前些天,在总结2014年中国手机技术发展历程时,我们将手机安全技术的进步列入了其中。确实,在智能手机发展日新月异的今天,对于通话安全和信息安全两大方面的探索就从来没有停止过,包括酷派、华为、中兴等传统老牌的国产手机厂商,利用多年来的技术沉淀,在这方面占据着得天独厚的优势,开发出多款成熟的安全手机产品,并呈现在消费者面前,例如酷派S6、中兴天机、华为Mate7等。
但是,安全手机的普及并不是一帆风顺,或者说它在安全性和易用性上是一个矛盾的组合体。因为90%以上的信息泄露途径是通过网络数据传输实现的,如果要100%的做到信息安全只能是断绝这条对外的潜在泄密通道,而这在当前的移动互联网时代对于用户来说就仿佛要其性命一般难受。
如何让手机更安全却又不能影响到最基本的使用体验,这才是用户们最关心的事,也是厂商致力于孜孜不倦研发的目标。
目前中国安全手机的普及推广,面临着这三个问题如同三座大山横在面前:1 民众对于安全的认知度 2 安全手机本身的技术进步 3 手机信息安全的法律保护
民众对于安全的认知度
首先,普通民众对于手机安全的认知度低,是目前行业的普遍现状。在普通民众看来,手机安全是大人物、大财阀、大官们的事,跟我们这些小老百姓关系不大,实际上这是一种极其谬误的思想。
根据我们在中国派网站做的一份约二千人的调查数据显示,参加调查的87%的智能机用户都经历过各类骚扰行为,诸如收到垃圾短信(46.2%)、接到骚扰电话(78.1%)等,这成为智能机用户最大的困扰;泄密、失窃等安全问题紧随其后,占比36%。
就目前的智能手机操作系统来说,无论是iOS也或者是Windows Phone,特别是安卓,或多或少都存在安全隐患,使得用户的个人信息易于外泄。更为可怕的是,大多数人都没有意识到这些问题,因为手机安全不会因为使用都的阶层进行区别,就算是普通老百姓,也有银行帐户信息、私密图片等重要的个人信息,这些只要被有需要的人盯上了,一样会被窃取。
我们曾经当众给用户演示过一个安卓手机中木马后信息泄露的案例,先是一条由朋友发过来的带短链接的短信,里面是一些诱惑性的言语,主要是诱导用户点开短链接,然后一个木马软件就自动下载安装隐藏在后台了。只需要不到五分钟,这部手机内的任何信息,只要我们需要的,都可以在服务器端调出来。当参加测试的用户看到自己的照片被其它陌生人向众人展示时,你能理解他当时的心情吗?就如同你无论穿多么多的衣服,都像赤身裸体站在众人面前一样。
所以,当务之急是让民众了解手机安全对于自身的重要性,这是一个漫长的教育的过程,成本巨大,而成果不一定是自己摘,这是当下很多手机厂商面临的一个两难抉择,也是安全手机市场能否在短时间内进入成长期的一个重要原因。
安全手机技术的进步
其次,就是安全手机技术的进步。说得更细化一点,手机安全可分为通话安全和信息保护两大类,前者又分为来电骚扰和通话保护等几个方面,像现在流行的诸如360安全助手等就是前者的典型代表,它们能对来电进行标识,将推销、保险等骚扰电话自动进行识别并阻止接入,对广告短信也进行了自动的屏蔽,对一些手机木马软件也有一定的防护能力。
但是,这种基于应用层的防护体系实则是很脆弱的,特别是对于安卓手机来说,处处的漏洞让它防不胜防,所以才有了我们后面要谈到的硬件防护技术,实现最原始最安全的硬件隔离技术。
另外,关于第三方防护软件的软肋,很多厂商实则也相当的清楚,所以像酷派、华为、小米等采用自主研发OS的厂商现在都是从硬件底层协议就开始接入安全防护的部件,这样的安全性比第三方的杀毒软件要高得多。
