手机安全(精选12篇)
手机安全 篇1
背景
在2014年3·15晚会上, 央视曝光了大量智能手机被经销商预装了恶意软件, 导致手机被定制莫名服务、恶意扣费, 泄露用户个人隐私等。央视调查显示, 北京鼎开互联公司通过手机植入式服务平台, 为手机经销商量身订作手机装机软件, 他们把软件预安装在行货手机中, 大部分用户由于担心保修问题一般不敢删除这些预装软件, 该公司每月预装130万部手机, 仅预装业务为北京鼎开互联公司每月带来不菲的违法收入。
央视还曝光了另一家互联网公司———大唐高鸿, 该公司拥用4604家加盟代理商, 每月安装100万部以上的手机, 已安装手机超过4600万部, 预安装百度搜索、酷我音乐、新浪新闻等17款流行软件, 手机经销商每安装一款软件可以从大唐高鸿获得0.7-3元不等的收入。这些被预装软件的手机在使用后, 通过部分违规软件可以监测用户使用情况, 通过隐藏的自动开启的后台程序获取IM EI、M A C地址等手机设备信息及手机型号、手机应用软件列表, 监控手机软件的应用时间、网络流量等信息, 并将这些信息发送到大唐高鸿的官网服务器, 这一行为侵犯了手机用户的个人隐私。
移动互联网发展现状
央视报道的经销商预植入软件只是手机感染恶意程序的一种方式, 这些恶意程序无孔不入, 除了手机的生产、销售环节外, 手机应用商店、论坛下载站点等都可能成为手机感染恶意程序的主要途径。根据《2013年度江苏省互联网网络安全报告》统计, 2013年, 仅江苏省就发生520, 928, 965起移动互联网恶意程序事件, 平均每月有872, 458个用户感染恶意程序。其中, 安卓平台全年共有6, 951, 835个用户感染, 占被感染用户总数的66.40%。
为什么智能手机感染恶意程序数量呈爆发式增长, 这与移动互联网普及带动智能手机快速增长密切相关。根据中国互联网络信息中心 (CN N IC) 发布的第34期《中国互联网络发展状况统计报告》显示, 截至2014年6月, 中国网民规模达6.32亿, 其中, 手机网民规模5.27亿, 互联网普及率达到46.9%。网民上网设备中, 手机使用率达83.4%, 首次超越传统PC整体80.9%的使用率, 手机已成为第一大上网终端。工信部发布数据显示, 2011、2012年, 我国智能终端出货量分别为1.18亿、2.24亿部, 2013年前11个月的我国智能手机出货量为3.48亿部。
手机恶意程序的定义
随着移动互联网逐步普及, 部分心怀不轨的人开始盯上智能手机, 通过编写恶意软件, 并通过各种方式潜伏在用户的终端上, 获取用户的隐私信息, 或者肆意定制付费业务等, 以此获得不正当的收入。根据通信行业标准《移动互联网恶意程序描述格式》 (Y D/T 2439-2012) 规定, 移动互联网恶意程序主要分为恶意扣费、隐私窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗欺诈、流氓行为等八大类型。
1、恶意扣费
恶意扣费是手机恶意软件中最常见的行为, 在用户不知情或未授权情况下, 通过隐蔽执行、欺骗用户点击等手段, 订购各类收费业务或使用手机支付, 导致用户经济损失。恶意扣费的典型表现:1) 自动订购移动增值业务;2) 自动订购收费业务;3) 自动利用手机支付功能进行消费;4) 直接扣除用户资费。[1]
2、隐私窃取
隐私窃取是近年来常见的一种手机安全威胁, 恶意软件在用户不知情或未授权的情况下, 获取涉及用户隐私信息。隐私窃取类软件的典型表现:1) 获取短信、彩信、邮件、通讯录以及通话记录等内容;2) 获取地理位置、手机号码等信息;3) 获取本机已安装软件、各种账号、各类密码等信息。4) 通过手机使用网银、支付宝、微信、Q Q等业务, 各类账号都存在被盗用的风险。
3、远程控制
远程控制是PC和手机安全威胁中常见的一种形式, 在用户不知情或未授权的情况下, 通过控制端控制一个或多个受控端, 对受控端进行远程操作, 用户的手机一旦被远程控制, 将面临群发短信、恶意扣费、下载病毒等威胁。远程控制行为的典型表现:1) 由控制端主动发出指令进行远程控制;2) 由受控端主动向控制端请求指令。
4、恶意传播
在用户不知情或未授权的情况下, 通过复制、感染、投递、下载等方式将自身及衍生物或其它移动互联网恶意代码进行扩散的行为。恶意传播类恶意软件行为典型特征:1) 发送包含恶意代码链接的短信、彩信、邮件等;2) 利用蓝牙、红外、无线网络通讯技术向其它移动终端发送恶意代码;3) 下载恶意代码、感染其它文件、向存储卡等移动存储设备上复制恶意代码。
5、资费消耗
在用户不知情或未授权的情况下, 通过自动发送短信、彩信、邮件、连接网络等方式, 导致用户资费损失。资费消耗类恶意软件典型特征:1) 自动发送短信、彩信、邮件;2) 自动连接网络, 产生网络流量。
6、系统破坏
手机的恶意程序被激发后, 就可能进行破坏活动, 轻者加剧手机耗电、降低运行速度, 重者使手机中的重要文件、数据被肆意篡改或全部丢失, 甚至使整个手机系统瘫痪。系统破坏类恶意软件典型特征:1) 卸载手机中的其他软件;2) 删除、修改或者破坏手机中的数据;3) 破坏手机的操作系统。
7、诱骗欺诈
诱骗欺诈类恶意软件通常带有隐私获取的特征, 通过伪装成系统组件、应用软件或游戏软件诱骗用户下载安装后, 或进行广告推广, 或窃取、收集用户手机IM EI号或M A C地址等固件信息, 造成用户隐私泄漏。诱骗欺诈类恶意软件典型特征:1) 通过伪装诱骗用户下载安装;2) 推送广告信息;3) 窃取用户隐私。
8、流氓行为
一般是指在用户不完全知情和认可 (包括未经用户许可、强迫引导用户许可或隐瞒关键信息等) 的情况下强行安装恶意软件到用户手机中, 或者一旦安装就无法正常卸载和删除, 进而强行弹出广告, 强迫用户接受某些操作。流氓行为类恶意软件典型特征:1) 强行用户安装;2) 用户无法以正常的手段卸载和删除;3) 弹出式广告或以其他形式进行广告宣传。
手机恶意程序的检测
针对全球日益严重的手机安全问题, 越来越多的移动互联网安全厂商开始研究手机恶意软件的检测方法, 提升移动互联网的使用安全。
1、专业人员检测方法
目前通常有两种主流的恶意软件检测方法是:基于特征代码的检测和基于行为的检测。[2]
(1) 基于特征代码的检测方法需要从恶意软件中提取出若干段具有唯一性、固定性的字节码作为该恶意软件的特征, 并通过大量的恶意软件样本构建特征库, 通过特征库中的特征串去检测待测文件或内存, 发现匹配项则可判断目标感染了恶意代码。基于特征代码的检测方法具有效率高、误报率低等优点, 但是无法检测到新型的恶意程序。
(2) 基于行为的检测方法依靠监视程序的行为, 与已知的恶意行为模式进行匹配, 来判断目标程序是否具备恶意趋向。基于行为的检测方法具有特征库小、无需频繁更新等优点, 并能够检测到未知恶意程序。
2、普通用户检测方法
虽然手机恶意软件的检测是一项非常专业的技术工作, 但是作为普通的智能终端用户, 通过观察手机运行状况也能够大致判断手机是否感染恶意软件。
(1) 在手机任务管理器中查看手机到底运行了哪些软件, 根据软件的运行情况初步识别恶意软件;
(2) 打开手机流量监控, 查看哪些软件消耗的流量特别多, 对于自己没有安装且流量消耗高的软件, 则需认真辨别是不是恶意软件;
(3) 查询电话账单, 查看每个月通信消费的详细情况, 从中判断自己是否有被恶意扣费;
(4) 借助第三方软件, 如360手机卫士等, 对手机的自启动应用、授权root应用等进行全面检查, 进一步判断手机中是否有恶意软件。
避免感染恶意程序的建议
恶意软件在智能手机的生产、销售、使用等过程的任一环节都可能被植入安装, 因此, 智能手机用户应警惕这些恶意软件的传播渠道, 养成良好的手机使用习惯, 是能够做到远离手机恶意软件的, 为此提出以下建议供参考:
(1) 普及智能手机安全常识, 注意保护个人隐私;
(2) 不要购买水货和无入网许可的手机;
(3) 不要随意点击短信、彩信中链接;
(4) 不要轻易扫描陌生的二维码;
(5) 不要在公共场所使用缺乏信誉度的免费W IFI;
(6) 不要接受陌生蓝牙、红外等无线连接请求;[1]
(7) 去官方手机应用商店和知名手机软件站点下载软件;
(8) 安装专业的手机安全软件, 对手机进行安全加固;
(9) 经常查看话费清单, 检查流量有无异常。
结束语
移动通信网络进入4G时代, 智能手机正在快速取代传统手机, 随着手机各种应用的普及, 手机恶意软件也朝着多样化、隐蔽性方向发展, 手机恶意软件的表现与电脑病毒木马的表现也越来越相似。[1]由于智能手机不可避免的将存储越来越多的商业秘密和个人隐私等敏感信息, 也将面临更大的安全威胁。作为普通智能手机用户必须要了解一定的恶意软件甄别方法, 同时养成良好的手机使用习惯, 避免或减少自身的损失和危害。
参考文献
[1]金山手机安全中心, 中国手机恶意软件分析报告, 2011.03
[2]童振飞, 杨庚.A ndroid平台恶意软件的静态行为检测.江苏通信, 2011.02
手机安全 篇2
防泄密:
用户需要养成良好的手机使用习惯,要慎重安装应用软件,对于陌生人发送的短信特别是彩信,不要轻易打开,更不要转发,应及时删除。智能手机应当设置密码,尽量避免在手机上存放银行账号等信息。
在修理手机或者卖掉使用过的手机时,不仅要删除手机里的重要信息,最好将存储卡和内存进行格式化,因为借助软件,能够恢复其中的信息,很容易直接导致信息外泄。
防骚扰:
安装过滤软件,屏蔽恶意软件。
防骚扰的关键在于预先拦截。一方面需要电信服务商提高服务水平,采用技术手段进行屏蔽;另一方面,需要手机用户利用“黑名单”等功能,及时进行设置,或者安装适合的过滤软件,来免除骚扰。
防病毒:
选择专业安全软件,远离手机病毒攻击。
手机安全播报 篇3
篡改浏览器首页
病毒代号:Android.Troj.ROMZhanDian.a
以前以恶意吸费为目标的的手机病毒,普遍采取后台悄悄开动SP扣费业务,再把SP回复的确认短信删除。然而随着电信运营商对SP服务商监管的加强,通过SP业务非法扣费的难度已经越来越大,于是手机流氓软件开始通过为某些商业网站带流量来间接获利。
这款代号为Android.Troj.ROMZhanDian.a的病毒是一款隐藏在固件包内的流氓软件,当用户使用携带该病毒的固件刷机时,会将浏览器首页自动锁定为一个导航页面(如图1),用户每次打开浏览器时,该导航页就消耗大量的流量。
该病毒很像PC端的同类恶意软件,它能够实现自动运行,每次系统启动,就会添加书签、提交手机隐私信息、自动打开网址导航站的操作。在消耗耗费手机流量同时,还会造成用户手机隐私信息泄露。
查杀方法:由于该病毒采用驻扎固件包的形式传播,手机在刚刚刷机完毕就会感染这一病毒,在没有及时安装杀毒软件的情况下很容易忽略首页的异常。假如用户怀疑自己的浏览器被捆绑了病毒,可以打开浏览器的“书签”项查看,如果发现书签内出现大量未知网址(如图2),那么应该立即安装杀毒软件全面检查系统,并及时更换固件包重新刷机。
金雕窃听
病毒代号:Android.Hack.GoldenEge
