智能手机与我们的生活越来越紧密,目前我国手机网民已将近7亿,但智能手机的信息安全问题不容忽视。今天国家质检总局发布的智能手机产品信息安全专项风险警示显示,智能手机在手机系统、应用软件和云平台等方面,存在安全风险。
手机系统风险 木马暗中读取数据
日前,国家质检总局组织了一次智能手机产品信息安全的专项风险监测,测试机型包括了市场上大部分高中低端的手机产品,共40批次。记者了解到,按照进网标准要求,手机系统在遇到木马病毒或恶意程序读取用户数据时,应有一定的提示,提醒用户防范信息泄露。那么这些最新的智能手机,系统的安全性能会怎么样呢?工程师随后在多款智能手机上都安装了一个测试木马,检验这些手机对语音、通话、短信等数据的保护。
测试发现,大多数手机在木马启动的时候,都会弹出提示框,但个别手机却毫无动静,任由测试木马暗中读取隐私数据。
应用软件未经提示暗中收集用户信息
工程师透露,除了手机系统本身的安全防护要求,目前的进网标准还对预置软件提出了安全提示等要求。记者了解到,存在于手机当中的各类应用软件都会因功能需要,要求获取用户的相关权限。比如地图软件需要获取位置信息,聊天软件要求获取通话记录信息等等,按照要求,获取涉及用户隐私的这些信息必须要经过用户同意。
工信部电子五所质检中心工程师 李乐言:提示有文字图片或者一些按钮,比如弹出一个对话框,这个对话框会告知收集你的位置,或者是联系人,或者是图片信息,如果你不点确认的话,它是不会再收集你的信息的。不符合的话是打开应用的时候,用户看不到提示内容。
工程师随后对所有手机样品进行了测试,在专门的测试软件监控下,总共40批次手机样品中,发现有9批次手机当中的相关软件在未提示用户的情况下,暗中收集手机用户私密信息。
近半智能手机存漏洞 云平台风险高
经过对手机系统安全和预置应用安全的相关测试,工程师都发现了存在风险的手机产品。而在随后进行的智能手机后端云平台系统的安全测试中,工程师发现,云平台对用户身份鉴别和权限控制方面的安全风险,是最主要的安全隐患所在。
工程师告诉记者,智能手机的后端信息系统,也就是人们所说的云平台。随着手机智能化的提升,目前手机都能够连接后端的云平台,实现通讯录、短信、照片等数据备份功能,以及在丢失的特定情况下定位找回、数据清除等功能。但是如果手机云平台存在安全漏洞,也就意味着智能手机不仅没能提供存储便利,反倒增加了信息泄露的途径。
李乐言:云平台连接了大量的智能手机,如果云平台出现问题,这些手机存储在云平台的数据,或者和云平台建立的连接如果被恶意分子利用,将导致大面积的信息泄露。
云平台对密码强度要求低 安全风险高
那么,目前智能手机云平台会存在什么样的安全漏洞呢?记者了解到,守护智能手机云平台安全门槛的,首当其冲的一个要素就是身份鉴别,也就是云平台对密码强度的要求。
工程师告诉记者,符合测试要求的智能手机会在云平台注册时,提示不能使用简单或连续的数字作为密码。随即进行的测试显示,工程师使用123456作为密码注册时,部分智能手机立即弹出提示框,提示密码不能使用连续的字符。但是部分智能手机却没有提示密码强度,工程师用记者的手机号码在一个云平台注册时,用简单的密码就通过了身份验证。
记者发现,用简单的连续数字,或者用666888等重复性数字测试时,多款智能手机的云平台都能够注册成功。工程师透露,用这样的简单密码面临最大的风险,就是容易被黑客破解,造成个人隐私的泄露。工程师随后用暴力破解软件对10余位志愿者的手机号进行了密码分析,发现有3个志愿者都使用了简单的123456的云平台密码,导致其存储在云平台的个人信息,轻易地就被工程师获取到。
云平台对权限控制弱 信息易泄露
工程师告诉记者,关乎智能手机云平台安全的,除了身份鉴别的因素,还有一个重要因素,就是权限控制。
工程师告诉记者,一个云平台如果能够做到控制权限,会对所有手机用户的权限请求进行验证,并会发送验证码到手机上,验证是否为本人操作,以保护用户的各种私密信息。而在测试中记者发现,在工程师尝试通过数据包获取一个志愿者的位置信息时,部分智能手机的云平台竟然没有向志愿者手机发送验证,轻易地就允许了陌生用户的请求。工程师在全国范围内征集了十余名使用相同手机云平台的志愿者,在获取地理位置的测试中,一一输入了这些志愿者的手机号码,记者看到,仅仅一秒钟之后,测试工具就将这些志愿者的所在区域以明文形式显示出来。
经过大量测试,总共40批次智能手机当中,共发现18批次的产品存在不符合项,占比高达45%。涉及的项目包括智能手机的后端信息系统、预置应用软件安全等。最后,经过20名风险评估专家的分析和打分,此次智能手机的信息安全风险等级被评估为中等风险。
安全漏洞六成以上问题出在云平台
记者发现,没有标准和规范要求的云平台信息安全,暴露出的安全漏洞明显要多于其它项目,在不符合监测要求的18批次智能手机中,12批次问题集中在云平台。专家建议,针对智能手机的安全标准建设要加快日程,以保护信息安全。