如何讓智能手機更安全？

2014-09-16 06:26:28

CHIP新電腦 2014年9期

對于大部分用戶來說，對設備的系統和軟件進行維護，盡可能地保護設備和數據的安全是日常工作的一部分，起碼對于個人電腦來說是這樣，但是智能手機卻往往被忽視，而事實上移動設備上存儲的個人信息比桌面電腦要多：除了存儲有電話號碼、短信、郵件、備忘錄、日程安排、照片、視頻等信息之外，智能手機還保存有用戶使用各種應用程序和瀏覽互聯網站點的歷史記錄，此外，還有GPS定位數據和無線網絡接入點的用戶名、密碼，幾乎關于用戶的一切，都可以在智能手機上找到。

盜取數據比以往任何時候都更容易

攻擊智能手機的方式五花八門，不同的攻擊目的可以選擇不同的攻擊方法：應用程序可以收集用戶的個人數據，并將這些數據賣給網絡廣告商牟利，惡意程序可以使用用戶的數據和窺探用戶的短信，訂購各種可以通過手機消費的服務和商品。

除此之外，通過智能手機還可以攻擊其他目標，利用智能手機總是在移動通信網絡和各種無線網絡中移動的機會，可以更容易地攻擊這些接入的網絡，攻擊其他接入同一網絡的用戶，或者攻擊智能手機連接的電腦設備。總而言之，智能手機可以很容易地被用來作為黑客的工具，理論上講，各種可以安裝在電腦上的攻擊工具，也可以安裝在智能手機上。

下面，CHIP將為大家指出Android、iOS和Windows Phone設備中存在的安全缺陷，并告訴大家應該如何防范，幫助大家盡可能地保護自己免受黑客的攻擊，避免應用程序盜取和窺探我們的個人數據。很多時候，只需要通過極其簡單的設置，即可完全改變設備的安全狀況。如果再配合適當的安全工具軟件，那么設備就能夠更加安全。此外，CHIP也將告訴大家，如何檢查自己的設備是否存在安全隱患。

控制權限

應用程序要求獲得的權限通常比它們需要的多，它們最希望的是獲得用戶個人信息相關的權限，并最終將這些信息用于廣告用途。從某種角度上看，這是合理的，但是我們有必要小心謹慎地注意應用程序要求獲得的權限，如果一個簡單的應用程序要求獲得訪問受保護的系統內存，或者修改聯系人信息而不僅僅是訪問通訊錄，那么這樣的應用程序極有可能會產生較大的危害，甚至讓我們付出慘重代價，而不僅僅是多出幾條廣告那么簡單。

當應用程序獲得足夠的權限后，它可以做很多事情，甚至操縱整個設備。這樣的惡意程序是非常危險的，不過，它們也相對比較罕見，通常，類似的應用程序主要針對Android設備。

阻止應用程序訪問數據

如果應用程序拒絕遵守系統的數據保護規則，那么操作系統的數據保護功能將盡可能地確保應用程序無法為所欲為，在這方面，Android、iOS和Windows Phone的保護功能有很大的差異，不過，沒有任何系統是可以完全令人滿意的。像蘋果公司的iOS，用戶安裝應用程序時不會看到相關且也不需要確認的應用程序的權限，但是隨后我們可以在“通用|隱私”等選項對應用程序的權限進行調整。然而，這些調整只限于系統提供的特定項目，用戶并不能夠完全根據自己的意愿進行設置，例如即使應用程序并不需要訪問互聯網，但用戶也不能夠限制應用程序訪問互聯網的權限。

在Android上情況有點復雜，在安裝應用程序的過程中用戶可以看到應用程序申請的權限，但是用戶無法修改某一項權限，只能夠選擇接受或者拒絕安裝應用程序。Windows Phone手機的情況也是差不多，不過，用戶也可以有相應的解決方案：使用SRT AppGuard（www.srt-appguard.com/en），可以通過修改應用程序的代碼控制其訪問權限。然而，這種深層次的干預在某些情況下可能會導致應用程序無法正常工作，此外，類似的方法將導致應用程序無法更新，如果應用程序可以更新，所做的修改也將不再有效，用戶需要刪除更新的應用程序，重新手動安裝它，并使用SRT AppGuard處理它。