“金雕”是一种安装运行在Android系统上,后台监视用户短信与通话的工具,虽然同类型的窃听软件频繁见于媒体。但是这款病毒却是迄今为止功能最复杂的后门程序了,在安装到Android手机之后,病毒会实现自启动,窃听者通过短信指挥随时监听短信内容和通话记录的功能。当监听到手机来电时,病毒会启动录音服务录音,并自动将录音文件发送到窃听者的指定邮箱,发送完毕后病毒还会自动清理录音文件,让用户毫无察觉。
查杀方法:“金雕”的窃听功能虽然恐怖,但它需要用户手动将其安装在系统中,在安装过程中可以清楚地看到它会进行大量敏感操作(如图3),当用户发现一款软件需要更改音频设置、拨打电话等权限时一定不要贸然安装。若安装过程中没有仔细查看程序获得权限,安装完毕后又无法找到该程序的图标,那么最好直接启用杀毒软件进行杀毒。
专偷隐私的隐私大盗
病毒代号:DroidDreamLight
Google账号相当于Android手机用户的“通行证”,在使用Gmail、地图、地理位置分享、官方市场软件下载等等服务时,都需要登录Google账号。近日来一款名为“DDL隐私大盗”的木马程序就将目光放在了绑定手机的Google账号上,该木马会将自己伪装成“music setting”、“system manager”等具有迷惑性的进程后台窃取用户短信、手机IMEI、IMSI等设备信息,可以完整掌握用户的个人信息并将其出卖给其他不法商家,从中牟取暴利(如图4)。
该木马还会密码获取手机上的Google账号密码,即使用户能够及时查杀这一木马,盗号者仍然可以通过Google账号的同步信息功能随时掌握用户的隐私。
查杀方法:DDL系列木马曾经数次以变种的形式躲过Android官方电子市场的检测,让许多用户受到损失。所以用户除了保持自己的杀毒软件病毒库处于最新的状态,同时,一旦发现自己的手机遭遇此类病毒,要及时更改Google账号的密码。
伪10086吸费大盗
绝大多数的手机病毒都是通过手机论坛和安全检测不太严格的电子市场传播的,而近日安全中心截获的一条恶意短信却让我们见识到了病毒制作者的“创意”,该短信伪装成中国移动客服,以升级手机漏洞补丁为名诱导用户访问一个叫做1OO86.net的地址(如图5),如果真的访问该网站并下载了“补丁”后,就会发现自己的手机出现了一大把恶意吸费软件。
查杀方法:由于目前的Android手机普遍拥有对短信内的网址点击即可访问的功能,所以病毒的传播者正是利用许多人大意的心理,诱骗用户访问带有病毒的网址。实际上无论是手机的厂商还是Android的官方,都不可能以短信的形式提醒用户去安装补丁,用户收到任何需要安装程序的短信都不应该相信。
“安卓吸费王”归来
在今年2月,一款名为“安卓吸费王”的病毒现身多家Android应用商店、手机论坛之中,它通过插件植入正常应用的方式诱骗用户安装并强行吸费。在国庆后,此病毒又以一种新的变种重新活跃起来。
此病毒的工作原理为利用技术手段将扣费插件批量伪装成热门应用来诱骗用户下载,装入手机后通过后台强行启动恶意进程来定制SP付费业务。由于其具备拦截中国移动、中国联通特定业务短信的行为,使得用户极易在不知情的状态下落入黑客设置的吸费陷阱之中。
手机安全小贴士(英文) 篇4
Keep these tips in mind for safer chatting:
1.Talk less, text more.
The further you keep your phone from your head, the smaller the risk of RF energy (射频能量) exposure to your brain.If you just need to relay information or ask a basic question, do i with a text rather than a call.
2.Keep your mobile conversations to a minimum.
Phone conferences and leisurely gabfests (长时间的聚谈) should be done on a landline When you need to make a call on the go, keep it short and sweet.
3.Use a headset.
Ditched the landline?Use a hands-free device like a headset or talk on speaker phone.
4.Keep your phone use to a minimum.
手机安全 篇5
本报北京11月26日讯 记者余瀛波见习记者王开广 面对互联网时代无时不在、无处不有的网络安全威胁,网民如何保护自己的信息安全?对此,中央网信办网络安全协调局局长赵泽良表示:一是不轻易下载来路不明的程序;二是注意保护账号和密码;三是程序要及时打补丁。做到这三点,就能解决85%的问题,剩下的15%留给专家解决。
今天,在首届国家网络安全宣传周网络安全公众体验展现场,记者现场感知了一番“身边的网络安全”。作为全球云计算及虚拟化安全的领军企业,趋势科技的展区中最吸引人的是“网络安全学习区”,它以网络安全知识的学习为主,将知识融入轻松的互动题目中,帮助普通民众提高网络安全意识。
趋势科技市场部但湘峰介绍,趋势科技的展区以公益性的网络安全教育为主,重在以互动题目让用户了解网络安全知识;以实际操作让用户体验日常应用中隐藏的攻击;再结合方案演示,让网络威胁和安全防护看得见、摸得着、听得懂、学得会,提高用户的网络安全意识和防护水平。
作为360互联网安全中心推出的最前沿可视化安全大数据产品,中国网络安全威胁地图采用可视化的方式,实时全景展示了网络安全威胁状况。在今年“双十一”期间立下汗马功劳的全国钓鱼网站地图也现身展厅。工作人员告诉记者,360网盾大数据实现了对全国钓鱼网站的监控,平均每天拦截钓鱼网站9600万次,仅今年“双十一”当天,拦截钓鱼网站超过2亿次。
360互联网安全中心提供的数据显示:2014年上半年,360互联网安全中心共截获新增恶意程序样本15.5亿个,较2013年上半年新增样本量8.09亿个,同比增长91.6%,平均每天截获新增恶意程序样本856万个。
奇虎360公司总裁齐向东说,现在用户对于安全的需要已经不单是电脑安全和手机安全,当前中国的网络安全包括国家安全、企业安全、个人安全和家庭安全。目前,360公司正在推出360儿童卫士、360智能摄像机这两款安全产品,为家庭安全提供解决方案。
作为另一大互联网企业,目前,腾讯的QQ拥有月活跃用户8.2亿,微信月活跃用户4.68亿,这也让其成为中国拥有用户数最多的互联网公司之一。
腾讯副总裁丁珂表示,网络安全对于民众而言,需要努力提高自我保护意识和技能,以及对网上虚假有害信息的辨识和抵抗能力;对于互联网安全企业而言,应该尽最大努力研发技术、教育民众,为国家网络空间安全贡献力量,这既是能力,也是责任。
(原标题:用户网络安全意识防护水平亟待提高)
日前,央视财经频道《第一时间》栏目就手机App后台偷流量的内幕进行了曝光。此前,360手机安全专家对当前Android平台1000款热门应用进行分析后发现,62%的手机流量费用其实是被广告插件所耗用,更触目惊心的是,几乎所有的插件还会涉及用户隐私信息。
揭秘手机APP四大乱象
近年来,智能手机产业的发展催生了APP应用程序行业的兴起。然而,在提供便捷服务的同时,病毒、窃取用户信息等问题也时有发生,APP安全问题日益凸显,行业乱象备受关注。
1、肆无忌惮盗取隐私
今年10月份,好莱坞众女星的iCloud艳照门事件不断发酵,而国内一款名为“疯狂来往”的手机游戏则涉嫌泄露用户隐私视频。很多用户在下载安装APP时根本不注意看授权权限条款就选择同意安装,自己的隐私一不留神就暴露了。据介绍,对于用户而言,“核心隐私权限”包括访问联系人、读取通话记录、读取短信记录、读取位置信息,而属于“重要隐私权限”的有拨打电话、使用话筒录音、监听手机通话、发送短信和打开数据开关。
令用户无语的是,许多APP在安装时只有同意授权和不同意两个选项,却没有单选和多选的自由选项。他吐槽,对于消费者而言,如果不同意授权就没法安装,颇有“霸王条款”的感觉。
DCCI(互联网数据中心)和360近日共同发布的《2014年上半年Android手机隐私安全报告》显示,安卓商店下载排名靠前的1200个APP中,92%的安卓应用获取了隐私权限,获取1到5项隐私权限的APP占61.5%,获取6到10项隐私权限的占26.2%。
2、恶意应用偷窃资金
病毒往往隐藏在山寨应用中,恶意团伙会通过使用逆向分析工具,将银行客户端程序进行反编译,之后添加恶意代码制作成山寨APP。山寨应用常常冠以“最新版本”、“升级版”、“增强版”等名字出现。
最严重的情况是,病毒冒充网银、支付、购物、社交等应用,诱导用户输入银行账号密码信息,然后再通过病毒拦截,并转发手机支付验证码和支付成功回执短信,以完成资金窃取。比如一度极为嚣张的“鬼面银贼”病毒,其仿冒的程序包括支付宝年度红包大派发、移动掌上营业厅、中国人民银行、中国建设银行等十余款应用。
除了偷取支付密码和验证码外,360的一项报告显示,APP中的广告插件也常常神不知鬼不觉地扣掉用户通信资费。
3、预装软件卸载无门
手机预装APP无法卸载的问题戳中了安卓手机用户的痛点。占用存储空间、手机卡、广告乱弹、静默下载其他程序耗流量、存在隐私和资金安全隐患都是预装APP令用户不爽的地方。
DCCI选取市面上不同款式的92部安卓手机调研,发现平均每部拥有8.2个预装软件,预装软件占据手机的存储空间平均达177.8M,其中通过运营商购买的手机平均占据空间更大,达到200.7M。
4、传播内容鱼龙混杂
在绝大多数APP深陷亏损泥潭的情况下,APP内容鱼龙混杂,有的公然打着色情幌子吆喝,内容尺度之大令人咋舌。
不少用户反映,不管在开放的安卓市场,还是在封闭的IOS系统中,含色情内容的应用都公然存在。苹果应用商店日前就被曝光存在大量色情出版物,在图书类下载应用中,在排行榜前十名中有半数涉及色情内容。
360手机安全专家指出,类似于“高清电影”这样的软件,要打开激活设备管理器,这其实是木马病毒惯用的手法,激活后木马就没办法卸载,而此时后台已经开始下载推广软件致使流量慢慢消耗了。专家表示,这些不正规的App大多是通过论坛、不正规的应用市场以及扫面二维码这种方式来传播的。
对此,360手机安全专家建议用户一旦安装了此类软件一定要及时卸载,并立刻通过运营商退订已经订阅的收费服务。更要在安全可靠的应用平台下载软件,尽可能的下载正版软件,并安装屏蔽恶意广告插件的应用,例如360手机卫士就有广告拦截功能,能够扫描并过滤应用中的广告插件,从系统底层防御恶意插件泄密偷流量。
在移动互联网高速发展的今天,手机安全问题不容忽视,360手机安全专家呼吁应用厂商要合理使用隐私权限,并注意保护用户的隐私数据。同时期望软件平台方也应自觉遵守行规为消费者把好应用的安全关卡。除此之外,手机安全更需要用户自身有防范意识。
延伸阅读
揭露手机APP黑幕:为什么要卸载预装软件?
