随着智能化的发展,传统PC机上的应用,包括网络购物、办公处理、视听娱乐等逐渐转移到智能手机上。此外,由于智能手机的固有特色,比如丰富的传感器资源(摄像头、GPS、重力传感器等)、多元的通信方式(短信、彩信、蓝牙、WIFI等)等,使得其相比传统PC机,拥有更为纷繁复杂、多样化的应用程序类型。然而,智能手机丰富的资源在增强用户体验的同时,也为攻击的发起创造了条件。Android平台现有的攻击基本都是通过滥用系统的关键资源发起的,比如Android平台最常见的攻击模式之一“恶意吸费”,就是通过滥用系统中的短信资源发起的,中央电视台(CCTV)于2012年4月8日对此攻击做了一个专题报告,其中提到一款称为“食人鱼”的恶意代码,每年从用户账户偷偷吸费5,000万元。恶意吸费等攻击可能给用户带来严重的后果,但是只要用户把控好APP安装和授权的关口,阻止应用程序访问不必要的资源,便可有效防止这些攻击。具体应该注意如下几个方面问题:
(一)增强安全意识并掌握基本的安全知识。
用户自身应该增强安全意识,对移动终端的安全知识进行基本的了解,就APP的授权管理而言,包括如下三个方面:1)移动终端哪些资源的滥用可能引起财产或其它损失。比如短信/电话等资源的滥用可能引起恶意吸费、GPS/摄像头等传感器资源和WIFI/蓝牙/短信/彩信等网络资源的使用可能会造成隐私泄露等。2)移动终端是否提供了相关的机制进行资源保护,用户如何利用这些机制进行资源保护。比如Android系统提供了Permission机制进行系统资源的保护,Permission机制在应用程序安装时将程序申请的所有权限告知用户,由用户选择是否授予相应的权限。用户可以充分利用Android的Permission机制,进行应用程序的授权管理。3)权限和资源之间的对应关系如何。在利用系统的资源保护机制(比如Permission机制)进行访问控制时,用户需要对资源和应用程序申请的权限之间对应关系有个基本的了解,比如短信发送权限对应短信资源、Internet访问权限对应网络资源。
(二)非必要情况,不要对智能手机进行“越狱”或“ROOT”操作。
现有的智能手机操作系统都提供了相关的安全机制来保护系统,防止恶意应用程序的安装和系统资源的滥用,“越狱”或“ROOT”操作可能破坏系统自身提供的安全机制。比如正常的iPhone手机提供了安全机制来保证只有Apple Store上的APP程序才能在手机上安装和使用,“越狱”后手机便失去了这层保障,可任意安装iOS APP。由于苹果引入了很强的APP审核机制,Apple Store上的应用程序大部分都是安全的,而其它第三方程序则无法保证安全性。因此,基于iPhone手机提供的安全机制便可将大部分恶意代码拦阻在手机之外。
(三)谨慎地进行APP的安装。
首先,用户应该选择从正规的APP市场下载程序进行安装,比如Apple Store、Android 的Google Play等。由于Apple、Android等都引入的相关的审核机制,对公布到正规APP市场上应用程序进行了审核,因此这些APP市场上的应用程序相对比较安全。统计数据也显示,大部分的攻击代码都是从非正规的第三方市场上公布的。
其次,用户应该谨慎地进行APP的安装。以Android系统为例,用户可以免费下载Google Play中的全部APP,满足自己的日常需求,如游戏、导航、电子书阅读等APP。Android系统要求APP在安装时,声明APP运行时的各种行为和期望拥有的各种权限,如网络通讯行为,包括查看WLAN状态等完全的互联网访问权限;存储行为,修改、删除SD卡内容;手机通话,读取手机状态和身份等行为与权限。用户在安装APP时候,能够清晰地看到APP声明的全部行为和权限,用户也有权利允许或者拒绝APP所要求的权限。所以,用户自身在应用程序安装时应该认真查看应用程序类型及其申请的权限,判断是否有申请不必要的权限,如果有则要谨慎选择是否安装。
