或许是从未经历过一次大规模的攻击,智能手机的安全问题似乎从未被严肃地提升至大众认知层面,至少相对于PC安全问题是这样的。
但是智能手机显然更容易暴露出安全方面的问题——智能手机是一台实时连接互联网、并且不定期更新、存储大量隐私数据的设备,它很容易成为黑客攻击的对象。
当然,这只是理论层面。不过华尔街日报最近的一篇报道介绍了研究人员在技术方面的研究成果,这一结果或许可以切实加强人们的警惕,因为它的波及范围可能是全世界20亿智能手机。
网络安全公司Accuvant的手机研究人员Mathew Solnik表示,他可以在30英尺之外不知不觉地入侵一部智能手机,包括侵入其通话、浏览联系人甚至读取短信。
Solnik表示他们已经大概想出办法,通过智能手机在无线电方面的漏洞伪装成无线运营商——利用一个不到1000美元、笔记本电脑大小的虚拟信号塔便可以在30英尺范围内的手机上传恶意代码。
据悉,Solnik这种入侵方式可以运行在黑莓和Android操作系统以及一个较早版本的iOS系统上。不过,Solnik强调,Accuvant发现的这项漏洞目前还不太可能对大众用户造成威胁,因为全世界只有少数的移动通讯专家掌握这项技术。但是技术细节一旦公布,安全风险将会波及全球。
路透社报道另一家安全公司Blunebox的研究人员也发现了一项安全漏洞——FakeID,据称Android上任何依赖验证签名链的应用程序都会受到这一漏洞的影响。目前,Google已经表示还没有证据显示有人利用Fake ID进行黑客活动,公司将尽快发布漏洞补丁。
漏洞补丁的升级工作显然是个棘手的问题,它不仅取决于系统开发商发不发,更取决于用户终端升不升级、能不能升级。如果说iOS设备可以相对统一地进行安全升级,那么Android显然是个麻烦事,Google很难对市场上四分五裂的Android版本进行软件更新,它更多依赖第三方厂商,而那些停留在旧版本的Android机型将成为巨大的隐患。据悉,这个Fake ID漏洞便可以追溯至2010年1月发布的Android 2.1系统中。
下周,在拉丝维加斯举办的黑帽安全会议(BlackHat conference)上,智能手机的安全问题将被作为一个重要议题被展开讨论。Solnik和其他研究人员将分别演示智能手机的黑客技术,希望通过这种方式能够将智能手机推上网络安全的新阵地。