面对手机预装软件大家都怎么处理?卸载或者放任不管?360手机助手近日联合DCCI互联网数据中心发布《中国Android手机预装产业及用户使用情况研究报告》。报告数据揭露手机预装软件隐患颇多,不仅占用手机内存那么简单,更能自动启动窃取用户隐私信息,自动联网浪费用户流量等等,预装软件对于手机用户有着各种潜在的危险。图1:预装软件产生的各种问题
不谋而合的是,广东省消委会联合深圳市消委会发布了手机预置软件调查。调查显示,98.6%的消费者不满手机预装软件无法卸载现象,并认为其严重侵犯了消费者的知情权和隐私权。
那么手机厂商、运营商和各级代理商对手机预装软件乐此不疲,甚至不断加固究竟是为哪般?360手机助手解读《中国Android手机预装产业及用户使用情况研究报告》,为消费者解析手机预装软件中的“商机”,揭露不为人知的黑幕。
1、70%预装软件都能自动运行耗流量
根据报告显示,来自运营商渠道购置的手机中预装软件数量最多,平均可达9.7个,而各大卖场最多的达到25个,最少的也有一个,其中70%的预装应用都具有后台启动的功能,随后自动联网消耗用户流量。这就是不少用户频频在网上发帖质疑自己根本没有使用任何上网功能,却经常面临昂贵流量费用的最主要原因。图2:不同购机渠道Android手机平均预装软件数量
当前安卓手机应用市场竞争激烈,通过传统推广渠道的单个用户获取成本越来越高。光国内最大的应用资源下载市场——360手机助手中,就有上百万款手机应用。软件开发商通过向手机卖场、运营商和手机厂商付费,寻求在手机中预装自家应用,第一时间抢得用户手机桌面,而手机厂商、卖场和运营商也能够借此降低成本。
2、预装产业或涉嫌不正当竞争
据3.15晚会央视曝光,对于手机厂商、卖场和运营商而言,单款软件在一款手机中预装的费用可达3元以上,经济效益极为可观。而单部手机个位数的预装成本,对于软件开发商而言还是比较合适的。预装软件不容易被卸载,用户不得不入驻,想要流失也困难,比在第三方应用市场中任用户挑选,自主选择下载卸载要稳定得多。
3、侵占用户手机容量
这些预装应用中,往往又混入了不少吸费、偷跑流量、盗取用户隐私信息的恶意应用,甚至通过出卖用户个人信息赚回预装成本,给用户带来各种意想不到的问题。另外,安卓手机预装软件平均占用空间大小可达177.8MB,对于根本不会使用这些预装应用的用户而言,这是对手机存储空间的大量浪费,并且会拉慢手机运行速度。
4、预装软件难以卸载 360手机助手推出彻底解决方式
360手机助手调查显示,对于预装软件,大部分用户因担心会造成手机系统不稳定或无法正常使用、系统信息软件资料被误删甚至卸载后不再提供手机保修服务等问题,根本不敢对预装软件进行卸载,任由预装软件在手机中肆意妄为。用户急需一种能够解决手机预装软件问题的方式,而当前并没有相关法规政策管理预装软件,只能通过行业自律。
对于用户期望的安全软件协助管理预装软件、一站式解决预装软件问题,360手机助手自去年9月起就已经推出“卸载预装软件功能”,仅在功能推出当月为8516万部用户手机卸载预装软件1.32亿次,涉及各类预装软件19781款,得到广大用户支持。而使用非专业的软件卸载预装软件,因卸载过程中涉及root权限,很可能存在手机变砖的风险。
手机的安全新装 篇6
关键词:手初保护装置 新理念 人性化设计 绿色设计
1、手机保护装置的概念
手机保护装置,保护一词是指尽力照顾,使自身(或他人、或其他事物)的权益不受损害。装置一词是指机器、仪器和设备中结构复杂并具有某种独立功用的物件。手机保护装置就是指:使手机不受损害的设备。
2、手机保护装置的现状
二十世纪九十年代中后期,手机保护装置借助移动电话瘦身的契机开始盛行。其种类也随着手机品牌和功能的增加而呈多样化,按机型分则有直板、翻盖和滑盖的区别。而按质地分有皮革、硅胶、布料、硬塑料、软塑料、绒制、绸制等类别。
其中硅胶套是最为人熟知的手机保护套类型,它质地柔软、手感爽滑,流行于市场已经多年。为实现综合保护,又一种手机保护装置应运而生,这就是备受女性青睐的水晶壳。它由有机玻璃制作而成,外观厚实坚固,壳身晶莹剔透。清水套是水晶壳和硅胶套的融合,属于一种用透明硅胶制成的软硬适度的手机保护装置,又因为像水晶壳一样透明,故得名清水套。手机网壳是软壳的亚种,以壳身布满网状透气孔而得名,设计通常比较简单。iPhone兴起以后,很多用户偏爱手机网壳,因为手机网壳结构坚固散热快,使手机显得清爽简洁。金属壳是男性朋友的首选,金属壳的坚硬总是给人强烈的安全感,但事实上并不是我们看到的那样,坚硬的外壳,坚硬的手机,当两者贴在一起遇到强烈的震荡、撞击,震荡的幅度直接就传给了硬质的手机,使手机的震荡有增无减。琳琅满目的手机壳不断出现在消费市场中,也在不断的去尽全力满足消费者的需求,应着重考虑产品的人性化和安全性,设计出在各种恶劣环境中集绿色、环保、安全、时尚、美观、人性化于一体的手机保护装置,同时在手机保护装置设计中应体现出它的本体价值和功能价值,无疑就是给手机保护装置设计者的一个重大启示。
3、手机保护装置开发设计研究分析
3.1 手机保护装置设计的新特点
3.1.1 防护性
第一、手机保护装置可以起到防震的作用,手机无论放在哪里,遇到强烈的震荡、颠簸,手机依然可以完好无损;
第二、手机保护装置可以起到防水的作用,这是手机保护装置的一个新特点,突破了普通手机保护装置的浸水缺陷,给长期在水上工作、或经常进行水上娱乐的年轻人士提供了信息交流的安全保障;
第三、手机保护装置可以起到防摔的作用,很多人都有失手的经历,处在很高的位置,把手机不小心弄丢了,从高空摔下去的手机在新型防水充气保护装置保护下,也只会弹跳几下而已,手机有惊无险,毫发无损。
第四、手机保护装置可以起到防摩擦的作用,再新再昂贵的手机也经不起摩擦,时间久了之后手机就面目全飞,手机保护装置的充气原理可以很好的保护手机,使其免受摩擦。
第五、手机保护装置可以起到防尘、防汗渍的作用,手机用时间长了会沾上很多灰尘,夏天天气炎热,使用手机的时候手会有很多汗渍留在手机上,腐蚀手机外壳,使用手机保护装置可以防止灰尘进入手机的按键和插孔中,还能防止汗渍沾到手机外壳上。
3.1.2 手机保护套价格适中的特点
新型手机保护套并非是走高门槛路线的产品,它的制作以及推广均以平民化的方式展现在大家的面前,充分发挥亲民特点,无论是高层白领还是普通学生,都可以为自己的手机购置一个安全的港湾。
3.1.3 手机保护套安全的特点
与普通手机保护装置另一个不同点在于,“防水漂浮手机保护装置”在手机本身起到防水作用的同时,还考虑到手机会落入水中,寻找难如大海捞针,充气手机保护装置就可以让手机漂浮在水面上,防止手机下沉。克服了以往手机保护装置不能彻底防落水遗失的缺点,充气手机保护装置安全系数高。
3.1.4 与人的关系
信息化快速发展的今天,手机保护装置可以作为手机的装饰,注重色彩的搭配和较强的装饰感,可以给人们的生活增色不少。手机保护装置充分考虑了人机的情感交互,符合人机工程学,让人们喜欢手机保护装置的手感。
社会的发展、技术的进步、产品的更新、生活节奏的加快等等一系列的社会与物质的因素,使人们在享受物质生活的同时,更加注重产品在“方便”、“舒适”、“可靠”、“价值”、“安全”和“效率”等方面的评价,也就是在产品设计中常提到的人性化设计问题。
充气手机保护装置,符合人机工程学,充分考虑人的感受,软软的充气装置,让你爱上手握手机的感觉,圆而饱满的外观,给人亲切、可爱的感觉,就算失手让手机从高处落地,手机也不会受到震荡或破损。
4、手机保护装置设计的新理念
4.1 手机保护装置设计中的时尚与个性的体现
在“手机保护装置”设计制作的工程中还着重考虑到了手机保护装置的市场消费引导能力,通过对该产品的外观和价格的控制与手机保护装置的保值相结合,使得新型手机保护装置必将在当今激烈的手机保护装置市场竞争中脱颖而出。
手机保护装置适合不同大小、不同厚薄、不同颜色的直板手机的特点:
手机商场和综合型商场的手机专柜主要提供针对同一款手机的手机保护装置,满足老顾客再次购买和追求高品质高档次手机保护装置顾客的需求。
“防水漂浮手机保护装置”同样采取了当今市场上主流的外观形式。很多时候人们总是喜欢跟随潮流,手机更新換代的快,以至于手机的外形也在不停地变化着,充气式的手机保护套以一般最大型号的手机为尺寸标准,无论你换什么样的手机,都可以继续延用这个适合不同大小、不同厚薄手机的手机保护套,充气式手机保护套有一系列的亮丽色彩,适合不同颜色的手机使用,想必会是消费者青睐的又一个因素。
4.2 绿色设计在手机保护装置中的体现
绿色产品设计包括:绿色材料选择设计;绿色制造过程设计;产品可回收性设计;产品的可拆卸性设计:绿色包装设计;绿色物流设计;绿色服务设计;绿色回收利用设计等。在绿色设计中要从产品材料的选择、生产和加工流程的确定,产品包装材料的选定,直到运输等都要考虑资源的消耗和对环境的影响。以寻找和采用尽可能合理和优化的结构和方案,使得资源消耗和环境负影响降到最低。
绿色设计强调尽量减少无谓的材料消耗,新型充气手机保护装置造型简洁,材料消耗少,另外新型手机保护装置是由一种透明的软吹塑材质制作而成,是由PVC材料即聚氯乙烯材料加入适量的增塑剂生成的材料,“3R”,即Reduce,Recycle,Reuse,这个核心,强度高、弹性好、抗拉伸、抗撕扯、防水、抗污、防油、不易腐烂、耐用、不易滋生细菌、耐酸碱、阻燃,而且可以100%地回收再利用,且原材料成本低,抗拉强度高、抗撕裂强度高、无异味。
4.3 针对各类使用环境分析的手机保护装置
4.3.1 一系列的水上娱乐场所、工作场所
由于手机已经成为人们生活中不可或缺的一部分,很多人喜欢把手机带进卫生间,在方便的时候可以使用,也可以边泡澡边看视频、听歌等,完全不用担心手机会浸水;夏天在进行水上娱乐活动时,比如游泳、冲浪、驾船出行等等,或者长期在水上作业的人员也要经常使用手机,就算在这个危险的环境下也不想漏接一些紧急电话,有新型充气手机保护装置也不用担心失手致手机落入水中。
4.3.2 高处环境
手机总会跟随人出现在各种场合,在寝室的第二层床铺上熟睡了’可能会不小心把手机碰掉下来,把大家从熟睡中惊醒,手机从第二层床铺上摔下去,很容易将外壳摔坏;在自己家的阳台上打电话,讲到兴致勃勃,失手使手机从楼上掉落,也会把手机摔坏;建筑工地上进行高空作业的建筑工人,在高度紧张的作业中,难免会顾及不到自己口袋里的手机,从几十甚至上百层楼的高空摔下去,即使是再好的手机,也逃脱不了摔成粉碎的命运。无论是高处还是峰峦叠起的长途跋涉或者阳台、床上,一不小心手机就从高空滑落摔坏。希望通过使用新型充气手机保护装置能够让手机时刻处在安全的环境中。
4.3.3 颠簸环境
坐在很颠簸的车上,人不舒服了,更担心随身带的一些电子产品,最普遍的就是手机,人们总是很用心地将它放在最柔软最安全的位置,可总有一些疏忽使手机由于颠簸出现一些或大或小的问题,若有新型充气手机保护装置就给手机加了一套保险,使手机进入了安全的地带,也使它的生命力更加顽强。这样,人们就再也不用让手机“东躲西藏”,任何时间和任何场合都可以爱抚自己心爱的手机。
4.4 使用人群分析
