■本报记者 武晓莉
手机硬件的恶意程序、吸话费吸流量恶意程序、骚扰及诈骗短信和电话、个人隐私窃取、银行卡信息窃取等手机安全问题,是随着近些年智能手机不断普及和网络技术的逐步提升而逐渐凸显出来的新问题。而解决手机安全问题的方法,不外乎制度、法规、监管、技术、行业自律以及消费者教育等。
手机安全问题备受关注
此前不久,上海市委、市人大、市政协开始使用国产电信版加密手机来规避信息泄露风险,这件事又把手机安全的话题摆上了台面。一位北京的智能手机用户对记者说:“回想之前的棱镜事件、监听事件,再想想自己在手机上买东西、办理理财转账等银行业务,真是对手机安全捏着把汗。公务员换加密手机,一定是他们知道现在的手机都不安全吧。”
的确,除了上述手机安全问题外,由于移动互联网对各行业的渗透越来越高,已经涉及金融、水利、电力、政务等领域,再加上信息安全事件频发,互联网安全引起了政府部门的高度重视,消费者也因为越来越离不开手机而更加担心手机不安全。
上述那位智能手机用户说:“无法想象,我的手机要是被黑了,我都不记得有多少生活中的东西是绑定在上面的。所以现在正考虑着解除一些银行卡的绑定,心里不踏实。”
广州的COCO女士更是遭遇了“手机惊魂”,她对记者说:“我收到一个不知道是干什么的网站的注册邀请,是打着我妹妹的旗号推荐的,我一看,我俩的照片、手机号全都在上面。我问我妹妹,但她根本就不知道是怎么回事。这太吓人了!”
芯片是安全的关键部位
上述那批加密手机,其原理是通过在手机里增加一块安全芯片,实现语音通话的加密功能。业内人士认为,从硬件层面而言,由于其核心芯片依然采用了通用型芯片方案,无法实现数据传输等加密算法,依然存在手机信息安全的隐忧。
展讯通信有限公司市场推广总监周伟芳对记者说,从技术层面讲,手机芯片是手机安全的关键部位。他指出,我们关注手机安全一般都集中在操作系统、软件、运营商网络等方面,而忽略了芯片本身的安全问题。作为手机终端的核心部件,任何操作和应用都离不开芯片的参与,它和安全息息相关,是所有安全的基础。一台手机如果安装了防火墙和加密芯片是否就安全了呢?答案是否定的。
周伟芳举例说,从硬件上看,如果黑客在手机芯片设计中埋入后门模块,就很容易直接获取到诸如语音、视频等各种数据,甚至可以实时窃取各种信息,因为这些都是在芯片层面就可实现的功能。使用软件防火墙和第三方加密芯片对此无法防范,甚至于在手机关闭电源后,后门模块一样可以继续独立工作,通过信号指令,传送手机数据,造成用户信息泄露。
从软件上看,Android、IOS之类的操作系统是大家比较熟悉,也是获得关注较多的系统;和运行的各种App应用一样,通常可以通过要求厂家开放源代码来进行检查。不过有个地方大家往往有所忽略,那就是芯片内运行的系统和软件,通常是固化在芯片ROM内的,代码无法被验证,即使厂家开放源码也不能保证芯片内固化的就是同一份代码。这是一个防火墙和第三方加密芯片都无法控制的“黑匣子”,真正的安全只有芯片设计公司才能掌控。
芯片层面安全可控是根本
现有手机芯片具有高集成性的特点,不仅具有通信功能,还涉及定位(GPS)、数据联结(Wifi、蓝牙等)。由于涉及个人隐私面广,因此如果在手机芯片内被植入恶意模块,破坏性就更大,例如电话被随时监听、支付账号被盗用、个人信息被窃取等。更有甚者,通过手机后台操作可能导致爆发性泄密等灾害事件。而由于芯片的高集成度,从物理上检验芯片是否内置了恶意模块基本是个不可能完成的任务,只有从源头上杜绝和防范才是可行的方法。
随着互联网信息技术的进一步发展,缺乏信息安全建设的国家和政府将再无任何秘密可言。真正做到“自主可控”,对未来国家信息安全有着更重要的意义。
目前,具备中国自主知识产权的安全可控的技术、方案和产品等领域都具有了一定储备。展讯作为一家中国芯片设计公司,在国家科技重大专项和信息安全领域与国家发展改革委员会、工业和信息化部等相关部门都有着良好的合作,与酷派、华为、中兴等众多中国本土品牌在产品研发方面也都有着广泛的合作。
随着政府有关部门的进一步推动,企业研发的进一步加速,以及政府对于进一步启动自主可控的信息安全产品进一步重视,我国的信息安全建设也将进入一个全新的发展阶段。
●相关政策
工信部六项措施保安全
工业和信息化部通信保障局副局长李学林日前表示,针对手机安全问题,工信部采取了六项主要措施。
