手机OS安全,是个伪问题?
2014-09-04金姬
金姬
在1990年的春晚小品《主角与配角》中,陈佩斯在台上表演时曾说:“我原来一直以为,只有我这模样的能叛变。没想到啊没想到,你朱时茂这浓眉大眼的家伙也叛变革命了!”
这句经典台词套用到当下的手机操作系统(OS)上毫无违和感——随着近期苹果iOS系统中“后门”的曝光,原本被认为更为安全的iPhone也存在不少安全隐患,危险程度有时甚至比饱受诟病的安卓(Android)还要高。
一时间,OS安全问题如同一条附着的毛毛虫让原本光鲜亮丽的“苹果”开始腐烂,上海公务员甚至开始陆续使用国产加密手机。不过,普通民众对于苹果手机不必如此惊慌。国内手机安全厂商网秦对《新民周刊》表示:“对于普通用户来说,使用iPhone,隐私信息可能被苹果公司获取;而使用安卓手机,隐私信息可能被多家公司获取,区别并不大。”业内人士指出,正是手机用户越狱或者轻易下载App的习惯,让自己的手机不时处于危险境地。而任何一款手机OS,都无法保证其绝对的安全性。
智能手机的“三国演义”
自摩托罗拉在1983年推出全球第一台便携式电话至今,手机从只能打电话的“板砖”,发展到今天的多功能用户终端,成为现代人的随身必需品。
用户在选择智能手机的时候,OS无疑是考虑因素之一。从最初诺基亚的塞班(Symbian)一统江湖,到2007年苹果公司的iOS横空出世,其前沿的理念、人性化的设计颠覆了人们对手机的看法。2008年,谷歌推出的安卓系统,凭借其开源优势迅速占领市场。塞班在两大巨头夹击下很快失势。2010年,微软发布Windows Phone(以下简称“WP”)加入混战。 迄今为止,智能机市场被这三款OS瓜分,就连安全性能居高的黑莓只能喝点汤。
根据市场分析机构Strategy Analytics近日公布的2014年第二季度智能手机操作系统全球分布情况,目前安卓操作系统的市场份额达历史最高值84.6%,因为包括低端智能机在内的诸多手机品牌都配备这一OS;只有iPhone手机使用的iOS的从去年的13.4%下降到11.9%;WP现状堪忧,市场份额由去年的3.8%下降到2.7%;而黑莓系统市场份额更是由去年同期的2.4%下降到了0.6%。
这一市场格局也延伸到中国内地。根据百度2014年第二季度发布的《移动互联网趋势报告》,安卓手机在中国的份额已高达79%,iOS为13%,而WP和其他小众手机OS的市场份额都在进一步降低。
值得注意的是,市场份额并不和手机OS的安全性成正比。国外科技网站Digital Trends表示,苹果公司的iOS在系统更新和安全方面都胜过谷歌的安卓和微软的WP。
Digital Trends总结道:“三大平台在系统更新上都做得不错,每隔几个月都会推送比较大范围变化的升级来修复bug。另外由于苹果和微软都是自己控制着系统的升级节奏,因此要比安卓在兼容性和实时性上更胜一筹。此外,虽然苹果每年都会留下一些去年的产品在市面上销售,但是系统碎布片化的问题却解决得最好。而当年微软抛弃Windows Phone 7用户、谷歌最严重的碎片化问题,都让用户记忆深刻。除非你使用的是Nexus设备,才会第一时间收到来自谷歌的更新,否则无论是索尼、三星还是LG,如果OEM厂商不行动,你有可能永远无法升级。另外一部分用户还是受限于运营商,不一定有资格体验最新的安卓或WP系统特性。”
Digital Trends还指出,大部分的恶意应用针对的目标都是安卓设备,因此安全问题永远是谷歌要面对的最大障碍,除非用户只去Google Play和三星的应用商店下载App。而苹果在这方面比较到位,对于普通消费者的安全还是有保障的,尤其是最新的TouchID指纹识别和与IBM合作面向企业用户,可以帮助苹果更好保证客户的安全。至于WP系统,目前由于普及程度还不够,因此并没有太多的恶意软件对它感兴趣,不过微软在商业用户中的安全口碑不错。
iOS 与安卓之争
安卓系统和苹果iOS系统是目前主流的两大手机操作系统,面对病毒木马、恶意软件的攻击,安卓系统的使用者恐怕更加深有体会。以美国为例,根据F-Secure安全公司2014年3月公布的调查报告显示,针对安卓手机的恶意软件的占比从2012年的79%增长到了2013年的97%。
中国市场也不容乐观。根据腾讯移动安全实验室的《2014年上半年手机安全报告》,中国内地90%的手机病毒都出现在安卓平台上。报告显示,2014年上半年,腾讯手机管家截获安卓病毒包总数为327626个。不过,随着安卓系统漏洞修复能力提升和手机安全软件的大规模普及,安卓手机病毒已从2012-2013年经历几何式高速增长之后在2014年逐步趋于平缓。
安卓系统之所以更容易成为手机安全重灾区,在于它的源代码是免费对外开放的。而iOS系统不公开源代码。
就在今年7月,苹果公司承认了iOS系统存在安全“后门”。在“全球黑客大会”上,该“后门”被曝可以绕过手机备份加密系统,直接把手机和一台预设的所谓“可信任电脑”建立联系,下载手机中的全部数据。对此,外界担心这一功能可能被美国国家安全局等情报机构所利用,成为政府监控项目的工具,严重侵犯个人隐私。
移动计算与移动信息安全专家邹仕洪表示,对于普通的用户来说,苹果手机的安全性要更高一些, 主要是苹果公司对于第三方应用软件的审核比较严格。而且,“后门”程序为少数人所利用,也仅为实现一些特殊目的,大多数的普通用户并没有被“后门”监控的价值。但对于党政军内的公职人员、科研单位等掌握重要信息的人员来说,苹果的“后门”的危险性可能大于安卓。
中国科学院软件研究所的专家指出,安卓系统有更多的软件开发商针对操作系统的要求开发更多的内容软件,丰富该平台上第三方软件的应用,全世界的开发人员都可以在该平台上不断发现漏洞,使其得到适时的修补。在一个开放的操作系统平台上,开发者很难明目张胆地故意放入类似的漏洞,因为它们容易被发现。但在封闭的操作系统中,如果开发者故意设置漏洞,就很难被发现。endprint
国产手机OS靠谱吗?