老人、小孩、青少年、成年人使用手机都需要满足防震、防摔、防水、防摩擦这几个最基本的要求,同时也需要人与手机的人性互动,普通的手机套只是贴合手机包裹在手机外表层,给人还是硬邦邦,冰凉凉的感觉,防水漂浮手机保护装置满足人们在日常生活中需要的基本保护功能,包括防震、防摔、防水、防摩擦和防尘等功能。其外表颜色靓丽,手感柔软舒适,更适合老人小孩使用,时尚前卫的造型设计配合绚丽的色彩搭配,也足以吸引时尚爱美的年轻人,新型充气手机保护装置还可以针对不同年龄阶段的人设计不同的色系,并且由于新型充气手机保护装置能适用于大多数手机,因此可以实现换机不换套,延长手机套的使用寿命,还能达到环保节约的效果,能适用不同收入水平的人群。
5、结论
《手机实名VS信息安全》 篇7
舒华英:所谓手机实名制包含两层意思, 一是登记实名制;二是查询实名制。登记实名制是指用户登记电话号码时要求登记真实的身份, 就像我们坐飞机出示身份证一样。查询实名制就是说用户通过手机发布的所有信息都要承担责任。正是由于登记实名制, 身份证信息和手机号码关联起来, 当用户使用手机发出信息的时候就可以很快查询到是由谁发出的。
虽然手机实名制正式启动, 但要想在国内真正执行起来, 绝对不是一件简单的事, 这其中既有法律层面的困难、又有运营层面的困难, 还有技术层面的困难等。
首先, 我国在信息安全与隐私保护方面的法律还不够健全, 成为手机实名制需要跨越的一道法律屏障。虽然近几年国家法规就保护手机用户隐私权问题做过很多努力, 但是对于新型环境下的信息安全隐私重视还不够, 人大法制委员会应该尽快把电信法、信息安全法、个人隐私法这几部法律提到日程上来, 以手机实名制补登记的这三年为缓冲, 着力推进这几部法律的实施。
其次, 实名对运营商提出更高的要求, 而运营商并没有推动实名制的主观愿望。手机实名制以后, 三家运营商都将面对许多新的问题, 原有的终端、渠道要整顿, 各运营商都要必须投入一定数量的设备, 并将不得不在所有的网点上配备联网系统。运营商必须进行投资, 从而也涉及到电子渠道重构问题。
再次, 手机实名制意味着用户在注册手机账户时要进行真实身份验证和登记。目前市场上假身份证众多, 如何鉴别出恶意用户使用假身份证进行登记, 防止给社会带来不必要的危害, 这涉及到技术实现难度的问题。
项立刚:首先我是支持实名制的, 实名制对于打击犯罪尤其是利用电信工具诈骗, 打击垃圾短信有一定作用, 3G应用的手机支付, 手机商务必须以实名制作为基础。当然我们也知道, 目前中国尚有超过3亿的用户没有进行实名登记, 这些用户如果都到电信运营商的营业厅去进行登记, 这是一项巨大的工程。
电信运营商要做好实名登记, 不仅需要进行营业厅改造, 提供更多的登记模式, 同时还需要和身份证的管理系统进行实时联网, 目前我国除了少数省可以做到, 绝大部分地方还做不到。这些都是实名制存在的技术问题。
很长时间以来, 电信运营商的卡号销售依赖社会渠道, 如社会报刊亭之类, 这些渠道如果继续使用, 广大用户在这些地方登记实名, 势必担心信息外泄, 得不到保障。如果这些渠道被取消, 对于运营商而言, 失去了一个强大的销售网络。这都是要实行实名制非常现实的问题, 不解决好这些问题, 很难保证实名制的正常实行。
王留生:手机实名制需要一个过程, 即由低层次的手机实名制向真正意义上的手机实名制过渡。在低层次的手机实名制阶段, 缺乏个人信息安全管理体系与相关配套法律保障, 非但带来的价值非常有限, 而且会对用户个人隐私安全管理构成巨大挑战。在真正意义上的手机实名制阶段, 管理措施完善, 手机实名制将呈现出巨大的安全价值、管理价值和商业发展价值。除此之外, 手机实名制还具有三个重要意义:
首先, 手机实名制之后可以实现对基于移动通信业务的非法程序进行监控, 如此一来, 便对手机卡持有人的行为构成一定约束。
其次, 手机实名制之后, 可以实现针对性地增加个别用户使用成本, 从而减少非法活动借力移动通信工具迅速传播的机会。
最后, 手机呈现的新媒体属性日益明显, 服务商与用户间的互动, 用户与用户之间的联系越来越频繁。通过实名来提高手机用户的责任感和安全感, 有利于移动互联网产业的长期健康发展。
然而, 手机实名制在执行中也面临多方面的困难。首先, 现有手机存量用户和未来增量用户规模庞大, 实施实名制将给运营商带来很大工作量;其次, 社会销售渠道复杂, 运营商在监管和规范方面面临巨大压力;此外, 还有基础设施与相关配套立法不完善、用户实名意愿不强等一系列困难。
《江苏通信》:有人指出, “遭实名制冲击, 运营商新增用户数受打击最大。”您对这一说法是否赞同?您认为如何调动运营商积极性, 既做好实名工作又最大程度衔接现有的发展模式, 切实有效推进实名工作。
舒华英:从短期来看, 手机实名制会对运营商新增用户构成一定的影响, 这是市场竞争所致。从长期来看, 实名制带给运营商新增用户数的冲击将逐渐弱化, 这是国家政策的必然结果。实名制的争论孕育多年最终得以实施, 有其客观存在的呼声和理由。另外, 政府管理部门也有义务规范社会信息传播管理, 督促运营商加快推进手机实名制进程。
虽然目前实名制对运营商存在不利的一面, 但不可否认的是实名制也有对运营商有利的一面, 而且是利远远大于弊, 这就需要运营商具备战略眼光。从最基本的恶意欠费管理来说, 实名制也是有必要的。目前, 运营商面临部分客户欠费停机, 由于没有实行实名登记, 欠费难以追回, 数量庞大的该类客户给运营商造成了巨大损失。手机实名制实行以后将减少移动运营商的呆账、坏账。另外, 手机实名制也有利于防止客户套利现象的产生, 通过套餐办理限制条款 (如仅面向单卡用户) , 防止码号资源浪费。
从长远的业务发展来看, 运营商也应该推动实名制。我们未来的社会是一个移动互联网社会, 人们对移动网络的依赖越来越多, 如移动购物、移动支付等。将来随着移动支付等移动电子商务的流行, 实名制起码在买卖之间有一个可信赖的基础。相关执法部门也有据可查, 这对遏制网络犯罪, 促进未来移动电子商务发展意义非凡。另外, 手机实名制登记, 对于3G的发展以及将来4G的发展会带来良好开端。
总之, 实行手机实名制虽然会给运营商带来管理成本的提高, 但也将为运营商的业务转型提供良好的支撑, 同时运营商有责任、有义务承担起应有的社会公民责任, 在推行手机实名制方面做出自己的贡献。
项立刚:实名制确实对于运营商新增用户有一定的影响, 因为一些手机卡是被某些人大量购买用于群发短信, 甚至用于诈骗犯罪;还有一些人会临时买一些卡, 更有某些运营商为了完成任务, 大量采用代理商开卡, 实际情况却是长期不用或很少使用。这些情况会因为实名制受到一定的抑制。从数字反映出来, 自然就是新增用户数减少了。
我想任何事情都是要必须付出代价的, 实名制也一样, 新增的部分用户并不一定是好事, 群发短信、诈骗犯罪给运营商带来了微薄的收入, 但危害却非常大, 不仅对于运营商的口碑和社会形象产生较大的危害, 而且对社会产生了严重危害。另外减少了代理商开卡, 这对于加强电信运营商的内部管理, 提高监管能力, 减少不必要的成本, 把经营情况做实也有好的帮助。
不过无论如何, 对于运营商而言, 手机实名制这件事短期来讲社会责任大于经济利益, 但是运营商必须认清社会责任和经济利益之间的关系, 要认识到短期内付出代价, 但是长期对于电信业的发展, 尤其是对于未来3G业务发展十分有价值。同时政府有关部门也应该在政策上给以支持和帮助。这样才能使运营商提高积极性做好手机实名制工作。
王留生:受实名制影响, 运营商新增用户数将受一定冲击。首先, 实名制以后, 手机卡的社会销售渠道将会受到压缩, 传统的报刊厅、便利店等销售方式将会被大量取消, 新增用户购买手机卡不会再像从前那样便利。其次, 对运营商来说, 新增用户的真实身份审核存在一定技术难度, 在短时间内审核设备不能完全配备到位的情况下, 部分身份存在疑问的用户入网资格将会受到限制。这都将会对运营商的新增用户构成威胁。
作为运营商, 不能以眼前得失论成败。从某种意义上来讲, 运营商不仅应该积极推进实施手机实名制工作, 还要尽最大努力开发实名制带来的新的市场利润增长点。实施实名制之后, 运营商可以通过改善信息发布源头、规范产业发展环境、降低移动互联业务发展门槛、塑造规模化的实名认证等一系列措施, 提高用户对移动互联网市场的信赖感和热衷度, 从而刺激用户将更多的生活和工作之中的应用迁移到移动互联网平台, 实行便捷化的应用, 通过对用户商业价值的充分挖掘, 开创用户与运营商的双赢局面。
《江苏通信》:有关“手机实名制会不会加剧用户个人信息泄露”成为相当一部分用户担心的问题, 也使手机实名制再次备受质疑。请分析有效推进手机实名制, 政府、运营商、用户均该做出哪些努力, 解决信息泄露这一难题。
舒华英:用户个人信息保护成为手机实名制后社会关注的焦点问题, 这一问题的解决有赖于政府、运营商、用户的通力合作。在推进实名制的几方中, 政府应当监督规范, 运营商应当实时推进、用户应当积极配合。
政府在监督实名制推进工作的同时要解决身份证造假的问题。身份证的问题还要借助现代信息化的手段, 那就是身份证芯片制。对于拥有14亿人口的中国来说, 全民身份证芯片制国家投资会相当大, 但从另外一个角度来看, 身份证芯片制也可以看成拉动内需的一个举措, 这也解决了关乎国家长远利益的一个关键问题。防范制造假身份证, 不仅仅涉及到手机实名制的问题, 也是制胜整个国家安全大局的关键。
当然, 眼下做不到身份证芯片制, 但运营商不能坐等芯片制的到来。运营商在重新构建销售渠道的时候, 出于实名制的要求, 为了保证用户的身份证信息不丢失, 起码在比较大的网点上, 用户的身份证扫描以后, 信息直接进入运营商的中心数据库, 在营业网点上不留下任何信息, 这点应该是可以做到的。同时, 运营商也要尽量把营业网点建立的更多一些, 比如说在银行网点设置一个自动柜台, 身份证进去以后自动扫描, 用户投入相应金额的人民币, 就会自动吐出一张手机卡。
从用户角度来讲, 也应该做好实名制的心理准备。鉴于成本问题, 工信部给实名制三年的缓冲期, 待整个设备、构架都能完善以后, 随即全面实名制。作为用户应该有这方面的心理准备, 待运营商把实名制建立的问题解决以后, 将不会再有手机卡业务, 这会给用户带来一些不方便, 但是从安全和不方便两个角度相比, 还是稍微麻烦一点好。
项立刚:手机实名制加剧个人信息泄露的判断不能成立。确实今天我们存在较多的个人信息泄露, 用户饱受侵扰。但是分析可以看出, 其实目前社会上个人信息泄露最严重的不是来自于电信运营商, 而是房地产公司、车行、医院、保险公司, 因为这些地方不但拥有用户的信息, 同时还是利益相关方, 车行会把信息泄露给保险、房地产公司会把信息卖给房屋中介。电信运营商虽然拥有客户信息, 但是并无太多的利益相关方。而且我国现在有数亿用户是实名制的, 从这些用户的分析可以看出来, 事实上他们受到的信息泄露困扰并不比没有实名制的用户更大。
