赵明
多年前,贺岁电影《手机》为大家带来了很多欢乐,但也有人对手机安全表示出了担忧。片尾,严守一担心自己的一些不可告人的秘密被揭发出来,因此严辞拒绝了某手机赞助商为其提供的可定位的高端手机。谁来保障手机的安全?
随着移动办公和移动支付的兴起,ofo、滴滴、Uber、大众点评、高德地图等软件的定位功能确实方便了用户,但同时也“方便”了一些不法分子。这些软件通常被安装在智能手机上。除了服务器、数据中心的安全外,很多智能手机用户更担心自己手机的安全。我们的手机到底安不安全?手机安全问题正在成为很多手机厂商关注的焦点,安全设计开始被提上日程。除了手机厂商,奇虎360等安全厂商也开始生产安全手机,将安全作为手机的主要卖点。
去年,金立发布的M6/M6 Plus内置安全加密芯片,以硬件加密的方式极大地提升了安卓智能手机的安全性,产品上市后获得了政商人士的青睐与肯定。而作为M6系列的全新升级之作,金立M6S Plus搭载了一颗指纹加密芯片,被业内人士认为是一款安全性較高的智能手机。
双重指纹保护系统
如今,智能手机的指纹传感器给人们的生活带来了极大的便利,用户只需要通过简单的指纹扫描,在手机中记录指纹,便可以在不需要输入密码的情况下,完成手机的开启,以及支付、转账等功能。然而,指纹识别也有其安全漏洞。
为什么用活体指纹采集技术呢?传统的指纹采集有哪些漏洞呢?
现有的指纹存储解决方案是,手机通过指纹传感器采集用户指纹信息,并将完整的指纹信息存放在指纹flash中,然而其指纹信息未经过硬件加密处理,容易被破解,造成用户的指纹信息泄露,带来不可估量的损失。来自威客安全技术的安全专家安琪表示:“一旦手机内的指纹信息被盗取,攻击者甚至不需要机主的任何指纹都可以将手机的指纹加密攻破。因此,在手机指纹安全加密这一块,不仅仅要运用活体指纹来保证手机外部指纹安全,更要在手机芯片内部采用指纹加密来保障指纹信息的安全。只有两者兼备才能算是安全系数较高的指纹加密手机。”
金立集团营销策划总监段毅华介绍道:“活体指纹技术关键点是识别端。目前,大部分手机指纹识别器都是依据指纹的图像去识别,这存在很大风险,不法分子可以复制用户的指纹。所以,我们从硬件入手,解决用户最核心的痛点问题。金立从输入端、识别端解决指纹登录的安全性问题。同时,在存储端方面,我们也用硬件芯片去保护它,这样就形成了一个比较全面的整体指纹登录系统。”
金立M6S Plus正是一款拥有“指纹加密芯片+活体指纹识别方案”的安全手机。它采用的活体指纹识别方案,可根据指纹、血液,以及心率信号来验证用户指纹信息。在手机内部,该机内置的指纹加密芯片已经通过了国密二级、银联、EAL4+认证,可将指纹的关键信息进行硬件加密存储保护,其他部分的指纹存储在指纹flash中,形成了指纹的双向验证,这样即便指纹flash中的指纹数据被破解,拿到的也是不完整的指纹信息。
除指纹加密芯片外,金立M6S Plus还内置了一颗通过权威机构检测的安全加密芯片,集成国密、商密算法,让软件层面的破解几乎成为不可能,而每个芯片有与手机CPU绑定的独立ID,从硬件上保障手机核心信息的安全,如果遇到暴力硬破解,芯片的内容会随之自动销毁。
安琪表示:“目前,一些市面上的指纹识别技术,比较安全的就是活体指纹识别。至于它是否绝对安全,我只能说安全永远是相对的。活体指纹识别从目前的研究结果来看,还没有发现相关漏洞,研究人员将持续关注。”
安全系统升级 提升应用安全
此外,金立M6S Plus内置的安全保护系统,此次也进行了升级。在支付安全方面,系统自动对金融类应用进行安全监测,实时扫描支付环境;对汇款类短信增加风险标识,并对支付类短信单独加密保护,防止恶意程序窃取支付验证码;同时金立M6S Plus还通过了微信、支付宝的新版官方指纹安全标准认证,为支付带来双重保障。
在通信安全方面,系统自动识别陌生来电并显示骚扰种类,还可手动标记上传;同时自动对含风险的网址信息、伪基站信息、黑名单信息等进行智能拦截,让用户远离虚假诈骗信息,保障通信安全。
而在数据安全方面,金立M6S Plus提供了私密空间2.0、应用锁、虚拟位置等功能。用户可将联系人、短信、通话记录、图片、文件等内容通过硬件加密保护,置入“私密空间2.0”中,保障个人隐私和商务数据安全;应用锁功能需要输入密码,有效地防止应用被他人查看;虚拟位置功能可以防止App随意窃取GPS、基站位置等信息,并防止恶意软件进行位置跟踪,保护用户位置隐私。
