关于支持科学新闻
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻事业 订阅。通过购买订阅,您正在帮助确保未来能够继续讲述关于塑造我们当今世界的发现和思想的具有影响力的故事。
自从我们将个人电脑连接到互联网的那一刻起,它们就一直遭受网络攻击。如今,潜伏在垃圾邮件和网页上的恶意软件只能通过努力和花费来阻止。那么,为什么我们的智能手机和平板电脑(本质上是个人电脑的变体)没有相同的安全问题呢?
有几个因素阻碍了网络攻击者将来可能认真尝试使用旨在入侵应用程序和控制敏感数据的恶意软件感染移动设备。首先,运行 Apple iOS、Google Android 和其他移动操作系统的设备仍然不如个人电脑那么多,因此个人电脑仍然是黑客最有可能的目标。在大多数情况下,智能手机和平板电脑的设计也比个人电脑更好,可以最大限度地减少病毒和其他有问题程序造成的潜在损害。此外,苹果公司对其 iPhone 和 iPad 上可安装的应用程序的严格控制在很大程度上提高了这些设备的安全性。
CTIA(华盛顿特区无线行业贸易组织)的网络安全和技术副总裁 John Marinho 表示,在美国使用的超过 1.4 亿部智能手机中,只有不到 2% 的手机感染了移动恶意软件 (pdf)。
然而,攻击者有可能侵入移动设备,包括 iPhone 和运行 Android 的设备。“我当然做过,” Twitter 的安全工程师 Charlie Miller 说,他最出名的是作为 Independent Security Evaluators 的首席分析师测试移动设备安全性。“但是,这比对 Windows 做同样的事情要困难得多。一个目标是赚钱的理性攻击者不会选择这条路。”
并非免疫
幸运的是,迄今为止,大多数攻击智能手机和平板电脑的尝试都是由研究人员进行的,他们正在试验这些设备的安全性。第一个编写的用于操纵移动电话的程序——被称为 Cabir——于 2004 年出现,比 iPhone 首次亮相早三年。Cabir 的匿名作者将病毒发送给安全研究人员,以证明运行移动 Symbian 操作系统的手机可能会被感染。根据安全研究员 Mikko Hypponen 在 2006 年《大众科学》文章“恶意软件走向移动”中的说法,Cabir 随后会通过蓝牙将自己复制到其他移动电话,在此过程中耗尽手机的电池。
2007 年,Miller 和他在 Independent Security Evaluators 的同事迎接 iPhone 的发布,编写了一个程序,该程序可以在 iPhone 打开其 Safari 浏览器时自行安装。安装后,该程序使攻击者能够劫持和窃取存储在受感染 iPhone 上的数据。第二年,当 HTC 的 T-Mobile G1 Android 手机首次亮相时,研究人员发现,如果用户访问感染病毒或其他恶意程序的网页,这款智能手机也可能被利用。一旦攻击者控制了受感染的智能手机,他或她就可以访问保存的密码以及浏览器用于访问不同网站的任何 cookie。
2009 年,Miller 帮助开发了另一种攻击方法,该方法用大量的 SMS(短消息服务)文本消息轰炸 iPhone 或基于 Android 的设备,允许入侵者在手机上植入病毒,或者至少导致手机关机(在此过程中断开通话和网络访问)。
金钱与理智
撇开恶意和混乱不谈,网络罪犯通常希望从他们的努力中赚钱。这些具有创业精神的人更可能设计一段恶意软件来攻击经过验证的目标,例如微软的 Windows 操作系统或 Internet Explorer Web 浏览器,以最小的努力造成最大的破坏。移动恶意软件更新,因此编写此类攻击可能需要学习曲线,并且成功的确定性较低,曾在国家安全局担任全球网络利用分析师五年的 Miller 补充道。
尽管 2012 年全球个人电脑销量略有下降至约 3.5 亿台,但在过去几十年中办公室和家庭中积累的个人电脑数量仍然远远超过全球活跃智能手机和平板电脑的人口。