实行手机实名制也需要加强对于个人信息泄露的管理。首先需要立法, 对于这种情况加强打击, 让相关人员了解需要承担的责任。其次, 运营商需要完善内部管理系统, 做到分层分级权限管理, 拷贝这些信息需要权限。包括对于营业厅和网点的管理, 需要联网化、电子化操作, 像身份信息通过电子手段提取, 网络存储和备份, 事实上就是操作的员工也不可能收集这些信息, 这样就可以大大避免管理中出现的问题。而用户也需要加强自我保护, 减少社会上信息泄露的机会。
王留生:手机实名制涉及到实名登记和实名核实两个环节, 以及更大范围的个人信息隐私安全管理和电信运营商及其经销商最终执行力度等几个方面。因此, 手机实名制执行的同时应该落实以下三个方面的工作加以配合。
第一、加强用户个人信息安全管理工作。用户个人信息安全是手机实名制讨论的焦点环节之一。防止用户个人信息泄密, 提高用户对信息安全保密工作的信任, 主要应该围绕以下三方面加以布局:一是规范信息录入工作, 对自有渠道和合作渠道进行严格规范的管理, 在制度上杜绝泄密隐患;二是加强信息泄密惩罚力度, 相关部门应该从法律层面加强对泄露用户个人信息的责任部门和责任人的惩罚, 增加泄密成本;三是加强网络安全建设, 避免由于网络自身安全问题导致的数据流失从而引发的信息泄密。
第二、协同相关监管部门, 确保手机实名政策能在各个电信运营商中得到有效的贯彻执行, 坚决避免由于执行力度的不同而形成边缘营销空间。
第三、通过用立法和保护用户相关权益宣传的方式, 让用户真正接受手机实名登记工作, 同时也为不配合手机实名工作的个别区域电信运营商以及最终用户实施相关经济或技术惩罚找出法律依据。
《江苏通信》:国外手机实名制进展如何, 可以给我们提供哪些借鉴, 包括推进、步骤、方法等。
舒华英:从国外的经验来看, 手机实名制之后的首要工作还是要解决用户个人信息的保护问题。现代社会本质上是商品经济社会, 商品经济社会本身又是一个诚信的社会, 是一个法制的社会。在诚信和法制的社会里, 很多国家一开始就实行实名制, 比如, 韩国施行的就是“一户一网、机号一体”的实名登记制度。手机实名制背后有一个很重要的问题, 也是我们经常讨论的问题:就是如何保护用户个人隐私。当前, 我国的法制建设是比较滞后的, 尤其是在个人隐私和信息安全的法律法规方面更为落后, 至今我们没有出台一部电信法、个人隐私保护法和信息安全保护法, 这里只有对国家的安全信息的保护, 没有对个人的安全信息的保护, 出台个人信息保护法迫在眉睫。
正因为手机实名制如此重要, 对手机实名制的实施就应该以谨慎务实的态度循序渐进, 逐步建立起一套完善的监管体系与辅助系统。同时我们必须意识到实施手机实名制确实具有一定的繁琐性, 会增加相应的运营成本, 但若能用人性化的原则去引导消费者, 并有效控制其实施过程, 手机实名制定能为我国短信服务市场趋利避害和完善信用体系的各项工作提供有力保障。理性看待, 是人们目前对手机实名制最现实的态度;能否积极务实, 克服解决诸多显性与潜在问题, 则是实施手机实名制成败的关键所在。
项立刚:国外很多国家都采取了手机实名制, 例如韩国、日本、美国。最基本的办法是有一定的时间步骤, 加强立法与管理, 具有较大的强制性。通行的办法是公告一定的时间, 要求用户进行登记, 如果超过时间不进行登记, 在期限结束后, 进行强制性停机, 迫使用户必须登记。而新用户必须进行实名登记, 其实经过一定的时间之后, 能够较好地达到目的, 也有较好的效果。
对于我国, 手机实名制的一个非常重要的环节就是要强制执行, 运营商放松责任, 出现问题需要承担法律责任, 这样才能保证所有用户实名登记, 也才能保证实名制的效果。否则会出现普通用户实名登记了, 而一些企图违法者不登记, 很容易钻空子, 这样实名制的初衷就难实现, 也会造成一定的负面效应。实名制的政策形同虚设。
王留生:国外一些比较发达的国家很多都实行了实名制, 而且已经形成了一些有意义的经验, 主要有以下几点。
一、完善立法。从国外的经验来看, 完善个人隐私权立法是手机实名制成功运作的先决条件。法律是国家意志力的最高表现形式, 从法律高度明确侵权隐私权的制裁措施, 将会对潜在侵犯隐私犯罪构成绝对威慑;同时, 完善隐私权立法也将增强民众对国家保护隐私的信任, 强化社会对隐私及信息安全的重视。我国目前隐私权立法不完善, 侵犯隐私成本极低, 将会严重阻碍手机实名制的推进, 因此, 加快我国隐私权立法, 减少手机实名制障碍就成了当务之急。
二、从源头做起。从目前来看, 国际上手机实名制实施成果比较显著的国家有一个共同点, 即从手机发展之初就开始实施实名制。我国的手机实名也是从源头做起的, 只是运营商在执行上较为宽松, 即便这样也为进一步的全面实名打下了很好的基础。下一步的工作就是要在遵守相关规则的基础上, 把实名制工作分化到连续的时间段, 严格执行、循序渐进, 直至实现全面实名制。
三、便利消费者。手机实名制的本职目标是在把用户风险降到最低程度前提下为消费者带来尽可能多的便利。手机实名制需要最大部分用户的积极配合, 否则, 在运营商没有实名登记工作的主观愿望下, 要实现完整意义上的实名制无异于天方夜谭。用户之所以不愿配合手机实名制工作的根本原因就是缺少自愿实名制的动力, 同时又担心手机实名制带来的风险。因此, 让消费者享受到实名制的便利是争取用户配合的重要手段。
总的来说, 手机实名制顺利推广的关键要素有四点:一是电信运营商和合作经销商对规模化手机增量与存量用户进行实名登记与核实的成本可执行;二是相关部门对个人信息安全进行规范化管理配套制度的完善和监控;三是手机实名制能够在电信行业各个运营商以及其经销商得到彻底的执行;四是用户意识到手机实名对安全的意义, 主动推动手机实名制度的发展。
谁来保护智能手机安全 篇8
根据第三方互联网数据研究机构CNZZ的统计,201 1年2月智能手机用户在所有上网人群中的占有率达到0.9%,使用率为0.83%,同时增长速度十分迅猛,预计在短期内两项指标便均可以突破1%。
但是值得注意的是,智能手机虽然流行,但在国内许多用户更为流行的“破解”和“刷机”行为,往往导致智能手机存在重大安全隐患。
现阶段手机病毒和恶意软件产生的危害主要集中在以下几个方面:窃取隐私、直接造成手机使用障碍以及骗取费用等。传播途径以伪装或与其他软件绑定诱骗用户进行下载安装为主。
相比手机病毒,手机恶意软件的危害性更为明显。这些软件有较强伪装性,诱导用户无意中扣费,并且屡删不止。更让人气愤的是,为了清除这些恶意软件,用户会先安装手机安全软件进行清除,而这些安全软件反倒是最大的恶意软件,诱骗乃至强迫用户付费来确保自己的安全。而国家目前还没有手机安全软件的管理规定,导致这一市场泥沙俱下,让用户在选择手机防护工具时难以判断。
目前市场上各类手机安全软件所对应的是各种操作系统,由于商家的竞争,其市场份额也悄然发生了改变,而对市场份额的最大化占有是导致手机安全风险的外部因素之一。
在目前主要的智能手机系统中,使用苹果iPhone系列手机上网的人数在几大智能手机操作系统中鹤立鸡群,占所有智能手机所产生的网络流量的42.57%。同时,iPod Touch和iPad这两个同样运行iOS的移动上网平台也产生了相当多的流量,两者产生的页面浏览量之和达到iPhone的85%。紧随iPhone后的是Windows Mobile系统,其产生的页面浏览量占智能手机总体的比例为25.60%,并且有下滑的趋势。塞班系统产生的页面浏览量占总量的22.34%,排名第三位。安卓系统尽管人气很旺,但流量水平还暂时排在第四位,达到9.17%。
试谈手机安全防范 篇9
移动互联网的兴起与迅速发展, 让智能手机为代表的移动终端成为人们日常生活与工作必不可少的工具。 通信、 购物、 社交、 游戏、 娱乐、 理财等原本需要在线下的现实空间里进行的社交与商业活动, 现全部都可以通过在线实现。 近年来, 移动互联网的发展创造了神话般的奇迹, 疯狂的双11网购节, 春节中国互联网三巨头BAT的红包大战等, 随着一大批雨后春笋般的移动互联网应用APP的推广, 现实生活及工作中的场景及应用都在 “互联网+” 时代得到大力推广, 这些都极大地方便了人们日常工作、 学习、 生活。
当手机成为随身极为重要的工作、 生活工具的时候, 当移动互联网为带来前所未有的便利时, 那么问题就来了, 手机等终端安全问题变得越来越突出, 利用电信欺诈、 手机银行窃取他人资金的案件常见诸报端; 窃取通信录、 应用密码账户、 通话记录、 短信内容、 照片、 位置信息等个人隐私和敏感数据时有发生; 非法获取他人电话号码、 推送垃圾广告等违法犯罪活动每天发生。 这些都严重影响了广大用户的正常学习、 生活和工作。 随着持有智能手机用户的不断增长, 4G、 5G及新一代移动通信技术的发展及应用, 以及中国在十三五规划中大力推进智慧城市、 移动网络提速降费等通信网络工程项目的实施。 在未来更好的通信技术、 通信设备与网络, 更多的智能手机用户, 更多的移动互联网应用, 这表明ICT融合下手机应用会更丰富、 更便捷, 但是安全问题会更多, 移动互联网安全形势将更加严峻。 手机的安全使用将确保用户的生活、 工作不受影响, 因此手机安全防护已不再是一个简单的话题。 面对手机所存在的安全问题, 常困扰着在手机安全方面毫无知识的普通手机用户, 那么手机用户应该如何防范手机被入侵呢? 下面就此问题进行论述。
2 手机安全问题产生的原因
说到手机应该如何防范入侵, 实现手机的相对安全 (安全总是相对的) , 首先要了解在整个手机通信中, 会在哪里被恶意的入侵者入侵, 要了解这个, 就应该清楚智能手机是如何对外进行通信的? 通信的大概流程如下所示:
智能手机 (接入端) →基站.无线AP (网络连接) →核心通信网络.业务服务器 (运营商核心网络)
智能手机产生的数据或语音等数据, 通过移动基站的无线通信信号进行传送, 或者通过无线Wi Fi来连接互联网, 这过程叫做智能终端设备与移动通信核心网络连接的通信连接, 数据或语音等来到核心通信网络进行交换或者相关业务的访问, 最后经过处理后再反馈到自己或其他的终端里, 完成一次的访问或通信过程。 由此可知, 智能终端设备产生的数据或信号在移动通信里至少在3 个层面是存在的, 也就是接入端层、 网络连接层、 核心运营层。 另外, 作为ICT融合中很重要的一点, 智能手机在其接入方式中, 不但能接入移动通信网络, 还能通过无线芯片接入互联网, 其他的接入方式还包括蓝牙等, 其接入类型也是很多的。 那么手机的安全问题就来了, 通信过程中数据所经过的3 个层面, 就是入侵的主要目标; 对外丰富的连接方式, 就是入侵最重要的途径。 下面, 结合现在流行的智能手机入侵方法, 对智能手机存在的安全问题分析为如下:
(1) 核心运营层: 对于核心网络. 核心运营层, 电信运营商、 服务商提供的应用业务常带有漏洞, 容易导致入侵、流量消耗、 用户重要信息漏泄的问题; 核心通信设备留下的后门及设备系统的脆弱性, 常被入侵, 用户数据受到监听、截取。
(2) 网络连接层: 常出现伪基站攻击, 通过伪基站接收和发送信息, 可以截取通信数据, 也可以通过伪基站发送假的官方号码发出信息, 误导用户点击下载其他恶意程序, 实现其他的不可告人的目的; 利用手机连接无线Wi Fi网络, 利用非法AP进行中间人欺骗攻击。 中间人攻击能对授权客户端和AP进行双重欺骗, 进而对信息进行窃取和篡改。 由于大部分网络通信都是以明文 (非加密) 的方式在网络上进行传输的, 因此通过监视、 并破解 (读取) 通信; 就能够得到用户的网络通信信息。
