如何保護(hù)手機(jī)安全？

安全極客現(xiàn)場還原智能手機(jī)安全漏洞

一夜之間，手機(jī)賬戶里的資金不翼而飛？毫無察覺的情況下，手機(jī)的指紋解鎖竟遭遇“秒破功”？手機(jī)的私密相冊任由他人隨意翻閱？智能時(shí)代，手機(jī)成為個(gè)人隱私保護(hù)和資金安全的重要領(lǐng)域，如何保證這款最常用的智能設(shè)備的安全，也成為安全人員關(guān)注的話題。

智能指紋鎖安全嗎？

作為今年上半年安卓手機(jī)的重大技術(shù)突破，屏下指紋解鎖號稱以光感指紋識(shí)別真正實(shí)現(xiàn)秒解鎖，獲得了許多年輕人的喜愛。但追求極致體驗(yàn)的同時(shí)，它的安全性經(jīng)得起考驗(yàn)嗎？

在日前召開的GeekPwn 2018現(xiàn)場，騰訊安全玄武實(shí)驗(yàn)室演示了影響觸屏解鎖型安卓設(shè)備的“殘跡重用”漏洞。安全研究員通過一張普通的卡片，可以讓任何人對手機(jī)的屏下指紋進(jìn)行解鎖。騰訊安全玄武實(shí)驗(yàn)室表示，目前的屏下指紋解鎖功能是利用光學(xué)技術(shù)捕捉用戶的指紋影像。通過反射體欺騙的方法，可以利用屏幕上殘存的指紋痕跡，讓屏下指紋傳感器認(rèn)為手機(jī)的主人正在使用指紋驗(yàn)證。值得注意的是，該漏洞屬于屏下指紋技術(shù)設(shè)計(jì)層面的問題，而非只存在于特定的手機(jī)型號和硬件產(chǎn)品中，因此影響面可能波及市面上使用該技術(shù)的所有安卓手機(jī)。

對于上述漏洞，騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸（TK教主）表示，用戶無需太過擔(dān)心，騰訊安全玄武實(shí)驗(yàn)室早在今年初就開始和國內(nèi)幾家主流手機(jī)廠商合作，不僅通過更新算法修復(fù)了已上市手機(jī)中的漏洞，還將相關(guān)解決方案提交給相關(guān)芯片廠商，推動(dòng)了供應(yīng)鏈層面的安全修復(fù)。

數(shù)據(jù)加密萬無一失嗎？

日前，金雅拓（Gemalto）發(fā)布了全球范圍內(nèi)公共數(shù)據(jù)泄露事件嚴(yán)重程度指數(shù)。2018年上半年，數(shù)據(jù)丟失、被盜或受損的數(shù)量與去年同期相比增加133％。 其中，惡意的外部入侵者是數(shù)據(jù)泄露事件的主要原因（56％），占所有被盜、外泄或丟失記錄的80％以上。數(shù)據(jù)泄露的第二大最常見原因是意外丟失，占泄露事件的逾三分之一。惡意內(nèi)部攻擊造成的數(shù)據(jù)泄露記錄和事件為第三大原因，但相比去年數(shù)量下降了50％。

給數(shù)據(jù)加密就能萬無一失嗎？在GeekPwn2018的現(xiàn)場，來自AMC團(tuán)隊(duì)楊志偉、胡演繹了手機(jī)私密相冊的破解挑戰(zhàn)。利用手機(jī)操作系統(tǒng)的漏洞，通過在手機(jī)中安裝一個(gè)惡意APP，可以用高權(quán)限調(diào)用其他組件，從而繞過私密相冊的身份驗(yàn)證。選手解釋到，這種破解是基于手機(jī)操作系統(tǒng)存在的漏洞，和密碼無關(guān)。

如何避免中招惡意APP？

如何避免中招惡意APP，保護(hù)智能設(shè)備和數(shù)據(jù)安全？愛加密技術(shù)副總裁程智力對北京晨報(bào)記者表示，在移動(dòng)互聯(lián)網(wǎng)時(shí)代，無論是企業(yè)還是用戶本身都應(yīng)提高安全意識(shí)。

對于企業(yè)來說，絕大多數(shù)對APP的攻擊都是有針對性的，以獲利為目的。特別是安卓系統(tǒng)，由于升級周期緩慢，加大了安全隱患的風(fēng)險(xiǎn)。企業(yè)防護(hù)模型應(yīng)當(dāng)從被動(dòng)變?yōu)橹鲃?dòng)，以實(shí)現(xiàn)快速響應(yīng)。

對個(gè)人用戶而言，不要點(diǎn)擊任何不安全的鏈接，在不可控的環(huán)境下使用手機(jī)等智能設(shè)備更應(yīng)提高警惕，公共環(huán)境的WiFi尤其值得注意。手機(jī)不要越獄、root，不要從非正規(guī)渠道下載APP，不去瀏覽不安全的網(wǎng)頁。同時(shí)，應(yīng)及時(shí)升級操作系統(tǒng)，不輕易公布手機(jī)號，并且采用生物認(rèn)證＋密碼識(shí)別的方式，提升手機(jī)的安全門檻。

北京晨報(bào)記者 韓元佳