安全问题永远不过时且常讲常新。2015年,移动安全领域发生了许多令人震惊的大事,从苹果XcodeGhost病毒事件感染数亿用户到Geekpwn白帽黑客大会上智能硬件产品被一一破解…… 2015年移动安全受威胁,大事件和曝光漏洞给用户带来的安全隐患不可估量,2016年移动安全领域迎来新的一年,有了更多的关注和更多潜在的威胁,那么就即将到来的移动安全大势及安全漏洞做出展望,或许我们能够亡羊补牢或者未雨绸缪?
一、国内移动支付迎黄金年,或成黑客攻击重点目标
基于黑帽大会上通道杂音的研究,也预示着2016年移动支付平台(苹果支付或者三星支付)很可能会被黑客攻破。这种事情很可能发生,也许不会完全入侵他们的支付操作算法,但通过对整个系统的分析我们发现了一些绕过策略和漏洞,可导致信用卡信息伪造、敲诈勒索、未授权使用。并且我们已经知道怎样将偷来的信用卡信息成功添加到苹果支付账户中而且不需要银行的验证,诈骗者可以用偷来的信用卡信息在传统的商店中进行消费。
资料显示,2015年手机支付用户年增长73.2%、手机网购用户年增长63.5%;手机银行用户年增长69.2%,基于手机支付所产生的个人网上消费总额占比已经过半。而在中国移动支付市场,除了支付宝外,苹果Apple Pay和三星Samsung Pay也在2015年年底宣布进入,然而这些移动支付平台本身的漏洞却可能成为黑客重点攻击目标,2016年,伴随着移动支付平台的多样化,这一现象将愈加明显。
各家抢占移动支付先机,安全威胁也将并存
解决:在实施攻击方面,黑客可能不会完全入侵支付平台破解支付算法,但还是会以机制回避和利用安全漏洞等方式进行攻击,并最终导致信用卡信息被窃取,成为盗刷、洗钱的“敲门砖”。
移动支付安全直接关系到用户财产安全,其解决方案刻不容缓。目前,除了移动支付平台应该及时更新应用版本,修补安全漏洞之外,用户还可在手机终端安装具有网购被骗提供赔偿协议的第三方安全软件,如360手机安全卫士、腾讯手机卫士,保护支付环境,降低支付风险。
二、智能手机浏览器的泛洪攻击
目前,通过浏览器实施的黑客活动将成为最有效的智能手机突破途径,2016年,这一进击手段将有增无减。安全专家分析,通过智能手机浏览器,一个移动广告网络已经可以控制成千上万移动终端的浏览器指向同一个网站,产生几小时上十亿次的页面请求,最终逼迫网站服务器宕机。而对于以个体为单位的手机用户来说,智能浏览器更可以看作是互联网连接手机的窗口,当用户在进行诸如网购、以及浏览器访问页面时极容易受到钓鱼网站、虚假网页等木马病毒制作者发起的诱发手机用户触击病毒网页攻击,同时通过绕过浏览器内置的安全策略,达到窃取用户信息等目的。
入口之争:手机移动浏览器存隐患
解决:当用户使用移动终端自带的浏览器进行访问网页时,尽量不要输入个人信息,同时对于来源不明确的网址链接最好不要随意点击,以免造成不必要的损失。
三、祸起预装软件 黑客可远程“遥控劫持”移动设备
简单来讲,硬件与软件的搭配组成了移动终端,手机所有者不能决定自己手机的硬件这一点无可厚非,但事实上是,对于安卓手机用户来说,其也不能决定自己的软件。2015年,Android智能手机爆炸式增长,但大多数此类手机都包含预装软件,此类预装软件未经安全认证,为远程设备劫持留下可利用空间。比如,预装WIFI相应功能的应用,或许会允许手机自动连接危险网络,并向此网络传输用户信息,为用户的信息、财产安全带来隐患。
预装软件或成“帮凶” 助黑客挟持移动终端
解决:造成此现象的原因一方面是因为新智能机持有者们并没有培养起安全保护的习惯,另一方面,预装软件痼疾给手机用户造成困扰(如自启权限、自身存漏洞等)已经成为影响用户体验老大难的问题。建议用户选择系统纯净、更少预装软件或者零预装软件的手机,如国内手机厂商艾优尼推出的iuni N1手机,通过零预装与应用权限管理为手机把关,给手机松绑,远离“劫持”危害。
四、APP乱象不断 山寨热门应用混淆视听“迷人眼”
据不完全统计,目前国内安卓手机市场中有超过400万个APP,其中僵尸应用占据了八成,其余的热门应用中很多都被“模仿”过,在这个过程中除了涉及到不正当竞争、知识产权侵权问题频发等现象,更有一些违规APP带来盗取账号、购物欺诈、恶意扣费、或者干脆伪装成木马,APP乱象不断,手机用户存在诸多隐患。而根据最新数据,2016年,我国手机网民已超9亿,庞大的移动终端手机用户基数涌入APP应用市场,乱象若不澄清太容易“迷人眼”。
APP乱象不断 2016手机用户需要守好手机安全关
解决:2016年的山寨手机应用想必不会少见,纵使安卓市场百万APP,用户应该在正规应用商城下载APP软件,保证使用安全;或者是在手机厂商自家应用商店下载,如iuni应用商店,华为应用市场等,因为进驻这些应用商店的APP软件都是通过严格检测的,能够确保应用安全、好用、无污染。