(3) 终端接入层: 终端接入层的主要是指各种智能终端设备, 对于手机终端来说, 是和用户最紧密接触的, 如果说手机的安全入侵能看到效果的, 往往都在手机上。 因此手机本身是最大的也是最容易被入侵的一个目标。 所以手机终端安全里包括硬件安全和软件安全。 硬件安全主要是硬件芯片、存储安全等, 有此生产商会留后门, 就留下了很大的安全漏洞, 有些硬件芯片等的驱动不完善, 导致容易产生不明接入漏洞, 容易导致入侵; 而软件安全则包括系统安全和终端应用安全, 现主要讲讲软件安全。
现手机主流使用Andriod系统和苹果的IOS操作系统, 以Android系统为例介绍。 Android是一个基于Linux内核并使用Java语言编写应用的开源的移动终端操作系统, 主要用于便携设备, 如手机、 平板电脑等。 Android系统采用4 层软件架构, 包括Linux内核层、 运行库层、 应用程序框架层、 应用层[1], Android系统安全威胁存在的原因主要有以下两点:
(1) 操作系统存在的安全威胁
任何操作系统其实都会有漏洞的, Android作为开源的大受欢迎的移动终端系统, 必然受到的入侵是非常多的。 Android系统采用沙箱来隔离应用程序, 使恶意代码仅能运行在自己所在的沙箱中, 实现保护系统目的。 移动设备通过获取root权限来获取Android系统的完全控制权, 可以隐秘安装应用程序, 读写用户隐私数据, 修改或删除其他应用程序的文件等等, 对用户的Android手机造成安全隐患。 另外, Android权限许可机制也容易让用户上当受骗, 恶意代码开发者通过首先发布一款不含恶意代码的合法应用, 在权限许可机制下, 开始安装这个应用是没有问题的, 但在后面通过提示用户更断, 通过更新植入恶意代码, 要求更多权限, 由于用户已经使用并信任之前的合法应用, 因此, 恶意代码通过更新直接进入了用户手机系统, 这一方式很容易入侵用户手机。
(2) 终端应用软件存在的安全威胁
Android采用开放的应用程序分发模式, 过度开放的分发模式[2], 给恶意代码开发者入侵用户手机制造机会。 恶意代码开发者从Android应用商店下载合法的热门应用, 然后将它跟恶意代码重新打包, 再发布到其他应用商店和网站, 用户下载了这些带有恶意代码的APP, 就会遭到恶意攻击。 另外, 不断涌现的应用软件, 总是有很多的漏洞, 这些漏洞给入侵者带来很多的攻击机会。 软件漏洞是指应用程序本身设计实现时存在的问题, 使得恶意代码开发者能够利用这些漏洞攻击安装了这些应用的手机。 Web浏览器是其中最为危险的漏洞软件。 Android Web浏览器以及能够通过浏览器装载的软件, 包含了大量可供恶意网页攻击的漏洞代码, 应用商店里的很多应用, 其实都是有安全漏洞的, 每装多一个应用, 就多一个安全问题。
3 手机安全防范的方法
对于手机安全, 做足了防范措施, 安全都永远是相对的、动态变化的, 作为用户方必须要给予持续的重视与关注才能长治久安。 另外, 从分析的可能出现问题的几个层面: 核心运营层、 网络连接层、 终端接入层, 对于普通用户来说, 可能更关心是终端接入层的问题, 但在考虑手机安全防范时必须要有系统的观点, 只有在这几个层面都安全, 才能让手机获得更好的安全保障。 针对以上存在的安全问题, 结合个人思考, 对手机安全防范的方法总结如下:
(1) 确保核心运营层设备安全可靠
在放眼全球的情况下, 在斯诺登事件后, 为确保国内通信安全, 必须要采购使用国内产品, 国内通信设备生产商要拥有核心技术, 具备自主知识产权, 加强设备及机制的安全管控, 才能确保所有手机通信信息在核心运营层流转的情况下保证用户信息安全。
(2) 确保通信网络连接安全
选择4G通信。 在移动通信技术2G/3G/4G等选择上, 3G/4G等网络在安全机制上会更强;
防范伪基站攻击。 对于伪基站发送假的官方号码发出的信息, 误导用户点击下载其他恶意程序, 收到这种短信一定不要乱点。
设置禁用无线Wi Fi自动连接功能。 自动接入不明无线Wi Fi网络, 会让用户手机暴露在恶意网络中, 通过HACKER软件就可以实现信息捕获, 入侵者利用非法AP进行中间人欺骗攻击, 因此要设置无线Wi Fi自动连接功能。
下载并使用带有加密通信功能的APP。 在连接通信过程中, 明文 (非加密) 的方式在网络上进行传输很容易被监听并捕获信号, 因此大家在下载APP时, 最后下载带有加密性质的应用软件。
(3) 确保终端设备软硬件安全
选择有自主研发实力的国产手机品牌。 要确保手机核心芯片的研发为国产, 拥有核心技术, 具备自主知识产权, 在安全控制上做得很好。 谨防硬件后门, 防止给国外厂商盗取用户信息。 这个对于国家重要的政府官员来说是很重要的;对于普通民众, 其实常出现用户信息被收集的可能, 普通用户也必须要谨慎对待。
定期更新手机软件或系统。 官方会定期公布系统或软件的安全漏洞, 通过定期更新手机软件或系统, 打好补丁, 可以避免通过安全漏洞的入侵。
正规网站下载手机应用程序和升级包。 避免到一些不明的应用商店下载APP, 很容易让用户在不知不觉中将恶意软件安装进了手机, 对于免费的一些应用软件要注意是否带有恶意代码, 建议最好从可靠来源获取软件。
为手机安装安全软件。 安装一款有效的手机安全软件, 对于一些恶意代码、 木马病毒、 恶意网站、 危险交易等都有很多的防范功能, 可以在恶意软件感染手机设备之前发现并阻止该恶意软件, 将安全威胁降到最低。
优化手机安全设置。 设置一个强健的密码或PIN码, 设置手机开机密码, 实现简单的密码保护。 对程序执行权限加以限制, 用户应该尽量注意到任何要求输入个人信息或手机设备信息的情况, 以及在进行有关操作时跳出的与该操作无关的任何程序或对话框。
不要相信陌生人发来的信息。 不要轻信陌生人发来的二维码信息, 如果扫描二维码后打开的网站要求安装新应用程序不要轻易安装。 遇到诈骗信息, 千万不能相信, 有明显古怪行为的, 应提高警惕。
设置强健密码, 谨防密码泄露。 账号及密码设置一定要注意迁移式的攻陷, 在设置密码时, 有些网站的注册账号容易被入侵, 部分网站安全漏洞较多的情况下, 很容易泄漏用户密码, 如果密码与银行密码相同、 移动支付密码相同, 将会导致用户资金损失。 在设置密码时, 要避免以生日、 姓名、手机号码等容易猜的信息来设置, 可以避免社会工程学的攻击。 建议在大小写英文、 数字、 特殊符号这4 种符号里选择至少3 种以上设置, 密码长度最好8 位以上, 这样的密码才更健壮。
4 结语
手机的安全问题其实是一个变化的动态的相对的问题, 随着技术的发展, 手机安全防范也将是变化的, 以系统的观点来分析了手机安全问题, 并以一种系统的观点来思考手机安全防范方法, 提出手机防范的一些具体措施及策略。
摘要:在移动互联时代, 智能手机带来了工作及生活上的便捷高效, 但同时也存在大量的手机安全问题, 给人们的生活、工作带来极大伤害。以系统的观点分析了手机安全产生的原因, 给出了手机安全的防范方法, 对于手机安全提升及防范入侵提出了一些具体措施及策略, 为用户智能手机安全防范提供帮助。
手机二维码安全研究 篇10
关键词:二维码,隐患,预防措施,泄密
二维码因其具有信息存储容量大、译码可靠性高、容错能力强、防伪性好、制作成本低、持久耐用,能与手机等智能终端很好地结合等优点而受到商家和用户的青睐,被越来越多地应用到各个领域。无论是社会公共事业(如车票),传统产业或是新兴产业,抑或是电子商务,甚至小团体或者个人,都有属于自己的黑白相间的小方块。而新近出现的彰显个性的创意二维码,更加受到人们的关注。然而,由于二维码的制作成本较为低廉,技术门槛过低,仿制较为容易,而且用户无法直接阅读出二维码中的内容,“扫扫二维码”在给用户带来便利的同时,所产生的信息安全风险不容忽视。
1 二维码
1.1 二维码的产生
二维码,又称二维条码,是在一维条码的基础上发展起来的。一维条码只是在一个方向(一般是水平方向)表达信息,而在垂直方向则不表达任何信息,它所具有的高度仅是为了便于阅读器的校准[1]。由于一维条码存储容量小,且只能表示字母和数字,在应用上有很多局限,因此只能作为数据的标识。为了使条码的信息容量更大,使用更加灵活可靠,早在20世纪8年代末,就已经开始了对二维码技术的研究。二维码,是用特定的几何图形按一定规律在平面(二维方向)上分布的黑白相间的图形。
1.2 二维码的分类及发展
在二维码的研制过程中,分成两个方向,一种是在一维码的基础上向二位码扩展,称为堆叠式二维码,有代表性的是Code 16K、Code 49、PDF417等。另外一种则是采用新的编码结构,称为矩阵式二维码,有代表性的是QR Code、Data Matrix、Maxi Code等。
二维码在产生之初,受成本高,移动终端少等条件的制约,应用并不广泛,有一些报纸等方面的应用也是不愠不火。随着智能手机等移动终端的普及,加上自身技术的改进,以及2012年互联网巨头对二维码的推广,二维码才正式走入普通用户的视野[2]。
2 手机二维码
2.1 手机二维码概述
各种二维码因其适应性差异,应用的范围和区域有所不同。手机二维码是二维码技术在手机等智能终端上的应用。在我国使用最广泛的手机二维码是QR Code,它能高效地表示汉字。QR Code是1994 年日本Denso Wave公司为了追踪汽车零部件而设计的一种条码,其全称为Quickly Response,意思是快速响应。QR Code的基本结构[3]如图1所示。
在图1中,Position Detection Patterns是位置检测图,定义了二维码的检测位置和方向;Timing Patterns是定位图形,确定基准位置的坐标;Alignment Patterns也是定位图形,用作定位;Format Information用于存放格式化数据;Version Information存放版本信息;Data and Error Correction Codewords区域存放数据和错误校正码。
2.2 手机二维码的广泛应用
由于起步较早,在日本和韩国,手机二维码技术已经发展的相当成熟,被广泛地应用到人们工作生活的各个领域。尽管我国推广二维码技术较晚,但由于各大厂商的支持,以及拥有大量的手机等移动终端用户,二维码技术拥有无比广阔的发展空间。
2.2.1利用二维码读取信息
用户可以通过手机等移动终端扫描名片、宣传册、报纸、杂志、商品包装、广告、电视媒体、网络媒体等投放的二维码,以方便获得个人和商品的资料;快速定位浏览网页信息,从而获取更多的商品咨询;还可以加入网络互动提升用户体验感。
2.2.2 利用二维码监控质量
通过手机二维码的识别验证功能,实现对商品的跟踪和追溯,实时查询商品的状态,保障商品的安全。
2.2.3利用二维码实施电子商务
