在新春佳节来临之际,作为新年礼物,数百万部新的智能手机和平板电脑将被激活,而与此同时,网络罪犯和“过度热心”的应用开发者摩拳擦掌跃跃欲试,希望通过这些新设备中人们的敏感信息来谋取利益。
可能有人会说,从移动设备的尺寸来看,不会构成严重威胁,但在这种情况下,大小并不重要。现在移动设备功能很强大,足以支持各种新功能。通过近场通信(NFC)技术,用户只需将设备靠近读取器就能完成手机支付,但这也潜在地暴露了敏感的财务信息和地理数据,这些数据常常存在一些不起眼的应用中,造成数据隐私问题。
专家估计,在去年圣诞节期间,约有680万台移动设备被拆封和激活,随着新产品的不断涌入市场,这个增长速度仍将继续攀升。根据趋势科技表示,通常情况下,得到新设备的用户在第一次激活设备时,不会考虑缓解隐私和安全风险。为此,该安全公司为新设备用户总结了一些基本措施以保护其设备。
应用陷阱
应用让智能手机变得更强大。虽然智能手机可以使用浏览器购买或者登录到大多数网上银行,但一些应用的额外功能让用户无需打开浏览器就可以完成这些操作。专家称,这很让人担忧,因为很多研究证明大量数据被合法智能手机应用收集。从联系人信息、位置数据到浏览历史记录和设备使用情况统计信息等,应用开发者可能将这些数据与第三方广告和营销公司共享,这引起隐私倡导者的恐慌,他们认为需要加强控制来限制这种隐私侵扰。
在2012年黑帽大会上,Appthority总裁兼创始人Domingo Guerra在接受采访时明确指出了这个问题:“开发商想要赚钱,消费者想要免费的应用,而网络则会获取有价值的数据。”
专家称,在安装应用后,用户应该密切关注该应用的权限要求。对于不同的应用,用户可以选择简单地对某些数据授权或者拒绝访问权限。但拒绝权限往往会限制应用的功能。趋势科技指出,一些游戏应用要求位置数据,只是为了将这些数据提供给广告客户。在安装应用之前,检查其评级,并确保它来自合法的开发商。
智能手机交给青少年使用?免费的应用并不一定是免费的。一些游戏限制了其应用的功能,并提示用户在应用内购买以获取完整功能,这将立即转向到信用卡支付。
安全专家还提倡使用更好的密码管理来加强保护,特别是当你的电子邮件和账户登录信息被盗时,这可以将损失降到最低。对每个社交网络和需要登录信息的服务使用不同的密码,使用字母、数字和字符组合,并考虑使用密码管理器应用来管理复杂的密码。
设备丢失或被盗?首先联系公司IT部门
很多专家称,丢失或被盗的设备将对数据安全构成最大威胁。虽然大多数小偷都试图清除设备,然后转卖出去,但没有密码保护的智能手机或平板电脑将对任何人提供开放式访问。Apple、谷歌和微软都提供设备位置搜索功能,一般你必须开启这个功能才行。
你也可以使用远程清除功能。一些安全应用提供远程清除功能。例如,除了能够找到丢失设备的位置外,Lookout公司还可以远程锁定和清除Android设备,甚至还可以清除设备中的SD卡,SD卡通常包含个人数据。
当设备丢失或被盗时,别联系你的运营商。如果你的设备能够访问企业信息,例如工作联系人、工作应用和电子邮件,企业首席信息安全官越来越提倡员工应先与企业IT联系。首先联系运营商将会导致该设备从运营商的网络中移除,使IT部门无法从设备中清除企业数据。
近场通信
安全研究人员已经发现了支持NFC的设备中,部署该新技术存在漏洞。研究人员Charlie Miller发现,一些设备上的默认设置让通信信道保持开放,在某些情况下,这使NFC可能被精明的攻击者用来访问设备。他演示了如何通过这个漏洞来访问浏览器,以及窃取密码和其他账户登录信息。
NFC技术可以使设备在短半径内进行无线通信,提供各种功能。它可以用来在两个设备间共享文件,例如照片或数字名片。支付行业看到NFC作为电子钱包的潜力,设备持有者可以仅将设备靠近支付读卡器就能完成日常支付。Miller成功展示了针对基于Android的诺基亚N9和Nexus S三星智能手机的攻击。很多Android设备以及来自诺基亚的最新的Windows Phone设备都支持NFC技术。
专家称,由于攻击者需要近距离靠近受害者,用户遭受NFC攻击的风险比较低。漏洞管理是专家一直倡导的首要移动安全技巧。所以,请确保你的设备安装了最新的固件(有时候说起来容易做起来难)。另外,确保使用NFC的智能手机应用更新。启用设备的锁定功能,并为设备设置访问密码。通过启用密码功能,设备所有者也启用了加密。
限制信任 经常验证
智能手机操作系统在构建时就考虑了安全因素。其中的沙盒技术让攻击者很难突破浏览器、访问正在运行的进程,应用都要求必须具有数字证书,以便设备能够验证其真实性,并且,移动应用商店会审核应用是否存在严重威胁。安全公司还能够检测到恶意应用(主要来自第三方应用商店)和移动设备攻击(骗取手机费的短信木马程序)。
建立基本的安全措施可以帮助减小危害。不要完全相信你的移动设备上的活动是安全的。不要点击不受信任的链接。从朋友或同事得到随意的链接或附件?在点击链接和打开附件之前,首先与他们联系和确认。确认你的手机浏览器中的网站是合法网站,特别是当它请求登录信息时。使用高强度密码,并为某些应用设置权限限制。