2014年7月17日 星期四

[網二] 6/10 做運動不忘要保密!資安專業為你解析智慧型手機通訊安全

繼 2013 年 8 月請到自稱不是駭客的 Allen Own 談「個人電腦/網站的資訊安全」(活動紀錄)後,今年 6 月我們再度邀請他,來為非營利組織工作者分享:在這個人手一支智慧型手機的行動時代,如何可以確保工作與個人的資訊安全。(活動頁面,內有現場錄影)


智慧型手機越來越像一台小電腦,可以多工處理不同需求,同時使用者的敏感資料也多存放在手機硬體或雲端上。那麼,手機是否會像電腦一樣,容易中毒?又該如何預防?

(以下請搭配簡報檔閱讀,例如 p. 10 就是簡報檔第 10頁。簡報檔右下角的頁數可以直接輸入數字跳轉。)


目前手機的作業系統主要有:

(1)Google, Android.

  • 市佔率最高:越多人使用的系統,越有可能比較多病毒。但不同的手機型號,就得開發不同的病毒程式。與眾多手機廠牌合作,如 ASUS, HTC, Samsung 等等,過去各家廠牌會自訂 Android 系統,比較符合品牌形象與特定功能,但也容易發生各家硬體無法讓系統同時升級,造成版本不一、硬體裝置多元的狀況
  • 目前,Google 趨向讓 Android系統封閉、減少自訂彈性,讓最新的硬體及系統可以同步升級。好處是,系統升級本來就是預防資安的一環;壞處是,不同版本的作業系統一致化,會造成駭客容易攻擊(只需要製作一款病毒,即可攻擊同一系統版本),所以這二年的手機惡意程式可能會爆增
  • 為了防範惡意程式,Google 可以隨時遠端遙控通知、刪除使用者手機中的惡意程式,這樣的行為是否對隱私權構成更大的侵害與恐怖?
(2)Apple, iOS:以封閉的作業體系著稱,所以病毒較少。

(3)Microsoft, Windows Phone:市佔率較低,病毒也較少。


幾種手機中毒的案例

通常手機會中毒,是因為裝載在其中的 App 有一些安全漏洞,使用者的資料可能因此被抓取或洩漏出去。或者以前記憶卡中的資料,沒有任何防護,而能被其他 App 讀取(p. 94)。例如目前有些國內的網路銀行和線上購物的 App,就把使用者的信用卡資料直接儲存在 sd 卡上,沒有加密,很容易被具有攻擊企圖的 App,撈走資料。



但安全漏洞不一定對使用者造成直接的傷害,因為開發者可能是沒有相關的安全保護知識,導致漏洞出現,並非惡意。或者網頁版本與手機版本的設定不一致,導致有些隱私資料在手機版本被公開讀取(p. 64)。所以 App 開發者應該將「安全測試」作為開發的檢查項目之一。


發生過有些企業開發 App,卻沒有做好安全措施,於是透過 App 需要傳輸資料的通道而被駭(p. 70)。

或是:駭客透過社交工程和持續、縝密的計劃,有機會透過偽裝變身為常用程式,讓手機在一出廠時裡面就有惡意程式(p. 68)。

病毒也可能透過手機的記憶卡當跳板,轉移到不同用來充電的電腦,國外就有偽裝成可以充電的裝置來盜用資料。

現在也有不少 App 提供套裝服務,在 App 內可以加裝其他廠商推薦的 App,這些安裝有可能繞過系統商的檢視,造成危險。


Android 防護設定(p. 108):做好手機設定,可以降低安全風險。

Android 裝置管理員

  • 另外在這個項目裡面,不要隨便新增不信任的 App:檢查有無其他自己不知道的程式。
安全和方便性往往是相抵觸的。所以手機加密或鎖定,還是要設定一下比較好。另外人臉辨識解鎖的部分,可能會被用照片解開。

安全性→不明的來源:請不要勾選,不要隨便安裝不明來源的應用程式。

安裝 App 時,請留意「軟體權限」(p. 30):譬如有些 App 的功能很單純,卻需要使用者授權很多個人資訊,這時候就要小心這些資料被讀取後,會被如何使用?例如:「衛士 360」會存取很多防毒功能並不需用的使用者資料;紅米的小米機也會定期回傳使用者的程式清單。

另外,Google Play 裡面的 App 說明,為了讓使用者容易親近,說明簡化了,但其實使用者更應該仔細閱讀「軟體所能取得你資料的權限」。

USB 偵錯:這是開發人員會用的功能,平常請不要打開使用,否則手機一旦連上電腦,就能把整台裝置的鎖定解開,很容易被竊取資料。




其他注意事項

將手機越獄和 root:其實就是攻擊作業系統,繞過原本的安全建制。所以如果不懂資安、不會保護自己,最好不要任意越獄和 root,反而會使手機的防禦非常脆弱。

遺失手機(p. 79):除了前述的 Andriod 系統之外,iOS用戶也可善用雲端遙控手機,使用 Find my iPhone (官方教學)功能。透過任何一台電腦,打開 iCloud.com 的網頁,就可以命令手機「響鈴、鎖機或清除資料」,這是保護自己資料的重要方法。

BYOD 的安全風險(p. 80):越來越多員工會帶自己的裝置上班,容易混亂原本企業內部的安全設定。

手機的防毒軟體:受限於手機運算的空間及權限,大多在做黑名單的比對,透過雲端運算來進行偵測。例如今年3月,中華電信與趨勢科技合作的「行動安全防護」
 
 手機中毒後:最好「回復原廠設定」,和電腦一樣,確保沒有病毒藏匿其中。


現場 Q&A

通訊安全:GTalk 上面的資料是有留存的,但國家是否可以要到這些資料?如果有正式的法律程序,可能配合調查而被要到。另外,國家是否有攔截通訊軟體的技術力?一般說來,被監聽的內容只要加密過,被監聽也沒關係,所以會有像 cryptocat 這樣的加密服務,確保通訊安全。 加密後的內容,因為有 SSL的二層加密,因此很難破解。

電子商務:在 Android 上會比較不安全,所以大多移到行動版網頁來做,也就是移動到伺服器上進行運算。


延伸閱讀:

  • 講者的資安公司所維護的 DevCore Blog,會不定時更新最新病毒的案例報導與防範措施。

張貼者: 科技濃湯 下午3:14
標籤: , ,

0 意見:

張貼留言

訂閱: 張貼留言 (Atom)