通过二维码方便快捷的下载商家电子优惠券,或通过购买等方式取得电子凭证、电子票的二维码,或者通过二维码购买支付商品等,这些流行的电子商务应用,均为消费者带来全新的消费体验。
3 手机二维码的安全威胁
手机二维码在被广泛应用的同时,由于其自身的技术特点,特别是二维码中信息的不可见性,以及门槛偏低的制作技术,已经成为病毒传播的新渠道。作为手机上网的最方便快捷的入口之一,二维码安全不容忽视。
3.1钓鱼网站
用户通过扫描二维码,跳转到相应的网站,既节省输入网址的时间,又避免输入网址的繁琐过程,初衷本是为了享受技术进步所带来的高质量的浏览体验。但不法分子却制作钓鱼网站,利用二维码来伪造链接,迷惑用户。用户如若稍有大意,没注意仿冒网址中的相似字符或是网页自动跳转,在这样的不法网站中输入个人信息或者进行网上支付的服务,就会被盗取个人敏感信息,造成不可挽回的经济损失。
3.2病毒木马
不法分子在二维码中植入病毒、木马,通过伪造中奖信息、优惠券、常用程序下载,或是告知用户扫描带有病毒的二维码是电子支付中必不可少的环节,诱骗用户扫描。扫描后手机等移动终端将有可能被自动下载并安装插件、病毒、木马程序,这些不法程序获取个人信息、手机通讯录信息、账户密码信息,隐秘的发给不法分子,供其盗卖盗刷。有些不法程序还会利用你的手机作为病毒源,持续不断通过即时通信软件或邮箱给好友发送邮件、信息,传播病毒木马,寻找下一个侵入目标,造成群体损失。
3.3不良信息
有些二维码会被植入不良信息,扫描二维码后,手机会莫名其妙地弹出很多广告网站或者色情网站,干扰手机的正常使用。
4手机二维码的安全防范
4.1安装手机防病毒软件
手机防病毒软件和电脑上的杀毒软件类似,现阶段比较流行的防病毒软件主要有:360 手机卫士、腾讯手机管家、LEB安全大师、金山手机卫士等,当用户扫描二维码时,这些防病毒软件可以进行实时监护,一旦发现可疑信息,立即提醒用户,并终止访问。而且还可以应用它们扫描手机中可疑文件,如发现恶意程序将被立即删除或隔离。安装手机防病毒软件能有效防止病毒、木马的侵入,保障手机安全。
4.2安装具有安全扫描功能的二维码软件
二维码的扫描软件种类繁多,各具特色,如快拍二维码、我查查、二维码扫描、芝麻客等等,最好安装大公司,且具有安全扫描功能的二维码软件,用户在使用这种软件扫描二维码成功以后,不仅会显示链接,还会显示某种防病毒软件的认证标志,一旦检测到威胁,扫描软件将提醒用户谨慎下载和安装,为二维码保驾护航。
4.3核实二维码来源
切忌见码就扫[4]。二维码的内容目前还处在无人监管的阶段,因此用户尽量选择正规机构、商家、网站、媒体的二维码信息。对于来历不明的二维码,一定要保持警惕,核实后再扫描。特别对于有诱惑性的二维码,如中奖或优惠券等,要控制住自己的好奇心,避免感染吸费木马恶意扣取电话费用,或造成个人账户等隐私信息的泄漏。
4.4提高二维码安全意识
用户在保持良好的扫码习惯的同时,还应不断提高二维码安全意识。钓鱼网站由于欺骗手段的隐蔽性、欺骗方式的多样性,往往难以识别,特别通过二维码伪造链接后,更易迷惑用户。因此用户在通过扫码链接的网站填写个人敏感信息,或进行电子商务等活动时,一定要注意网站的域名,确保是安全正规的网址,不要被相近的域名所迷惑,从而走进钓鱼网站的陷阱。
5 结束语
二维码给用户带来各种便捷的同时,二维码技术也日趋成熟和普及。除了传统的电子凭证、网络、媒体等应用领域,二维码在医药、军事、教育等领域均有良好的发展前景。在扫描量飞速增长的同时,如何确保扫码安全,杜绝隐患,是用户最为关注的问题,也是二维码技术发展过程中必须面对的问题。
参考文献
[1]廖东方.二维码电子标签的安全技术研究[D].北京邮电大学,2008.
[2]郭全中.二维码的现状与未来[J].新闻与写作,2013(7):22-25.
[3]王文豪,张亚红,朱全银等.QR Code二维条形码的图像识别[J].计算机技术与发展,2009,19(10):123-126.
智能手机需要智能安全 篇11
企业对移动通信的需求越来越大,连生产车间都需要移动通信——要是出了问题,维护工程师很快就可以在手机上收到机器自动发来的警报短信。因而,确保智能手机的安全也变得越来越棘手。Henze所在公司目前的政策是,只支持员工使用基于Windows Mobile的智能手机,因为非标准设备无疑会使手机的安全工作更复杂。不过,对有些人来说,手机就是自己的时尚宣言。如果员工使用个人电脑,可以明确规定本企业环境不支持Mac机;但如果员工使用手机,是否能始终明确禁止使用某种手机呢?
智能手机的多种威胁
越来越多的IT和安全主管正在竭力应对企业员工智能手机面临的安全问题。
最主要的问题还是:一旦手机或可拆卸存储卡丢失或被盗,里面的敏感数据很可能泄露出去。员工要是没有删除手机里面存储的数据,就将手机卖掉或送修,数据也有可能外泄。
此外还存在这样的风险:与虚拟专用网(VPN)连接的设备可能将企业网络暴露在黑客和恶意软件入侵威胁面前。各种病毒通过短信后门及其他漏洞攻击手机本身的可能性也越来越大。Strategy Analytics咨询公司的分析师Philippe Winthrop曾经这样发问:“要是我拿到了你的手机,捣鼓一番,导致手机连接到了企业的VPN怎么办?这是企业面临的一大风险,但目前人们还没有予以认真对待。”
更为复杂的问题是,用户们倾向于把智能手机看作自己的个人装置,认为企业的IT部门管不着。Gartner公司的分析师John Girard说:“一种根深蒂固的观点是‘这是我自己的移动设备’。”他表示,用户常常把其智能手机看作一种娱乐设备,而不是需要保护的一种资产。
Girard表示,智能手机的多媒體功能带来了其他问题。比如说,公司政策可能明文禁止将公司文件拷贝到外部存储介质上,但有没有一项政策禁止在办公室用智能手机拍照或录音会议内容呢?
许多公司试图通过为员工购买标准手机来进行控制——此举至少可以让这些公司只需支持一种操作系统。伯顿集团的分析师Paul DeBeasi认为,即便那样,用户还是不太会严格遵循标准。他说:“我看到有些员工将公司发放的手机放在左边口袋里,而将个人的手机放在右边口袋里。”
的确,据移动安全和管理工具厂商Good Technology公司最近对欧美300家公司开展的一项调查显示,近80%的调查对象声称:希望把个人设备带到工作场所的员工数量在过去6~12个月里有所增长;28%的调查对象称,曾经由于非授权设备导致数据泄密。
尽管存在种种安全风险,“仍有三分之二的公司未能制定及执行移动设备方面的IT和业务安全政策。”Winthrop说。
Girard也认为,许多公司迟迟没有认识到与手机有关的数据泄漏可能带来的后果。他说:“等到智能手机的安全问题严重到一定程度,人们才会像重视电脑安全那样重视它。”
重视智能手机安全
无论是通过第三方平台,还是通过智能手机厂商本身,集中保护及管理智能手机的技术的确存在。许多分析师一致认为,在诸多智能手机厂商当中,黑莓手机生产商RIM和微软公司提供的管理平台最佳,微软拥有最新版本的Windows Mobile。
至于其他智能手机设备或者支持多家厂商手机的那些企业,有多种方案可供选择,其中包括:Credant Technologies、Good Technology、Sybase、Trust Digital、趋势科技和MobileIron等厂商提供的管理软件。这类平台提供诸多关键功能,包括集中管理以下方面的功能:
密码管理
认证授权
强加密
闲置断开:即闲置一段时间后,用户被迫退出应用会话,并提示输入密码、重新建立会话。
远程清除存储内容:如果设备丢失或被盗,或者用户输错验证证书次数超过规定次数,就启用该功能。
在总部设在纽约的战略传播公司Robinson Lerer & Montgomery,首席信息官Jeff Saper通过向所有员工发放黑莓手机、供员工统一使用,克服了安全难题。Saper使用了黑莓企业服务器提供的450项无线IT政策和命令中的若干项。该公司还采用Good Technology的平台来处理Palm和Treo设备,但是,当Saper决定用单一平台进行集中管理时,它把目光完全投向了黑莓。黑莓的安全措施包括:设备闲置十分钟后,自动断开;如果设备丢失或被盗后担心数据安全受到危及,或者密码输错次数超过十次,就自动远程清除设备里面的数据。Saper说:“就算有人破解得了密码,数据仍是安全的。”最重要的是,用户自己无法禁用任何安全功能。
Saper表示,就远程清除而言,数据备份到黑莓服务器上很重要,那样数据还可以恢复。由于服务器与微软Exchange连接在一起,他还能恢复消息历史。Girard指出,这种备份让人清楚手机上有哪些数据,从而清楚要是手机被盗,哪些数据将岌岌可危。
Girard表示,尽管其他平台也能执行远程清除,但黑莓服务器还提供确认功能,表明确已清除完毕;要是涉及智能手机数据泄密的案子最终上了法庭,这种功能可以让公司处于比较有利的地位。他补充说:“要是你无法证明已清除数据,听起来可不妙。”
Girard还认为,对设备进行设置,以便闲置一段时间后自动断开很重要。他的建议是,对于所含信息很重要的设备,设置成闲置1~5分钟后断开;对于信息较重要的设备,设置成闲置10分钟后断开;对于信息不太重要的设备,可设置成闲置15分钟后断开。员工若要继续使用设备,就应当输入强密码,重新进行验证。
说起来容易做起来难。Girard说:“由于是移动设备,人们觉得应该很容易使用,于是不愿输入7位数或12位数的密码。但4位数密码根本不行,因为别人很有可能看到你输入的是哪几位。”
Girard还认识一些客户,他们允许密码可以输错十多次,之后才禁用设备。这项政策大有问题。他说:“就算你喝醉了,试了这么多次密码后,应该也能进入设备。”
Christopher Barber是总部设在加利福尼亚州圣迪马斯的西部企业联邦合作信用社(Wescorp)的首席信息官,他的企业信息系统支持黑莓和苹果公司的iPhone 3G这两种设备,其中iPhone上运行销售人员所使用的电子邮件和关系管理应用软件。为了保护iPhone的安全,Barber设置了一套标准安全配置文件(包含他希望的所有防范措施),微软Exchange服务器则把该配置文件发送到移动设备上。
防止数据外泄
智能手机最让我们担心的是,它可以作为一种存储设备来使用。用户把智能手机接到USB端口后,即可下载公司文件,并把这些文件带到外面。不过借助全局安全配置文件,可以执行密码强度和加密功能,那样即使用户真的把敏感数据存储在便携式设备上,也可以降低万一手机丢失或被盗时别人读取里面数据的可能性。
Girard表示,采取集中加密方法很重要。所有知名厂商都为各自生产的手机提供了加密功能,但除非企业采取集中加密的控制手段,否则加密功能只是可选的。”
保护智能手机的安全是风险管理问题,而不是要面面俱到。Barber表示,近期在YouTube视频上看到有人用破解程序,闯入了受密码保护、经过加密的iPhone。他还说,iPhone可拆卸的SIM卡是个安全隐患,因为要是小偷取下SIM卡,手机就收不到远程销毁命令,因为手机无法连接到公司网络。
为了抵消这种风险,Barber采取了政策与教育相结合的办法。
