如何保護手機安全?
安全極客現場還原智慧手機安全漏洞
一夜之間,手機賬戶裡的資金不翼而飛?毫無察覺的情況下,手機的指紋解鎖竟遭遇“秒破功”?手機的私密相簿任由他人隨意翻閱?智慧時代,手機成為個人隱私保護和資金安全的重要領域,如何保證這款最常用的智慧裝置的安全,也成為安全人員關注的話題。
智慧指紋鎖安全嗎?
作為今年上半年安卓手機的重大技術突破,屏下指紋解鎖號稱以光感指紋識別真正實現秒解鎖,獲得了許多年輕人的喜愛。但追求極致體驗的同時,它的安全性經得起考驗嗎?
在日前召開的GeekPwn 2018現場,騰訊安全玄武實驗室演示了影響觸屏解鎖型安卓裝置的“殘跡重用”漏洞。安全研究員通過一張普通的卡片,可以讓任何人對手機的屏下指紋進行解鎖。騰訊安全玄武實驗室表示,目前的屏下指紋解鎖功能是利用光學技術捕捉使用者的指紋影像。通過反射體欺騙的方法,可以利用螢幕上殘存的指紋痕跡,讓屏下指紋感測器認為手機的主人正在使用指紋驗證。值得注意的是,該漏洞屬於屏下指紋技術設計層面的問題,而非只存在於特定的手機型號和硬體產品中,因此影響面可能波及市面上使用該技術的所有安卓手機。
對於上述漏洞,騰訊安全玄武實驗室負責人於暘(TK教主)表示,使用者無需太過擔心,騰訊安全玄武實驗室早在今年初就開始和國內幾家主流手機廠商合作,不僅通過更新演算法修復了已上市手機中的漏洞,還將相關解決方案提交給相關晶片廠商,推動了供應鏈層面的安全修復。
資料加密萬無一失嗎?
日前,金雅拓(Gemalto)釋出了全球範圍內公共資料洩露事件嚴重程度指數。2018年上半年,資料丟失、被盜或受損的數量與去年同期相比增加133%。 其中,惡意的外部入侵者是資料洩露事件的主要原因(56%),佔所有被盜、外洩或丟失記錄的80%以上。資料洩露的第二大最常見原因是意外丟失,佔洩露事件的逾三分之一。惡意內部攻擊造成的資料洩露記錄和事件為第三大原因,但相比去年數量下降了50%。
給資料加密就能萬無一失嗎?在GeekPwn2018的現場,來自AMC團隊楊志偉、胡演繹了手機私密相簿的破解挑戰。利用手機作業系統的漏洞,通過在手機中安裝一個惡意APP,可以用高許可權呼叫其他元件,從而繞過私密相簿的身份驗證。選手解釋到,這種破解是基於手機作業系統存在的漏洞,和密碼無關。
如何避免中招惡意APP?
如何避免中招惡意APP,保護智慧裝置和資料安全?愛加密技術副總裁程智力對北京晨報記者表示,在移動網際網路時代,無論是企業還是使用者本身都應提高安全意識。
對於企業來說,絕大多數對APP的攻擊都是有針對性的,以獲利為目的。特別是安卓系統,由於升級週期緩慢,加大了安全隱患的風險。企業防護模型應當從被動變為主動,以實現快速響應。
對個人使用者而言,不要點選任何不安全的連結,在不可控的環境下使用手機等智慧裝置更應提高警惕,公共環境的WiFi尤其值得注意。手機不要越獄、root,不要從非正規渠道下載APP,不去瀏覽不安全的網頁。同時,應及時升級作業系統,不輕易公佈手機號,並且採用生物認證+密碼識別的方式,提升手機的安全門檻。