智能手机安全性与窃听门事件
借助Kevin Mitnick的帮助,Elinor Mills 亲身证实了入侵一个人的语音信箱是多么容易得一件事。这是在英国爆出“窃听门”丑闻后很多人所关心的安全问题。而世界新闻报的雇员正是因为黑入了被谋杀少女的电话记录以及之后参与调查的警员电话记录后而被曝光的。随着丑闻的发酵,已经可以证实这并不是一起独立事件,被窃听的受害人数量远远超过人们之前的想象。这也是那些没有采取安全防护措施的手机所面对的一个极端的安全案例。
Mills在亲身体验中告诉了我们一系列有关智能手机安全性的重要问题。首先,世界新闻报的“记者们”看上去使用的是最原始的方法进入受害人的语音邮箱,即他们只是利用了大部分人根本不修改语音信箱的默认密码,更别提设置足够强壮的密码这个普遍存在的情况。但是他还在报告中引用了Mitnick的一段话:
“任何15岁懂得如何编写简单脚本的人都可以找个VoIP供应商,假冒主叫方号码,做好这一系列工作只需要半个小时左右。”Mitnick 还表示:“如果你不善于写代码,还可以花钱使用网上专门提供的仿冒号码服务。”
由此引出了手机安全方面的第二个问题,即移动运营商并不对主叫方身份进行查验,因此如果有人要进行不法活动,仿冒来电号码就成为了一个很简单有效的手段。
很明显,只要智能手机用户能够充分利用身边现有的安全手段,对手机进行必要防护,就能迫使黑客花费更大的经历和更多的技巧去入侵智能手机。TechRepublic的Deb Shinder从一个企业安全管理员的角度对提高智能手机安全性给出了一些有用的建议:
1. 要求手机用户使用PIN/密码 保护自己的手机。
2. 要求手机用户使用强壮的PINs/密码。
3. 要求手机用户对存储在手机中的数据进行加密。
4. 要求手机用户在手机上安装安全软件,防护病毒和恶意软件攻击。
5. 指导手机用户卸载不必要的手机软件。这不仅可以减少受攻击的可能性,还能帮手机省电。
6. 要求手机用户在非必要时关闭蓝牙,Wi-Fi以及GPS。
7. 要求手机用户通过SSL VPN连接企业网络。
8. 考虑开发智能手机安全,监控和管理方面的软件,如Juniper Networks for Windows Mobile, Symbian, iPhone, Android, 以及BlackBerry.
9. 有些智能手机可以被企业的权限管理系统管理和配置从而避免未经验证的用户查看企业数据或防止认证用户私自拷贝或传送企业内部数据。
10. 在允许员工将私有智能手机连接到企业网络之前,仔细考虑其中的风险和便利性间的关系。
推荐阅读