他说:“我们培训每个员工,不要把敏感数据存储在iPhone上。”他希望,將来可以用数据丢失防护技术作为辅助手段,该技术可以监控转移到电子邮件附件或USB驱动器上的数据。“我们尽量确保安全,但风险总是存在。”
在温莎食品公司,Henze也利用MobileIron公司的虚拟智能手机平台,采取了集中管理的方法。之所以作出这个决定,是因为他希望利用单一平台不仅可以管理安全,还能管理运营商合同和部署。此外,尽管统一使用Windows Mobile设备,他还是希望确信自己没有被该决定所禁锢。MobileIron支持黑莓和iPhone,还计划支持Symbian和Android设备。
Henze从基本方面入手,比如密码管理、自动禁用和远程清除,如今还在增加集中加密措施。虚拟智能手机平台还能备份手机上的应用程序和数据,并报告配置和内存利用率方面的情况,这就加快了诊断及排除故障的速度。此外,它还能清点存储在手机上的应用程序,禁用没有得到批准的应用程序。
Henze说:“从IT的角度来看,MobileIron的平台让一切变得更容易。”
对Henze来说,确保智能手机安全的工作才刚刚开始。比如说,他正考虑将数字权限管理与智能手机管理平台集成起来。
Henze说:“假设我们公司有个员工的笔记本电脑里面装满了机密信息,但他被解雇了。如果有数字权限管理,其电脑就会与服务器取得联系,查看他还是不是合法用户。如果不是,他就再也无法读取那些文件。”他表示,这么做的效果好于远程清除,因为要是文件存储在可拆卸卡上,就无法删除文件了。
有些用户一直担心:要是IT部门监控自己的手机,就毫无自由可言了。不过,考虑到IT部门能在部署新手机、更换手机及远程排除故障等方面提供更好的服务,这种担心就不大重要了。比方说,IT部门买来新手机后就能立即进行配置,不需要花上三四天的时间,员工就可以使用新手机了,这样的方便往往会让员工心存感激。
最后,随着越来越多的智能手机进入企业,无论它们由公司发放,还是由员工自己带入,没有哪一种手段可以确保绝对安全。但有一点可以肯定,绝对不能对员工放任自由。目前让员工对自己的设备负责的企业IT部门其实并不罕见。但到头来,倘若数据泄露,负相应责任的会是雇主。
链接:
智能手机十大风险及对策
1、没有配置管理计划
对策:应将负责管理智能手机的任务交给配置及管理电脑的同一批员工。
2、没有开机密码,或使用弱密码策略
对策:好几家厂商的设备管理控制台都可以设置密码复杂性规则和密码重置提问与答案。
3、没有闲置断开或自动上锁功能
对策:应借助设备管理控制台,远程执行断开政策,那样企业就能保持近乎实时的控制。
4、没有自动销毁或数据清除计划
对策:应使用远程销毁命令和本地清除两种方法。密码输错次数超过规定次数后,或者设备断开网络达到预定时间后,应采用后一种方法。
5、没有内存加密规则
对策:几种主要的企业智能手机操作系统都提供执行加密机制的设置。
6、备份和同步方面没有总体计划
对策:使用安全的远程备份和存储工具,定期执行后台同步操作。
7、电子邮件转发方面没有障碍
对策:可以通过企业电子邮件系统的服务器端设置,对电子邮件和附件的转发进行管理控制;还可以通过商用数据丢失防护过滤软件进行进一步过滤。
8、没有应用程序验证规则
对策:可以利用私钥来限制允许安装或执行哪些应用程序。
9、没有默认的浏览器许可规则
对策:配置手机时,选择符合公司政策的默认浏览器设置,以免为恶意代号提供入口点。
10、没有应对智能手机多样性的计划
一种安全启动手机的方法 篇12
本文涉及嵌入式系统技术, 更具体地, 涉及对手机安全启动的技术。
二、背景技术
随着移动通讯技术的发展, 手机已经进入千家万户。手机的代码却有着一定的脆弱性, 市场上的某些人可能将手机的存储介质中的代码进行修改, 以达到一定的目的。或者手机可能被非法下载其他代码。所有这些对于手机设备商或运营商而言都是不希望看到的。有鉴于此, 本文提出了一种可以对手机中将要运行的代码进行认证的方法, 如果是设备商认可的代码, 则可以允许该代码在手机中运行, 如果该代码不能通过手机的安全认证, 则不允许该代码在手机中启动运行。OTP区, 在一般的NAND FLASH器件上都会有一块OTP区域, OTP含义是One Time Programmable, 即一次可编程区, OTP (一次可编程) 存储区的特性与一般FLASH存储器不同, 一般FLASH存储器可以通过擦除命令恢复出厂状态 (0x FF) , 然后可以重新写入数据, 而OTP存储区一旦写入数据后, 就无法通过擦除命令恢复出厂状态, 即对于每个bit位, 只能从“1”改写为“0”, 而不能从“0”改写为“1”, 即不可逆。存储器厂家保证OTP区域的可使用性, 不会有坏块的情况。
三、具体内容
为了解决现有技术中的问题, 本方法提供了一种手机安全启动的方法, 手机的启动过程同大多数嵌入式式系统一样, 分为boot阶段和OS操作系统阶段。不论是手机产品还是嵌入式系统, 都需要一个OS系统 (或封闭式OS系统, 或开发式OS系统) , 系统上电后, 总是先运行启动代码boot, 完成CPU的初始化, 以及各种外设和外部存储器 (Nand Flash, Sdram) 然后将处理权交给OS系统, 运行各式应用程序。这一段启动代码就是我们通常所说的boot代码。此处所讲的OS代码, 不仅仅指的是手机的嵌入式操作系统, 还有与之相关的在该操作系统上运行的其他应用任务程序代码。正常的手机启动过程是手机上电, 系统自动将boot代码加载到ram中运行, 此时boot的任务就是初始化CPU, 初始化Nand Flash, Sdram, 加载下一级运行代码OS到Sdram中。等到OS加载完成后, 从boot手中将CPU控制权交到OS控制, 开始执行OS代码。但是在有些非法使用者在拿到手机后会用一些手段防止有些手机在未经授权的情况下被非法用户通过强力手段, 通过TRACE32或类似的擦写Flash的方法将原来存在的代码擦除掉, 然后再将修改过的或者未经授权认证的代码下载到手机中使用。
本方法的一个方面提供了一种在手机启动时boot阶段对手机即将运行的操作系统及相关应用代码进行安全认证的方法。本方法将boot阶段认证操作系统及相关应用代码认证的密钥存放在NAND FLASH的OTP区域, 该区域不存在坏块问题, 可以确保密钥不会遭到非法修改。
对OTP区的读写操作同其他的NAND FLASH的block不同, 对于sumsung的Nand Flash对OTP区域的读写命令。OTP (One Time Programmable) block是Nand Flash里一个隐藏的block, 该block必须使用特殊的指令来存取, 以三星的Nand Flash为例, 对普通block的一个page进行读操作的时序其指令部分只有一个字节 (0x00) , 对OTP block的一个page进行读操作的时序其指令部分有三个字节 (0x30, 0x65和0x00) 。对普通block的一个page进行写操作的时序其指令部分只有一个字节 (0x80) , 对OTP block的一个page进行写操作的时序其指令部分有三个字节 (0x30, 0x65和0x80) 。通过这种不同的读写操作, OTP区域page的读写与普通的block的page读写区别开来。所以我们可以将密钥存储在OTP区域中, 不会担心会被正常的Nand Flash读写操作所访问到, 确保该密钥是安全的, 而且由于OTP区域的信息是一次写好的, 如果对它进行修改的话也是不成功的。
下面分别介绍这种安全启动的方法:
一般的手机启动过程分为2个阶段, Boot阶段和操作系统运行阶段。手机上电后首先将Boot代码从Nand Flash中加载到内部Ram或者外部Sdram中进行运行, 主要内容就是将系统的硬件部分进行初始化, 初始化Nand Flash, 初始化Sdram, 还有与系统相关的一些寄存器, 在这部分完成后, Boot代码还需要将操作系统相关的代码从Nand Flash中拷贝到Sdram中。然后将指令执行权交还给操作系统, 运行应用程序。在此过程中很有可能出现一些使用者非法下载一些未经过运营商或设备商许可的软件版本在手机中运行, 或者修改部分代码内容在手机中运行。为了防止这种现象发生, 我们提出了一种安全的手机启动方法, 在手机出厂前对手机中的操作系统及相关应用代码进行hash运算, 得到签名结果后附加在操作系统及相关应用代码之后下载到手机Nand Flash中, 在手机启动过程中, Boot阶段加入对操作系统及相关应用程序代码的认证过程, 在拷贝这部分代码到Sdram时通过获取Nand Flash的OTP区域中的密钥对代码进行认证运算, 若认证结果通过, 说明该代码是经过运营商或设备商许可的软件, 可以在手机中运行;如果认证未通过, 则该代码可能是经过修改的非法代码, 禁止其在手机中运行。这样做可以使一些经过修改的未通过运营商或设备商许可的代码不能在手机中运行, 保护了设备商和运营商的利益。
因而, 采用本方法, 实现了以下的优点:
可以有效地保证手机中运行代码的可靠性, 确保不会有经过非法修改的软件代码在手机中运行。防止有些手机在未经授权的情况下被非法用户通过强力手段, 通过TRACE32或类似的擦写Flash的方法将原来存在的代码擦除掉, 然后再将修改过的或者未经授权认证的代码下载到手机中使用。
四、具体实施方式
图1是根据本方法对OS代码在出厂前签名过程的流程图。
步骤S101, 手机在设备商开发工作完成后确定手机的OS最终代码;
步骤S102, 在设备厂商的签名服务器上存放着签名密钥K, 将OS出厂代码通过签名服务器进行签名运算;
步骤S103, 通过服务器的签名服务器运算得到签名结果M;
步骤S104, 将签名结果附加到OS代码的最后;
图2是根据本方法在手机启动时boot过程中对OS代码合法性进行认证的流程图。
如图2所示, 该操作包括以下步骤:
步骤S201, 手机上电启动, 运行boot代码, 初始化Nand Flash相关配置寄存器;
步骤S202, 通过配置参数对系统所使用的外部Sdram进行配置;
步骤S203, 从Nand Flash中读取出手机的OS代码并拷贝到Sdram中;
步骤S204, 从Nand Flash的OTP区域中读取出认证密钥K;
步骤S205, 对Sdram中的OS代码进行认证算法运算, 得到认证值N;
步骤S206, 将认证算法运算得到的认证值N与附加到OS代码后的签名值M进行比较。
步骤S206, 将认证算法运算得到的认证值N与附加到OS代码后的签名值M进行比较。
步骤S207, 若值M与值N相等, 则证明该OS代码是经过设备商认证的合法代码, 手机可以继续运行。
步骤S208, 若值M与值N不相等, 则证明该OS代码不是是经过设备商认证的合法代码, 手机关机。
【手机安全】推荐阅读:
保障手机安全06-13
手机信息安全09-03
手机安全软件09-07
安全知识:手机戴手机套好吗12-14
手机支付安全常识08-10
如何安全使用手机09-23
智能手机应用安全研究09-30
手机银行安全评估分析11-24
手机支付安全性分析11-24
手机银行安全性技术10-22