然而,鉴于这些移动设备的普及,这种等式将不可避免地发生变化,并使它们面临更大的风险。根据信息和分析提供商 IHS Inc. 最近发布的“移动和无线通信报告”,全球智能手机销量预计将在 2017 年达到 15 亿部,是 2012 年 7.12 亿部的两倍多。智能手机曾经被视为高端奢侈设备,到今年年底将占全球销售的所有手机的大部分。
根据 CTIA 的数据,到 2015 年,通过移动设备访问互联网的美国人将比通过个人电脑或任何其他类型的无线设备访问互联网的美国人更多。 (pdf) 其他研究人员预计,仅平板电脑的销量到 2015 年将超过个人电脑。 (pdf) 分层防御
比 iPhone 和 Android 手机更早的手机依赖于更简单的操作系统,这些操作系统难以损坏,而且几乎不值得付出努力。更先进的智能手机提供对 Web 浏览器、电子邮件和许多其他可利用的软件程序的掌上访问。当 iPhone 于 2007 年 6 月发布时,苹果公司的大部分安全策略都集中在限制第三方应用程序在手机上运行。 (pdf)
苹果公司已经取消了早期的一些限制,但对其应用程序保持严格的审查流程。为该公司 App Store 提交应用程序的开发人员必须每年支付 100 美元的开发者许可费用,并且可能需要回答有关其身份的其他问题。假设开发者通过了初步筛选,那么他或她的应用程序还需要获得苹果公司的批准才能出现在其 App Store 中。Miller 说,更有可能的是,该公司会在恶意应用程序有机会造成任何损害之前发现并消除它。
在这种情况下,在以个人电脑为目标时,障碍较少。“攻击者[可以改为]编写 Windows 恶意软件,他们真正需要担心的唯一事情是防病毒软件阻止它,”Miller 说。“如果苹果公司弄清楚[恶意软件开发者]在做什么,该公司将撤销该人的开发者许可,除了没有成功感染任何智能手机外,他们还损失了 100 美元。如果攻击者的时间和金钱有限,那么他们继续攻击个人电脑更有意义。”
如果攻击者选择模仿“路过式下载”恶意软件,这种恶意软件已成功通过 Web 浏览感染个人电脑,那么成功可能受到许多智能手机和平板电脑设计方式的限制。Miller 说,特别是苹果公司的设备,具有多种防止恶意软件传播的功能。苹果公司添加到较新版本的 iOS 中的一项此类功能——称为“沙盒”——对移动设备的不同部分进行分区,以便一个区域中的问题(例如针对移动浏览器的攻击)不会传播到设备的其余部分。“攻击者需要一个漏洞才能进入手机,然后需要第二个漏洞才能突破沙盒,”他补充道。
安卓之道
尽管苹果公司很受欢迎且备受瞩目,但 2012 年售出了超过 4.7 亿部 Android 手机。研究公司 Canalys 预测,到 2017 年,这一数字预计将增长到超过 10 亿部,使该平台在智能手机市场中占据 67% 的份额,据研究公司 Canalys 称。研究人员预计,苹果公司将在 2017 年拥有约 14% 的市场份额。
“Android 是一个非常安全的操作系统——如果你保持更新,”Miller 说。“但这并不总是可能的,特别是如果设备制造商不支持最新版本的操作系统。”
防御姿态
Miller 承认,随着人们开始使用智能手机和平板电脑而不是个人电脑进行网上银行和购物,移动设备对攻击者来说变得更具吸引力。同样,如果个人电脑变得更安全,攻击者可能会将他们的努力转向移动设备。
防止移动恶意软件和攻击的最佳保护措施之一是保持所有智能手机和平板电脑软件的更新。重要的是要保持警惕,并质疑任何应用程序提出的访问您设备数据的奇怪或多余的请求。“例如,为 Android 编写一个应用程序非常容易,该应用程序会请求大量权限,例如发送短信,即使该应用程序不需要这样做,”Miller 说。
电子隐私信息中心 (EPIC) 最近就三星和 Jay-Z 为宣传这位表演者的最新专辑而构思的 Android 智能手机应用程序向美国联邦贸易委员会 (FTC) 提交了一份投诉 (pdf)。该投诉除其他外声称,三星“收集了 Magna Carta 应用程序功能不必要的数据”。该应用程序请求访问手机通话记录以及修改或删除手机 USB 存储内容的权限。
在添加任何应用程序之前,请查看它请求的权限。如果您抵制安装可疑软件的冲动,您的设备将更加安全。