一是健全规章制度和标准,提高移动互联网和移动智能终端安全防护能力。近年来,工信部制定了《通信网络安全防护管理办法》等规章,建立了网络风险评估和安全防护检查制度,制定了一系列相关标准,发布了《关于加强移动智能终端管理的通知》,加强进网环节移动智能终端操作系统和预装应用软件的安全管理,提高手机终端安全防护能力。近期,工信部还将制定出台《关于加强电信和互联网行业网络安全工作的指导意见》,进一步强化移动互联网的安全管理工作。
二是加强应用商店安全管理,落实应用商店安全责任。工信部正在通过监督检查和研究制定应用商店安全管理办法,明确应用商店安全责任,督促应用商店应当建立健全应用程序开发者真实身份验证、应用程序安全检测、社会监督举报、恶意程序下架等安全管理制度。
三是加强移动应用程序源头管理,推动建立移动应用程序第三方数字签名认证机制。基于安卓系统应用程序占手机应用程序多数的现状,工信部正在研究探索建立移动应用程序第三方数字签名认识体系的可行性,实现移动应用程序的防篡改和可溯源。目前正在指导中国互联网协会、电信终端测试技术协会、电子认证服务产业联盟等,按照试点工作方案,组织部分应用程序开发者、应用商店、安全软件厂商、手机终端厂商和电子认证服务机构参与试点。
四是开展移动恶意程序监测处置工作,维护互联网安全环境。为了在网络上发现移动恶意程序,并切断恶意程序控制端和下载链接,工信部指导国家互联网应急中心、中国电信、中国移动和中国联通三家基础电信企业建设了移动互联网恶意程序监测处置平台,为及时发现、处置移动恶意程序发挥了重要作用。今年上半年,国家互联网应急中心发现移动恶意程序新增数量超过36.7万,协调运营商和域名注册管理服务机构切断了恶意程序对235万感染手机用户的控制。今年8月2日,三家基础电信企业和国家互联网应急中心通过监测处置平台,第一时间发现并及时处置了“XX神器”恶意程序,有效防止了其大规模传播和信息窃取。
五是促进行业自律,加强用户安全宣传教育。指导中国互联网协会等行业组织通过自律公约等多种形式,建立应用程序黑白名单、应用商店信誉评估、恶意程序社会公众监督举报等机制,加强行业自律,规范企业行为。积极指导和督促有关行业协会组织、基础电信企业充分利用网络媒体、营业厅等各种手段加强对用户的网络安全宣传教育和技能辅导工作。
六是多部门联合开展专项行动,打击治理移动恶意程序。为了维护网络和信息安全,净化移动互联网安全环境,保护用户合法权益,工信部联合公安、工商部门,于2014年4月至9月在全国范围内组织开展了打击治理移动互联网恶意程序专项行动,按照各自职责,充分发挥各自优势,建立协调配合机制,集中整治移动恶意程序,打击利用恶意程序从事违法犯罪的行为。目前各地通信管理局已组织抽查了部分应用商店,抽测应用程序10万余个,发现恶意程序3700多个,并通知有关应用商店进行下架处理。(夏冰)
●相关新闻
企业签署手机安全八大承诺
本报讯(记者武晓莉)日前,《人民邮电》报社召开了以“新形势·新特点·新思路”为主题的“2014手机安全研讨会”。会上,运营商、安全厂商和移动互联网企业共同签署了手机安全八项承诺。
据悉,来自工业和信息化部、中国电信、中国联通、国家计算机网络安全中心、工信部电信研究院、北京邮电大学、南京邮电大学、手机安全软件企业、手机终端制造企业、互联网企业的相关代表齐聚一堂,为进一步维护网络和信息安全,净化移动互联网环境,保护手机用户合法权益献计献策。
中国电信、中国联通、中兴通讯、奇虎360、酷派、百度、腾讯、中邮世纪的企业代表共同签署了手机安全八大承诺。一是不断增强本企业业务范围内的监测处理能力,完善恶意程序监测与处置技术手段,落实网络安全责任。二是建立健全恶意程序、垃圾短信、恶意链接等举报和处理机制。当发现手机安全隐患(例如用户手机流量异常激增、大量群发短信,监测并确认恶意链接大量传播等)后,第一时间向本企业用户提供信息提示和查杀技术咨询服务。三是通过技术手段对垃圾短信、病毒短信内容关键词进行分析、过滤、封堵,切断这些短信的传播途径。四是不在手机中预装恶意程序,不将预装的一般程序设置成系统程序,支持用户可自主删除预装的非系统类程序。五是未经用户许可,不私自获取并上传用户的手机号码、通讯录、通话记录、短信、位置等隐私信息。六是未经用户许可,不向用户强制推送广告,不强行篡改手机浏览器主页。七是不诱骗或误导用户安装应用程序,未经用户许可不在手机后台擅自下载并安装应用程序。八是妥善保管本企业在业务活动中合法收集的公民个人电子信息,确保不泄露、毁损、丢失。一旦出现信息泄露、毁损、丢失的情况,立即采取补救措施。