移動(dòng)安全 可怕的“黑洞”
手指敲密碼動(dòng)作可被視覺新技術(shù)破譯、淘寶上竟可買到偷iPhone隱私的充電器、移動(dòng)支付成安全攻防的新戰(zhàn)場……在9月24日至25日召開的2014中國互聯(lián)網(wǎng)安全大會(huì)(ISC2014)上,移動(dòng)安全分論壇格外引人關(guān)注:移動(dòng)安全問題日益緊迫,已成為可怕的“黑洞”。
敲密碼動(dòng)作可被視覺新技術(shù)破譯
近期被曝光的蘋果“后門”事件,令移動(dòng)安全問題成為公眾關(guān)注的焦點(diǎn)。在移動(dòng)安全分論壇上,美國馬薩諸塞大學(xué)羅威爾分校付新文教授做了題為《無數(shù)雙“眼睛”都看到你的密碼啦!》的演講。付新文表示,“智能設(shè)備在我們的生活中無所不在,很大一部分智能設(shè)備都配有相機(jī),但這些相機(jī)可能會(huì)被惡意使用,窺覷我們的隱私?!?/P>
在演講時(shí),付新文通過手機(jī)攝像頭,采用識(shí)別觸摸幀、獲取Homography矩陣、定位觸摸指尖、估計(jì)觸摸區(qū)域、識(shí)別觸摸鍵等7個(gè)步驟獲取賬號(hào)密碼等關(guān)鍵信息。令人震驚的是,這種通過攝像頭發(fā)起的攻擊方式成功率相當(dāng)高。付新文半開玩笑地說,“用iPhone向iPad發(fā)起攻擊,獲取賬號(hào)密碼的成功率是100%,可見iPhone的攝像頭還是很不錯(cuò)的?!?/P>
由于這種攻擊方式非常隱蔽,而且成功率比較高,因此民眾應(yīng)當(dāng)具備一定的防護(hù)措施。付新文表示,智能隱私提升鍵盤(PEK)就是一種可行性比較高的防護(hù)方式。這種鍵盤只有在輸密碼時(shí)彈出隨機(jī)鍵盤,這樣可干擾黑客對觸摸鍵盤位置的判斷,極大降低安全隱患。
可偷iPhone隱私的充電器
360移動(dòng)安全研究員高雪峰在演講中向大家揭秘了一個(gè)更令人震驚的消息,淘寶上可以買到偷iPhone隱私的充電器。高雪峰介紹說,iPhone手機(jī)特別是越獄手機(jī)的通話記錄、照片、賬戶密碼等都可被輕松獲取,而這種利用蘋果后門的充電器造價(jià)十分低廉。
高雪峰提醒,通過蘋果最近被曝光的后門,可以制作出一款“邪惡”的充電器。用這種充電器給手機(jī)充電時(shí),僅需從燈亮到燈滅的短短十幾分鐘時(shí)間,手機(jī)中的數(shù)據(jù)就通過一些底層通訊軟件被竊取到“充電器”中。嚴(yán)重的是,手機(jī)還會(huì)被隱秘安裝軟件,無需經(jīng)過使用者的允許。
演講最后,高雪峰還展示了一款可以安全充電的充電器,據(jù)介紹,這款充電器將USB數(shù)據(jù)線中交換數(shù)據(jù)功能的線去掉,只保留一條充電線,這樣手機(jī)用戶在公共場合使用充電樁時(shí)也不用擔(dān)心隱私內(nèi)容通過蘋果后門被不法分子偷走了。
移動(dòng)支付成安全攻防的新戰(zhàn)場
移動(dòng)支付的出現(xiàn)優(yōu)化了人們的生活質(zhì)量,隨著物聯(lián)網(wǎng)普及、移動(dòng)互聯(lián)網(wǎng)應(yīng)用和商業(yè)模式的不斷發(fā)展,移動(dòng)支付的需求形式也變得多種多樣,但移動(dòng)支付安全問題也給公眾帶來了很大的困擾。
為什么要格外重視移動(dòng)支付安全?中國嵌入式系統(tǒng)產(chǎn)業(yè)聯(lián)盟秘書長助理申子熹認(rèn)為,由于犯罪成本的低廉以及網(wǎng)站安全漏洞等,移動(dòng)支付已經(jīng)成為安全攻防的新戰(zhàn)場。
“移動(dòng)支付與網(wǎng)上支付的區(qū)別在于支付的形式發(fā)生了變化,但支付邏輯與驗(yàn)證邏輯并沒有發(fā)生質(zhì)的飛躍。移動(dòng)支付在腳本框架、業(yè)務(wù)邏輯、社會(huì)工程以及傳輸驗(yàn)證方面都存在不同的安全風(fēng)險(xiǎn)?!鄙曜屿渲赋?,“但支付行業(yè)信息安全法律尚不健全,安全事件無法可依?!?/P>