保护移动设备的安全
2012-08-15诸葛建伟,周一伟
保护移动设备的安全
保护你的移动设备安全的关键是:只从可信赖来源下载和安装应用程序,并且确保其实时更新。
智能移动设备已成为日常生活和工作中必不可少的工具之一,而正是那些我们选择和使用的应用程序,才使得移动设备的功能如此强大。伴随着应用程序的功能性和复杂性日益提升,我们必须注意随之而来的风险。本文阐述了应用程序可能带来的安全风险,并且提供如何安全地安装、使用和维护这些应用程序的有效措施。
避开获得应用程序的“陷阱”
使用应用程序的第一步就是确保你是从安全的、值得信赖的来源下载到它们。电脑犯罪者会制造出看上去无害、却会使你的移动设备感染病毒或蠕虫的恶意应用程序。如果你偶然间安装了这些恶意程序,这些电脑犯罪者便可以通过这些应用程序来控制你的移动设备。如果你只通过著名的、可信赖的渠道来下载应用程序,那么你的移动设备安装恶意程序的概率便会大大降低。然而,即便是著名的网上应用程序市场,也会有一些恶意应用程序。对于安装Android的移动设备来说,这种现象更为广泛,因为Android应用程序市场并没有得到严格的管制。不要下载那些全新的或是极少有人下载和评论的应用程序,因为一个应用程序上架的时间越长,得到的正面评论越多,这个应用程序就越值得信任。最后记得只安装自己需要的应用程序。每个多余的应用程序都会使你的移动设备更易于被攻击,因此,如果你确定不再使用某个应用程序,要及时把它从移动设备中删除。
此外,你或许想要将自己的移动设备“越狱”或获取ROOT权限,这些过程通过入侵相应的移动设备来安装一些未获批准的应用程序或是改变现有功能。我们强烈建议你不要这么做。“越狱”不仅避开或消除了很多建立在你移动设备内部的安全保护机制,还可能会使保修和维护协议无效。
配置和使用应用程序的风险
当你成功从可信赖来源下载并安装应用程序后,接下来要保证该应用程序的配置满足安全性要求,并可以有效保护你的隐私。安装和配置应用程序一般要求你授予某种许可和权限。一些移动设备会在你授权给应用程序之前会给予相应的提示。记得在授权之前考虑:这个应用程序真的需要这个许可吗?比如说,一些应用程序要求使用地理定位服务。如果你允许一个应用程序获得你的地理位置,从某种意义上来说,你就允许这个应用程序的开发者去追踪你的位置。除此之外,你发布的任何信息都可能包含你的地理位置信息,这使任何人都可以知道你现在的位置或是你曾经去过的地方。如果你不喜欢某个应用程序所要求的许可,应该舍弃这个应用程序,会有另外的应用程序可以满足你的要求。
当某个应用程序要求你录入并储存一些隐私信息时,一定要多加注意。即使这个应用程序是合法的,但现在也没有对相应的开发者做出规定,要求其使用良好的编码技术,来确保在网络传送和储存的过程中保护你的隐私。应用程序之间对于隐私信息的共享可以方便我们的生活,但也是电脑犯罪者的目标,一定要详细阅读应用程序的详细描述,并阅读使用者反馈来判断这个应用程序是否出现过安全问题。
及时更新应用程序
应用程序和电脑、移动设备的操作系统一样,也需要更新。有些人专门搜寻应用程序中的漏洞,进而利用这些漏洞对移动设备发起攻击。应用程序的开发者会不定期发布更新版本来修补这些漏洞,以达到保护你的移动设备的目的。所以,你应该尽可能多地去检查和更新应用程序。我们推荐你关注应用程序商店,至少每月更新一次你的应用程序。除此之外,有些应用程序可以自动更新,但需要注意的是这可能导致系统使用这些应用程序时会自动获得某些许可权限。
用户提高自我保护意识
目前,许多应用程序使得用户可以通过付款来获得其他功能,如获取新的内容或移除广告等。人们的普遍错误就是在他们的移动设备上保存自己在应用程序商店中使用的隐私信息,以求更方便地在应用程序中进行付款。我们强烈建议你禁止移动设备储存这些隐私信息,如登录信息和付款信息等。尽管在移动设备中储存这些信息会方便你的生活,但这些信息可能会被可以接触到你的移动设备的人和攻击你的移动设备的人利用。解决办法有使用礼品卡或一次性虚拟信用卡号等。
我们强烈建议你遵守以上提及的保护移动设备安全的措施。移动设备及其应用程序仍然是相对较新并增长迅速的领域。除此以外,我们面临的另一挑战是目前几乎没有可以有效保护移动设备和应用程序的安全软件(译者注:中国大陆已经针对Android等流行移动设备平台推出多款安全防护软件),只有你自己才是你的移动设备安全的最佳保护者。
客座编辑:
Kevin Johnson是这期OUCH!的客座编辑。Kevin是Secure Ideas的高级安全顾问,他运作了网站MySecurityScanner.com,并且还是SANS的高级讲师。你可以在www.secureideas.net和www.mysecurity.com中找到更多关于Kevin Johnson的信息。
中文翻译:
诸葛建伟(Jianwei Zhuge)博士,中国清华大学网络工程研究中心副研究员,中国教育和科研网 CERNET安全应急响应组CCERT成员,The Honeynet Project正式成员和中国分支团队负责人。博客:(netsec.ccert.edu.cn/zhugejw)。周一伟,北京航空航天大学硕士生。