相信现在有许多人和小黑一样,都比较关注于手机的配置方面,而对于手机安全隐患的理解还是比较生疏。我们总是单纯的以为,只要不点开非法网站,不下载钓鱼软件,手机被黑的风险就与我们无关。但黑客的套路总是防不胜防,有时候你什么也没做,可能你的手机就已经被入侵了。今天小黑就和大家说一说关于手机安全的那些事。
去年在拉斯维加斯的“黑帽安全大会”上,谷歌公司Project Zero项目研究员纳塔利·西尔瓦诺维奇(Natalie Silvanovich)展示了一系列“ 无交互漏洞 ”。
可能大家对“无交互漏洞”这个名词还是比较陌生,但其比起一般的漏洞来说要更加可怕。就算用户没有在手机上进行任何操作,用户的手机依然存在被黑的风险。哪怕是像WhatsApp这样的通讯APP也曾出现过类似的漏洞,不需要用户应答,黑客也可以通过拨打电话的方式入侵用户手机。
那么究竟是什么原因可以让黑客通过这种“无交互漏洞”肆无忌惮侵入用户手机呢?一开始谷歌研究院尝试通过手机的短信、彩信、可是语音信箱中找寻突破口,但最后一无所获。后来研究员对iMessage进行了分析,没想到却有了重大的收获。
研究人员在iMessage里发现了一系列的“无交互漏洞”,黑客们能够通过这些漏洞远程执行恶意代码,读取用户数据。其中有一个漏洞非常特殊,黑客们会发送一条特制的信息给目标用户,iMessage服务器就会回复特定的数据,这些数据里可能是用户的短信或是图片等。
这种侵入方式可以说是防不胜防,用户甚至不需要打开iMessage,手机就被黑了。虽然苹果的iOS有防止类似入侵的保护措施,但由于这种“无交互漏洞”利用了iMessage系统的底层逻辑,所以能够轻松骗过iOS设置的层层防护。
但是为什么iMessage会出现这样的漏洞呢?原因其实不难解释,因为iMessage是一个功能过于复杂的平台。不仅能发送消息、表情包、照片、视频,还有第三方的APP接入,连接用户手机上的各种应用。这些功能的扩展和应用的关联都增加了iMessage被侵入的风险。
谷歌的研究人员表示,其实iMessage的整体安全性已经相当强了,但这种漏洞就是抓住了应用设计层面的问题。像iMessage这样的多功能程序,每一个程序库都有可能成为额外的黑客入侵点。强如苹果都会遇到这样的麻烦,那其他的开发者也难逃攻击。
今年安全研究中心ERNW发布公告称,部分Android系统中发现了重要的安全漏洞。该漏洞主要存在于Android8.0和Android9.0等旧版的安卓系统中,名称为“BlueFrag”。
而“BlueFrag”也是一种无交互漏洞,在运行旧版安卓系统的手机中打开蓝牙功能,附件的黑客便可以根据WiFi Mac地址渠道来挖掘出用户的蓝牙Mac地址。利用“BlueFrag”漏洞,在不需要用户交互的情况下将恶意程序通过蓝牙方式传送到用户的手机中。该漏洞不仅有丢失个人隐私数据的风险,还为不法分子传播病毒或恶意软件提供了便利。
虽然很多通过漏洞的入侵并不是我们普通用户能够抵御的,但小黑还是帮大家整理了一些能够避免被黑的方法。第一也是最简单的方法,尽量不要下载安装一些不明来源的软件。小黑建议大家还是去每个手机自带的App Store里下载软件,这样病毒软件也会被拦截下来。
第二,软件的权限设置。我们每次下载好APP时,都会被要求给到一些权限,包括读取位置信息、读取联系人、通话记录、摄像头、录音等等。权限多到你无法想象,而你也不知道这些APP用这么多的权限做了些什么。所以学会管理APP的权限也是至关重要的。
第三,开启浏览器的无痕浏览。有时候我们仅仅只是在浏览器上查询了一些信息,不久后就会有骚扰电话打过来,而且对方甚至还知道你的姓名,但我们却明明没有输入过这些信息,其实我们的浏览记录是非常容易泄露出去的。那么开启无痕浏览后,随时删除浏览器的浏览记录会很有效的帮助我们避免骚扰。
最后,手机自身的安全性能也非常值得注意,比如手机的生物识别。华为的指纹解锁之所以安全,是因为早在Mate7开始华为就在麒麟芯片上集成了安全单元,用来存储用户的原始指纹数据,并且所有指纹和指纹对比全部放在芯片的Trust Zone中完成。
手机中的支付保护也时常被用户们所忽略,而早在2016年时,华为的麒麟芯片就获得了央行支付安全认证机构和银联的金融安全认证。所以华为手机会在你是用支付功能时,提醒你开启支付保护,来检测你的支付环境是否存在风险。所以选择一个安全性高的手机,也是一个保护自己隐私不受入侵的方式。
毕竟我们现在存于手机中的隐私文件越来越多,如果因为这样的“无交互漏洞”被黑客入侵了,也许会引起许多不必要的麻烦。虽然开发者们在不断的修复排查漏洞,但也很难阻挡住黑客的脚步。如果大家想避免被黑客入侵,尽快更新手机的操作系统和应用程序也不失为一种好办法。