除以上数据安全功能外,金立M6S Plus还增加了安全键盘、二维码安全检测两项全新功能,并对手机防盗进行了升级。安全键盘会在密码输入界面自动开启,并且实现用户输入的信息不上传、不记录、不联网,防止密码信息泄露;二维码安全检测可自动检测扫描的二维码是否安全,自动识别危险网站并进行提醒;手机防盗2.0不仅可以在手机丢失后通过amigo账号云服务,在云端锁定手机或销毁数据,还新增了恢复出厂保护和换卡保护功能,让手机被盗后也无法被他人利用。金立M6S Plus最新研发的快付功能,在解锁状态下双击HOME键便可快速调出支付宝、微信付款二维码,让支付更快捷。
段毅华介绍道:“目前大部分的手机厂商采用的都是软件加密的方式,而金立采用硬件加密方式,用芯片存储用户的重要信息。”
不法分子的攻击对普通用户来说并不遥远,很多苹果手机用户都会被不法分子勒索。不法分子的攻击一直存在,很多只是处于静默状态,用户无法发现而已。从移动安全或者手机安全的角度来看,我们将其分为针对通信网络的威胁、针对第三方App的威胁、针对操作系统的威胁、针对数据安全的威胁等。用户在使用手机的过程中要关注这些威胁,养成良好的使用习惯。
听建议防患未然
那么,针对以上这些安全威胁,用户在平时使用智能手机过程中,哪些方法可以使我们尽量避免遭遇安全威胁呢?
首先,在面对通信网络时,用户可能会遭遇恶意诈骗短信、钓鱼链接等,这些风险往往都是一些支付安全的入口,如果你被黑客诱导,中了黑客钓鱼的攻击,很可能你的支付安全会受到威胁。金立M6S Plus具有一定的防护措施,帮助用户识别诈骗短信。此外,金立M6S Plus还可以帮助用户辨别一些偷跑流量的App。安琪建议,用户在平时使用手机的过程中,不要连接某些免费Wi-Fi。用户出门在外时,应尽可能手动设置关闭Wi-Fi连接。针对现在很多的应用App,应用代码安全审核机制可以降低恶意应用软件带来的风险。不法分子经常会在一些应用中植入一些代码,窃取用户数据。在日常生活中,如果是使用非安全的手机,建议用户尽量在一些比较知名的第三方应用商店下载应用软件。
其次,在操作系统方面,无论iOS或者Android系统,苹果和谷歌都要不断修复漏洞,比如越狱或Root。到目前为止,无论安卓,还是iOS,都引入了很多安全机制,Root和越狱会越来越难。这也表明,此类系统在不断地完善和优化。
安琪建议用户如果没有特殊的需求,不要对手机进行Root和越狱。如果越狱或者Root,你将丧失所有安全保障。此外,在日常生活中,用户在使用微信和其他社交App时,不要发布自己的过于隐私的数据,比如身份证、火车票和机票信息。因为,这些信息里面可能有用户的姓名等个人隐私数据。不法分子发起攻击时,首先就是进行信息采集。在这个过程中,他会对用户信息进行收集,通過互联网进行下一步攻击。
上述的各种威胁,最终的目的都是为了使用户避免不法分子对用户数据的威胁。所以数据永远都是安全里的核心问题。如何保证用户的数据安全,实际上是整个移动安全领域的核心问题。
金立的安全芯片会进行数据双重防护,即使不法分子获得手机也无法获取核心数据。同时,在手机移动支付的过程中,安全芯片对整个关键数据的传输也会在芯片内执行。所以,安琪建议,有条件的用户或者对安全更重视的用户,应尽可能采用一些安全性比较高的手机。记者认为,所有手机厂商,应该在产品出厂前就预装此类安全软硬件,尽量解决用户的后顾之忧。
此外,安全芯片还可以对数据进行加密存储,同时安全芯片自身拥有防护入侵的技术,识别到威胁入侵时可对数据进行销毁,包括指纹信息也一起销毁。通俗讲,就是手机一旦被盗,将无法开启。
为了实现以上这些功能,金立与众多合作伙伴共同努力。段毅华表示:“在安全这个层面下,从M5开始,我们就开始不断钻研。在硬件方面,我们主要是跟第三方合作,共同定制开发一些安全硬件,包括一些芯片等。在软件方面,我们主要是依托自己的平台,与第三方合作来共同开发。目前,我们已申请了不少知识产权。”
近期,金立集团还和京东商城签订了2017年的战略合作协议。通过手机安全性与配置上的全面升级,相信金立M6S Plus将取得更加骄人的成绩。