在。
工程師告訴記者,智能手機(jī)的后端信息系統(tǒng),也就是人們所說(shuō)的云平臺(tái)。隨著手機(jī)智能化的提升,目前手機(jī)都能夠連接后端的云平臺(tái),實(shí)現(xiàn)通訊錄、短信、照片等數(shù)據(jù)備份功能,以及在丟失的特定情況下定位找回、數(shù)據(jù)清除等功能。但是如果手機(jī)云平臺(tái)存在安全漏洞,也就意味著智能手機(jī)不僅沒(méi)能提供存儲(chǔ)便利,反倒增加了信息泄露的途徑。
李樂(lè)言:云平臺(tái)連接了大量的智能手機(jī),如果云平臺(tái)出現(xiàn)問(wèn)題,這些手機(jī)存儲(chǔ)在云平臺(tái)的數(shù)據(jù),或者和云平臺(tái)建立的連接如果被惡意分子利用,將導(dǎo)致大面積的信息泄露。
那么,目前智能手機(jī)云平臺(tái)會(huì)存在什么樣的安全漏洞呢?記者了解到,守護(hù)智能手機(jī)云平臺(tái)安全門檻的,首當(dāng)其沖的一個(gè)要素就是身份鑒別,也就是云平臺(tái)對(duì)密碼強(qiáng)度的要求。
工程師告訴記者,符合測(cè)試要求的智能手機(jī)會(huì)在云平臺(tái)注冊(cè)時(shí),提示不能使用簡(jiǎn)單或連續(xù)的數(shù)字作為密碼。隨即進(jìn)行的測(cè)試顯示,工程師使用123456作為密碼注冊(cè)時(shí),部分智能手機(jī)立即彈出提示框,提示密碼不能使用連續(xù)的字符。但是部分智能手機(jī)卻沒(méi)有提示密碼強(qiáng)度,工程師用記者的手機(jī)號(hào)碼在一個(gè)云平臺(tái)注冊(cè)時(shí),用簡(jiǎn)單的密碼就通過(guò)了身份驗(yàn)證。
記者發(fā)現(xiàn),用簡(jiǎn)單的連續(xù)數(shù)字,或者用666888等重復(fù)性數(shù)字測(cè)試時(shí),多款智能手機(jī)的云平臺(tái)都能夠注冊(cè)成功。工程師透露,用這樣的簡(jiǎn)單密碼面臨最大的風(fēng)險(xiǎn),就是容易被黑客破解,造成個(gè)人隱私的泄露。工程師隨后用暴力破解軟件對(duì)10余位志愿者的手機(jī)號(hào)進(jìn)行了密碼分析,發(fā)現(xiàn)有3個(gè)志愿者都使用了簡(jiǎn)單的123456的云平臺(tái)密碼,導(dǎo)致其存儲(chǔ)在云平臺(tái)的個(gè)人信息,輕易地就被工程師獲取到。
工程師告訴記者,關(guān)乎智能手機(jī)云平臺(tái)安全的,除了身份鑒別的因素,還有一個(gè)重要因素,就是權(quán)限控制。
工程師告訴記者,一個(gè)云平臺(tái)如果能夠做到控制權(quán)限,會(huì)對(duì)所有手機(jī)用戶的權(quán)限請(qǐng)求進(jìn)行驗(yàn)證,并會(huì)發(fā)送驗(yàn)證碼到手機(jī)上,驗(yàn)證是否為本人操作,以保護(hù)用戶的各種私密信息。
而在測(cè)試中記者發(fā)現(xiàn),在工程師嘗試通過(guò)數(shù)據(jù)包獲取一個(gè)志愿者的位置信息時(shí),部分智能手機(jī)的云平臺(tái)竟然沒(méi)有向志愿者手機(jī)發(fā)送驗(yàn)證,輕易地就允許了陌生用戶的請(qǐng)求。工程師在全國(guó)范圍內(nèi)征集了十余名使用相同手機(jī)云平臺(tái)的志愿者,在獲取地理位置的測(cè)試中,一一輸入了這些志愿者的手機(jī)號(hào)碼,記者看到,僅僅一秒鐘之后,測(cè)試工具就將這些志愿者的所在區(qū)域以明文形式顯示出來(lái)。
經(jīng)過(guò)大量測(cè)試,總共40批次智能手機(jī)當(dāng)中,共發(fā)現(xiàn)18批次的產(chǎn)品存在不符合項(xiàng),占比高達(dá)45%。涉及的項(xiàng)目包括智能手機(jī)的后端信息系統(tǒng)、預(yù)置應(yīng)用軟件安全等。最后,經(jīng)過(guò)20名風(fēng)險(xiǎn)評(píng)估專家的分析和打分,此次智能手機(jī)的信息安全風(fēng)險(xiǎn)等級(jí)被評(píng)估為中等風(fēng)險(xiǎn)。
01月07日 18:14