最近上海公务员使用国产加密智能手机的新闻铺天盖地,据说需求之高,甚至需要从深圳调货。上海电信的一位客户经理称:“市政府中,现在差不多有10个职能部门已用上加密通信手机,其他多个部门也都表示了同样的意向。”
加密手机主要从三个方面做防护,首先是防止第三方应用造成的隐私泄露,应用的敏感功能需要征求用户同意;其次,针对手机被陌生人拿到后造成的隐私泄露,例如手机加密、手机内容彻底清除、手机防盗等;第三,针对手机被亲密人拿到后造成的隐私泄露等。”
那么,用了加密手机后,就意味着安全无忧吗?显然不是。SGP Technologies公司今年推出的号称“全世界最安全智能手机”的blackphone,前不久在黑客大会上5分钟内就被攻破了。
而中国国产手机也因为缺乏自主研发的OS而可能成为安全问题的“空中楼阁”。近年来,中国企业陆续推出过号称自主研发的智能手机OS,如中国移动的OPhone、阿里巴巴的阿里云OS、同洲电子的960 OS,但这些所谓的“国产系统”都远未达到能与苹果、谷歌正面抗衡的程度,一些所谓的国产手机OS更是被嘲笑成“中国特色的安卓系统”。例如,中科院牵头研发的手机操作系统COS(China Operating System)自今年1月15日推出以来就饱受争议。因为COS在UI(用户界面)设计上与HTC对 安卓优化的HTC Sense极为相似,所谓的“自主研发”可能只是换了部分桌面图标。
由于OS不是完全自主研发,国产手机自然也就很难跨过安全这道坎。今年5月,国内著名的安全漏洞报告平台“乌云”发布消息称,小米论坛官方数据遭泄露,直接影响800万论坛注册用户,个人数据安全面临威胁。小米官方承认确有部分2012年8月前注册的论坛账号信息被非法窃取。由于小米账户的特殊性(云存储),如果账号密码被破解,很可能影响到用户的个人数据安全。而这将可能导致故密码被破解的用户遭到不法分子的诈骗,泄露数据中包含用户名、密码、邮箱、注册IP等隐私信息。
今年7月,中国台湾监管部门宣布针对小米手机自动回传资料至北京服务器一事展开调查。8月初,新加坡监管部门表示对一起小米手机涉嫌泄露用户隐私案进行调查。消费电子产业观察家梁振鹏认为,小米手机MIUI系统是在安卓系统基础上二次开发的操作界面,在兼容性和安全性方面容易出现问题。“二次开发过程中产生的系统漏洞有可能导致软件和用户数据泄露。对于小米来说,应尽快研发、发布相应的补丁来让用户修补漏洞,并应该对用户因数据泄露造成的损失进行赔偿。”
有业内人士指出,“国产手机的系统,本质上都是安卓系统,智能手机几乎存在系统安全漏洞。要想绝对的安全,只能用回功能机。”
以安全为卖点的黑莓手机,至少在企业客户方面再次迎来了春天。例如,由于英国的律师事务所都要遵守律师监管局的规定,而该监管局非常希望确保他们在任何情况下都维持一定水平的服务和保密性。因此在英国最顶尖的31家律师事务所中,74%正在使用或者评估黑莓技术。
对于普通个人手机用户而言,网秦建议:“首先为手机安装专业安全软件,并定期更新病毒库为手机进行体检。其次要注意下载渠道的安全,尽量选择官方渠道或是具有安全保障的应用商店,不要打开陌生短信中的链接,以免进入恶意网站。最后要养成良好的手机使用习惯,最好不要让手机远离自己的视线,以免被人装入监听软件等恶意软件,如果遇到手机丢失无法找回,第一时间通过安全软件的远程删除功能将手机内的隐私信息删除。”endprint