GSM手機(jī)安全,不該遺忘的“角落”
近日,德國(guó)安全公司安全研究實(shí)驗(yàn)室(SRL)的研究顯示,全球多達(dá)80%的用戶所擁有的GSM手機(jī)可能極易遭受新一輪高水平黑客的攻擊。由于世界上80%的手機(jī)使用GSM網(wǎng)絡(luò),因此這則消息使很多人感到吃驚和不安。現(xiàn)在,當(dāng)我們把更多關(guān)注的目光投向3G手機(jī)安全時(shí),不要輕視了GSM手機(jī)的安全問題。
在東歐、非洲和亞洲,針對(duì)通信線路的攻擊已經(jīng)出現(xiàn)。例如下面這一幕:騙子們通過侵入某家公司的電話系統(tǒng),然后無限次撥打一個(gè)服務(wù)號(hào)碼來獲得服務(wù)費(fèi),而被侵入的公司也往往是到了月底電話賬單核對(duì)的時(shí)候才會(huì)發(fā)現(xiàn)問題。“這些網(wǎng)絡(luò)的安全情況總體令人擔(dān)憂。”德國(guó)安全公司安全研究實(shí)驗(yàn)室的KarstenNohl表示,“GSM網(wǎng)絡(luò)目前看來是移動(dòng)生態(tài)系統(tǒng)中最薄弱的一環(huán),甚至比問題多多的Android和iOS設(shè)備更值得憂慮。”
手機(jī)成“手雷”
手機(jī)安全問題主要涉及兩個(gè)方面:一是手機(jī)用戶通話安全保密,二是手機(jī)支付消費(fèi)時(shí)賬戶金額安全。
在手機(jī)用戶通話安全保密方面,只要在網(wǎng)絡(luò)上搜索一下,就會(huì)發(fā)現(xiàn)很多不法分子在兜售所謂能竊聽手機(jī)通話的“GSM阻截器”,只要幾百元就可以購(gòu)買一套。一位技術(shù)人員說:“竊聽在理論上是能夠?qū)崿F(xiàn)的。如果要竊聽誰(shuí)的手機(jī)信號(hào),可以與對(duì)方同處一個(gè)小區(qū),攔截這個(gè)小區(qū)基站負(fù)責(zé)的所有信號(hào),然后按照密鑰實(shí)施"破譯",那么,目標(biāo)手機(jī)所發(fā)出的一切信息都會(huì)記錄在"破譯"出的一組數(shù)字中。竊聽者需要做的,無非是從一串"1"和"0"中讀出自己所需要的信息。”但是北京郵電大學(xué)信息安全中心主任楊義先教授說:“盡管如此,普通的GSM用戶不用擔(dān)心自己的通話被人竊聽。雖然在理論上能夠?qū)崿F(xiàn)監(jiān)聽,但現(xiàn)實(shí)中這種監(jiān)聽的成本相當(dāng)大,不僅需要購(gòu)買GSM攔截器,還要諳熟破譯密碼的知識(shí),需要有很多人的幫助才能實(shí)現(xiàn)。投入如此大的人力、物力來監(jiān)聽普通用戶的通話,顯然得不償失。”
雖然在竊聽通話方面,普通用戶并不需要擔(dān)心自己的手機(jī)安全保密問題,但是隨著手機(jī)支付功能的日益普及,手機(jī)變得不再是一個(gè)簡(jiǎn)單的通信終端,而成為一個(gè)功能強(qiáng)大的智能終端。現(xiàn)在,在麥當(dāng)勞、星巴克、地鐵站等地方,使用手機(jī)支付已經(jīng)不是夢(mèng)想,甚至它的支付功能還擴(kuò)展到了更多其他場(chǎng)所。在手機(jī)內(nèi)部植入NFC芯片,用戶能在乘公交車、軌道交通、出租車時(shí),直接用手機(jī)刷卡扣費(fèi),進(jìn)行小額消費(fèi)。國(guó)家信息安全技術(shù)工程研究中心總工程師郭曉雷稱:“我國(guó)的GSM運(yùn)營(yíng)商目前在手機(jī)用戶身份認(rèn)證、鑒權(quán)方面采用的都是保密程度較弱的密碼,而在用戶語(yǔ)音通信方面根本沒有采用加密的方式。加密算法被破解,即使不影響我國(guó)GSM手機(jī)用戶的語(yǔ)音通信,但當(dāng)GSM手機(jī)用戶在支付和驗(yàn)證身份時(shí),可能會(huì)受到不法分子的潛在威脅。”郭曉雷還表示,用戶使用手機(jī)支付和操作手機(jī)銀行的過程中,儲(chǔ)存在SIM卡中的機(jī)主身份信息會(huì)發(fā)至運(yùn)營(yíng)商進(jìn)行身份認(rèn)證和權(quán)限認(rèn)證,一旦認(rèn)證的加密算法被破解,不法分子利用工具就會(huì)從中截獲機(jī)主與運(yùn)營(yíng)商之間的確認(rèn)信息,從而在不用獲取手機(jī)SIM卡的情況下,非法獲取儲(chǔ)存在SIM卡中的機(jī)主身份信息。這樣,不法分子就可以克隆出SIM卡,冒充機(jī)主進(jìn)行支付和消費(fèi)。
