提升大众对智能手机安全的关注?先公布一个涉及 20 亿手机的漏洞
或许是从未经历过一次大规模的攻击,智能手机的安全问题似乎从未被严肃地提升至大众认知层面,至少相对于 PC 安全问题是这样的。
但是智能手机显然更容易暴露出安全方面的问题——智能手机是一台实时连接互联网、并且不定期更新、存储大量隐私数据的设备,它很容易成为黑客攻击的对象。
当然,这只是理论层面。不过华尔街日报最近的一篇报道介绍了研究人员在技术方面的研究成果,这一结果或许可以切实加强人们的警惕,因为它的波及范围可能是全世界 20 亿智能手机。
网络安全公司 Accuvant 的手机研究人员 Mathew Solnik 表示,他可以在 30 英尺之外不知不觉地入侵一部智能手机,包括侵入其通话、浏览联系人甚至读取短信。
Solnik 表示他们已经大概想出办法,通过智能手机在无线电方面的漏洞伪装成无线运营商——利用一个不到 1000 美元、笔记本电脑大小的虚拟信号塔便可以在 30 英尺范围内的手机上传恶意代码。
据悉,Solnik 这种入侵方式可以运行在黑莓和 Android 操作系统以及一个较早版本的 iOS 系统上。不过,Solnik 强调,Accuvant 发现的这项漏洞目前还不太可能对大众用户造成威胁,因为全世界只有少数的移动通讯专家掌握这项技术。但是技术细节一旦公布,安全风险将会波及全球。
路透社报道另一家安全公司 Blunebox 的研究人员也发现了一项安全漏洞——Fake ID,据称 Android 上任何依赖验证签名链的应用程序都会受到这一漏洞的影响。目前,Google 已经表示还没有证据显示有人利用 Fake ID 进行黑客活动,公司将尽快发布漏洞补丁。
漏洞补丁的升级工作显然是个棘手的问题,它不仅取决于系统开发商发不发,更取决于用户终端升不升级、能不能升级。如果说 iOS 设备可以相对统一地进行安全升级,那么 Android 显然是个麻烦事,Google 很难对市场上四分五裂的 Android 版本进行软件更新,它更多依赖第三方厂商,而那些停留在旧版本的 Android 机型将成为巨大的隐患。据悉,这个 Fake ID 漏洞便可以追溯至 2010 年 1 月发布的 Android 2.1 系统中。
下周,在拉丝维加斯举办的黑帽安全会议(Black Hat conference)上,智能手机的安全问题将被作为一个重要议题被展开讨论。Solnik 和其他研究人员将分别演示智能手机的黑客技术,希望通过这种方式能够将智能手机推上网络安全的新阵地。
题图来自:panorama.com