如何保护手机安全? 安全极客现场还原智能手机安全漏洞

2019 年 1 月 20 日1630

  一夜之间,手机账户里的资金不翼而飞?毫无察觉的情况下,手机的指纹解锁竟遭遇“秒破功”?手机的私密相册任由他人随意翻阅?智能时代,手机成为个人隐私保护和资金安全的重要领域,如何保证这款最常用的智能设备的安全,也成为安全人员关注的话题。

  智能指纹锁安全吗?

  作为今年上半年安卓手机的重大技术突破,屏下指纹解锁号称以光感指纹识别真正实现秒解锁,获得了许多年轻人的喜爱。但追求极致体验的同时,它的安全性经得起考验吗?

  在日前召开的GeekPwn 2018现场,腾讯安全玄武实验室演示了影响触屏解锁型安卓设备的“残迹重用”漏洞。安全研究员通过一张普通的卡片,可以让任何人对手机的屏下指纹进行解锁。腾讯安全玄武实验室表示,目前的屏下指纹解锁功能是利用光学技术捕捉用户的指纹影像。通过反射体欺骗的方法,可以利用屏幕上残存的指纹痕迹,让屏下指纹传感器认为手机的主人正在使用指纹验证。值得注意的是,该漏洞属于屏下指纹技术设计层面的问题,而非只存在于特定的手机型号和硬件产品中,因此影响面可能波及市面上使用该技术的所有安卓手机。

  对于上述漏洞,腾讯安全玄武实验室负责人于旸(TK教主)表示,用户无需太过担心,腾讯安全玄武实验室早在今年初就开始和国内几家主流手机厂商合作,不仅通过更新算法修复了已上市手机中的漏洞,还将相关解决方案提交给相关芯片厂商,推动了供应链层面的安全修复。

  数据加密万无一失吗?

  日前,金雅拓(Gemalto)发布了全球范围内公共数据泄露事件严重程度指数。2018年上半年,数据丢失、被盗或受损的数量与去年同期相比增加133%。 其中,恶意的外部入侵者是数据泄露事件的主要原因(56%),占所有被盗、外泄或丢失记录的80%以上。数据泄露的第二大最常见原因是意外丢失,占泄露事件的逾三分之一。恶意内部攻击造成的数据泄露记录和事件为第三大原因,但相比去年数量下降了50%。

  给数据加密就能万无一失吗?在GeekPwn2018的现场,来自AMC团队杨志伟、胡演绎了手机私密相册的破解挑战。利用手机操作系统的漏洞,通过在手机中安装一个恶意APP,可以用高权限调用其他组件,从而绕过私密相册的身份验证。选手解释到,这种破解是基于手机操作系统存在的漏洞,和密码无关。

  如何避免中招恶意APP?

  如何避免中招恶意APP,保护智能设备和数据安全?爱加密技术副总裁程智力对北京晨报记者表示,在移动互联网时代,无论是企业还是用户本身都应提高安全意识。

  对于企业来说,绝大多数对APP的攻击都是有针对性的,以获利为目的。特别是安卓系统,由于升级周期缓慢,加大了安全隐患的风险。企业防护模型应当从被动变为主动,以实现快速响应。

  对个人用户而言,不要点击任何不安全的链接,在不可控的环境下使用手机等智能设备更应提高警惕,公共环境的WiFi尤其值得注意。手机不要越狱、root,不要从非正规渠道下载APP,不去浏览不安全的网页。同时,应及时升级操作系统,不轻易公布手机号,并且采用生物认证+密码识别的方式,提升手机的安全门槛。

  北京晨报记者 韩元佳

0 0