專家提醒:移動設備激活需注意安全問題
數以百萬計的智能手機和平板設備因為圣誕、新年的來臨而送出,這些產品被激活后也將吸引網絡犯罪分子和應用程序制造商。移動設備的用戶在激活設備時需要注意哪些問題呢,請關注我們接下來為您總結出來的幾點建議:
不要完全相信,你的移動設備上的活動是安全的!
手持設備現在已經足以支持一系列的新功能。近場通信(NFC)技術可以讓用戶用移動設備完成支付,而這樣可能暴露敏感的金融信息和地理數據,這些數據往往與一些應用程序綁定在一起,帶來了數據隱私問題。
去年,專家估計在圣誕期間有6.8億移動設備拆箱,而隨著新機型不斷出現,市場上移動設備的增長速度也持續攀升。據趨勢科技透露,往往是那些剛獲得新設備的用戶沒有考慮到如何減輕第一次激活時的隱私問題和安全風險。該安全公司發出的信息圖表(infographic)概述一些基本的步驟,新設備所有者可以參考這些步驟為新設備提供足夠的保護。
應用程序陷阱
智能手機應用使設備功能更強大。雖然設備瀏覽器可用于購買或登錄大多數網上銀行,但應用程序提供了額外的功能和使設備的便捷性超越了瀏覽器。專家稱,安全方面的顧慮是有理由的,因為大量研究已經證明了大量數據都是通過合法的智能手機應用程序收集。數據顯示,從聯系人記錄和位置數據,到瀏覽歷史記錄和設備的使用情況,這些信息都可以與第三方的廣告和營銷公司共享,其中對于隱私問題的擔憂使人覺得需要利用控件限制入侵行為。
在2012年的黑帽大會上接受記者采訪時,Appthority總裁兼創始人Domingo Guerra就此問題談到:“開發商要賺錢,消費者要免費的應用程序和廣告網絡會讓開發人員提供有意思的的數據,”Guerra說。
專家稱,當一個應用程序安裝完成后,用戶應密切關注該應用程序的權限要求。根據不同的應用,用戶可以選擇簡單地對某些數據的權限允許或拒絕其權限請求。請記住,拒絕許可往往會限制應用程序的功能。趨勢科技指出,一些游戲應用程序只是簡單地請求獲取位置信息從而為廣告客戶提供信息。在安裝應用程序之前,檢查其評級,并確保它出自合法的程序員之手。
如果向一個十幾歲的青少年推薦智能手機呢?有些免費的應用程序不一定是免費的。有些游戲限制應用程序的功能,提示用戶在應用程序內購買,這樣便可以迅速促使客戶用信用卡消費。幾乎所有設備都具備一個禁止應用內購買的功能。
如果您的電子郵件帳戶憑據被盜,安全專家也提倡使用更好的密碼管理方法將損失降到最低。為每一個要求出具憑據的社交網絡和服務設置一個不同的密碼。使用字母,數字和字符的組合。考慮用密碼管理器管理復雜的密碼。
丟失,被盜的設備呢?先告知公司的IT部門
許多專家說,目前丟失或被盜設備才是數據安全問題的最大威脅。雖然大多數的小偷都試圖清除設備信息后進行銷售,但是沒有設置密碼保護的智能手機或平板對任何人都敞開大門。蘋果,谷歌和微軟提供了設備位置搜索功能,在大多數情況下,該功能已被啟用。
也可以使用遠程擦除功能。一些安全應用程序提供遠程擦除功能。例如,除了找到丟失設備的位置,位于舊金山的Lookout Inc.可以遠程鎖定和擦拭Android設備。它甚至可以清除設備中包含個人數據的SD卡。
如果設備丟失或被盜,第一時間要找的不是運營商。如果您的設備可以訪問企業信息,如工作聯系人列表,工作應用程序和電子郵件,企業的CISO們都提倡設備不見后應第一時間與企業IT部門取得聯系。第一時間告訴運營商可以將設備從運營商的網絡中移除,還會使企業IT部門喪失清除設備數據的能力。
近場通信
安全研究人員已經在支持NFC近場通信技術的新設備上發現了很多漏洞。研究人員Charlie Miller發現,在某些設備上,在特定條件下,默認設置會一直開放通信信道,這樣一來,NFC就可能被精明的攻擊者用來接入帶有此功能的設備。他演示了如何利用設備弱點獲得瀏覽器訪問權限并竊取密碼和其他帳戶的憑據。
NFC旨在使用無線設備在較短半徑的距離內進行通信以提供各種功能。可以用它共享文件,如在兩個設備之間共享照片或數字名片。支付行業看到了它在數字錢包支付功能方面的潛力,這樣設備用戶將設備與支付平臺綁定就可以完成日常支付。Miller是在基于Android的諾基亞N9和Nexus S三星智能手機成功演示了NFC攻擊。大量Android設備和最新的諾基亞WP電話都支持此技術。
專家認為成為NFC攻擊對象的風險不高,因為攻擊者需要在短距離內接觸受害人。補丁管理是專家一貫倡導的一項移動安全建議。保持設備與最新固件一起更新——有時說起來容易做起來難。要持續更新使用NFC技術的智能手機應用程序。啟用設備鎖定功能,設置一個訪問密碼。通過啟用密碼功能,設備持有者也可以啟用加密功能。
限制信任,持續驗證
智能手機操作系統在設計的時候考慮到了安全問題。沙盒技術使得攻擊者難以突破瀏覽器的權限訪問正在運行的進程,應用程序都必須具備一個數字證書,以便設備能夠驗證其真實性,移動應用程序商店通常會對是否存在嚴重威脅進行審查。一般而言,惡意應用程序——主要來自第三方的應用程序商店——以及移動設備的攻擊——存在吸費陷阱的短信木馬程序——都已經被安全公司檢測出來。
部署基本的安全措施有助于減小成為受害者的幾率。不要完全認為你的移動設備上的活動是安全的。不要點擊不受信任來源的鏈接。從朋友或同事得到一個隨機的鏈接或附件要在打開之前,要先檢查一下。確認您手機瀏覽器訪問的網站合法,特別是當它請求出具憑據的時候。使用安全度高的密碼并限制某些應用程序的權限。
原文地址:http://searchsecurity.techtarget.com/news/2240175291/Unwrapping-a-new-smartphone-Experts-deliver-device-security-tips