提高用戶防范意識(shí)
那么,如何防范不法分子利用手機(jī)來實(shí)施危害個(gè)人隱私及金融安全的犯罪行為呢?建議用戶在日常操作中注意以下幾點(diǎn),做到防患于未然。
確認(rèn)手機(jī)下載站點(diǎn)的安全可靠。利用藍(lán)牙、紅外線等無線傳送功能接收信息時(shí),要注意選擇安全可靠的傳送對(duì)象。如果有陌生設(shè)備搜索請(qǐng)求連接時(shí),最好不要接受。接收到亂碼短信、彩信時(shí)應(yīng)該立即刪除。可瀏覽網(wǎng)頁(yè)的手機(jī)盡量不要瀏覽個(gè)人或是陌生的不知名小網(wǎng)站,這些網(wǎng)站中經(jīng)常隱藏有含病毒控件與惡意代碼。在日常使用手機(jī)中,除了要盡量少?gòu)木W(wǎng)上下載信息外,還要隨時(shí)注意監(jiān)測(cè)手機(jī)的異常情況。
留心監(jiān)測(cè)短信是否染毒。短信息的收發(fā)作為移動(dòng)通信的一個(gè)重要方式,也是手機(jī)感染病毒的一個(gè)重要途徑。手機(jī)用戶一旦接收到帶有病毒的短信息,閱讀后便可能會(huì)出現(xiàn)手機(jī)被感染病毒、手機(jī)卡被破壞等嚴(yán)重后果。所以,不要輕易打開、更不要轉(zhuǎn)發(fā)陌生人發(fā)送的短信息,最好及時(shí)刪除。如果手機(jī)發(fā)生異常無法使用,則應(yīng)立即與手機(jī)服務(wù)商聯(lián)系,請(qǐng)求專業(yè)幫助。
隨時(shí)注意手機(jī)是否出現(xiàn)亂碼等異常情況。當(dāng)收到電話時(shí),屏幕上顯示的如果不是來電電話號(hào)碼,而是別的字樣或符號(hào),就有可能是手機(jī)遭到了病毒攻擊。如果遇到這種情形,用戶可以選擇不回答或立即把電話關(guān)閉。如果接聽來電,則會(huì)感染上病毒,機(jī)內(nèi)所有設(shè)定都可能遭到破壞。
配置RFID互識(shí)別卡
運(yùn)營(yíng)商還可以通過限制手機(jī)最高支付金額來降低被染毒手機(jī)用戶的損失。如果手機(jī)丟失或被盜,其支付功能就面臨被不法分子惡意盜用的危險(xiǎn)。所以,在歐美等國(guó)家,GSM運(yùn)營(yíng)商在提供手機(jī)支付功能時(shí),紛紛對(duì)大額支付采取了謹(jǐn)慎的態(tài)度。一般情況下,手機(jī)支付功能只限于購(gòu)買飲料、食品等小物品,以及在公共交通工具上刷卡。
對(duì)于其他的解決辦法,北京郵電大學(xué)經(jīng)濟(jì)管理學(xué)院院長(zhǎng)呂廷杰表示,全球歸納為兩大類,最受推崇的是利用無線射頻進(jìn)行身份識(shí)別(RFID)的技術(shù)。呂廷杰稱,應(yīng)用RFID技術(shù)時(shí),保證安全的方法之一是在購(gòu)買手機(jī)時(shí)要另外配置一張卡,這張卡同RFID相互識(shí)別,用戶將卡放在錢包或身上的任何一個(gè)地方,手機(jī)只要在距用戶1米的范圍內(nèi),都可以正常工作。但如果手機(jī)丟失或被盜,離開機(jī)主距離超過1米,手機(jī)便鎖定不再工作。
此外,日本和韓國(guó)現(xiàn)在流行的指紋識(shí)別技術(shù)也是一種辦法。此前,筆記本電腦用戶可以用指紋識(shí)別技術(shù)開機(jī),現(xiàn)在,當(dāng)用戶購(gòu)置一部新手機(jī)時(shí),先將自己10個(gè)手指的指紋記錄到手機(jī)中,自此用戶可用任何一只手來接打電話、收發(fā)短信、支付、開自家門鎖等,但手機(jī)一旦離開用戶就停止工作。
【編輯推薦】