对于通话安全,这个必须要借助运营商的帮助,在通话时双方手机都必须具备加密芯片,对语音进行加密,然后通过运营商专门的网络加密进行传输和解密,目前最典型的就是酷派S6+电信CDMA网络的组合,也是目前上海等地公务人员必备的安全通讯解决方案。
那这种安全级别就一定能满足我们的需求?我们认为,远远不够。软件总有被攻破或绕过的方法,这就是黑客的生存之道,只有真正的实现硬件隔离,才是目前来说最安全的方案,也就是所谓的银行级别安全,再往下走就是军事级别的安全,那个就是真正的专网专用,不与其它外界的网络互通,这对于民用市场来说,实用性较差,一般来说都不是在我们的考虑范围内。
即然谈到当前最先进的手机安全技术,我们就不得不提到酷派前不久发布的铂顿安全手机,这也是目前唯一一款采用硬件隔离技术的安全手机。这款手机采用“双系统,硬隔离”的技术,在Android智能操作系统外,还配备一套自有的安全系统,双方相互之间属于物理硬隔离:即同时使用一套CPU和RAM,但操作系统则是相互独立,互不干扰,数据不会交叉使用,保证存储安全,这就是为什么说铂顿手机是目前最安全的手机,暂时还没有之一。
这种设计带来的好处就是,它的加密、安全认证等都是通过底层实现,不同于其他第三方软件,从根本上解决信息泄露、窃听等问题,这也是代表了当前安全手机技术的最高水准。
另外,像中兴、华为,也在推安全手机的概念,但是能实现硬件隔离技术的,目前还真的不多,甚至三星、苹果都没有在这方面有所突破,这也是中国手机企业值得扬眉吐气的一件大事,因为中国企业不仅仅只有模似,也拥有创新的技术实力。
期待相关法律保护出来
第三,对手机信息安全的法律保护。总体而言,中国在这方面还是有很大的空白,或者说,中国目前也还没有一部针对手机信息安全及泄露的相关的法律,造成这方面的隐患相当大。有些朋友觉得这个不重要,我就用个软件,怎么可能就泄露了个人信息了?他不明白的是,软件可以盗取你的各种信息,例如你的位置信息,例如你的浏览习惯,例如你的开机时间,例如你平时都用这个软件干了些什么,通过这些珠丝蚂迹,就能对你这个人有一个归类,贴上相应的标签,就能精准的向你投递某些你一定感兴趣的广告,而这一切只是因为你用了一个软件而已,而厂商盗取你些信息可谓是明目张胆。
在国外,2010年苹果App Store应用商店指南就明令禁止窃取用户个人信息的行为。其相关条款包括:17.1条:应用不得在未经用户提前许可、告知用户这些数据如何使用、传输至何处的情况下传输用户数据。17.2条:要求用户共享电子邮件地址、出生日期等个人信息才能投入使用的应用将被拒绝。但是,即使是苹果公司也无法全面审查每一款应用是否上传信息,应用商店政策规定并不是有效的解决方法。
相较苹果iOS系统,Google Android系统由于其强大的开放性以及应用商店的混乱,其对App的审核更缺乏严密性。用户每下载一次应用程序、都会在不知不觉中将个人数据偷偷的上传给开发人员的隐私漏洞,包括小米在台湾的事件其实也是在这样的范畴内。
古人曰:未经许可取之谓之为盗,但关键是这些被盗取的数据在普通用户看来是无关紧要的,不会对于自身有所损失的,但实际上却包含了很大的风险,举个极端的案例,例如你的GPS轨迹被大量收录,就能判断你的日常行为,包括你的行进路线和交通方式 ,这对于有恶意企图的人来说,就是一个作案的帮助,这下,你害怕了吗?
所以,我们很期望能有一部针对的手机信息安全的相关法律出现,以立法的形式来限制相关企业的信息采集和使用规范,对于违反规定的企业按照法律进行处罚,这样才能有效的打击利用手机信息进行的各种违法犯罪活动,有效的保障用户的用机安全。