Android 4.3及以上版本的用戶本該可以控制每一個應用的權限，但是現在通過“設置|應用”雖然可以查看每一個應用程序的權限，但卻沒有控制權限的功能選項。這是因為該功能是Google的一個測試功能，控制功能被隱藏了起來。要使用該功能，我們需要通過Paly商店安裝“App Ops”或者“Permission Manager”等應用后才可以使用該功能。除此之外，Android用戶也可以考慮安裝LBE安全大師之類的工具軟件，類似的工具可以在已經Root了的手機和部分未Root的手機上調整應用程序的權限。此外，類似的安全工具通常集成防火墻等安全管理功能，可以更有效地保護智能手機的安全。

監視應用程序的數據流量

如果有必要的話，不論使用哪一個移動系統，我們都可以通過電腦和Wireshark之類的網絡分析工具，檢查有哪些未經加密的數據被發送到互聯網上。Wireshark之類的網絡分析工具可以記錄網絡中發生的所有通信，為了減少數據分析的困難，我們應該關閉所有不必要的網絡設備，只用智能手機上網沖浪，并使用我們希望檢測的智能手機應用程序，使需要分析的網絡流量盡可能地明確。

通過捕獲的網絡數據包，我們可以過濾出智能手機應用程序的所有連接，知道哪些數據被發送到網絡服務器上了，除了這些詳細的信息，許多應用程序還發送唯一的ID，這個ID使用戶可以被識別，網絡廣告服務商可以通過該ID向用戶發送特定的廣告。

防御惡意軟件

到目前為止，大部分惡意軟件主要針對Android系統，這是由于其他的系統惡意程序有效攻擊的難度比較大，或者它們的市場占有率對于惡意程序仍沒有足夠的吸引力。

然而，在Android中其實可以通過一個簡單的方法有效地降低危險：避免使用第三方的應用程序商店，因為它們大多不會對應用程序進行驗證，這意味著惡意軟件可以很容易地通過這些應用程序商店傳播。例如，惡意軟件可以隱藏在某些收費的著名軟件上，以應用程序的破解版本等面貌出現。

根據Android的設置，我們應該禁用“設置|安全|未知來源”，而使用Android 4.2及以上版本的用戶還應該啟用“設置|安全|驗證應用”功能。如果希望增強保護，還可以安裝一個免費的反病毒應用程序。

網絡安全

黑客可以利用智能手機上的應用程序發起攻擊，例如使用dSploit嗅探其他智能手機的密碼、劫持會話、操縱網站的內容等。唯一的要求是，兩個智能手機必須接入同一個網絡，例如使用同一個無線網絡。

很多人恐怕不那么容易遇到真正的黑客或者吸引到黑客的注意，但是事實上，許多類似dSploit的應用程序并不要求使用者具備豐富的網絡知識，使用者也并不一定有目的地攻擊特定的用戶，很多時候截取其他人的信息只是被當作一件有趣的事情。事實上，如果我們正確地設置智能手機上相關的設置和模塊，特別是那些與GPS和無線網絡有關的設置和模塊，利用好VPN和匿名沖浪服務，那么黑客就不是特別可怕。

檢查智能手機的設置

除了需要留神應用程序可能收集并販賣我們的個人信息之外，要讓智能手機更安全，首先我們必須檢查設備的設置，因為通常系統所收集的信息也非常多，甚至包括許多我們并不希望提供的信息。在iOS中，我們可以通過“設置|隱私|定位服務|系統服務”看到系統收集的相關信息，例如“關于位置的iAd廣告”將允許蘋果公司收集我們的位置信息并用于廣告用途。“常去地點”可以讓iPhone通過我們的活動信息，找出哪些位置是對于我們特別重要的。除此之外，我們還可以通過“設置|隱私|廣告”的“限制廣告跟蹤”選項設置是否允許通過廣告ID在任何時候對我們進行識別。

在Android設備上，我們同樣需要檢查WLAN和賬戶設置，首先打開“設置|WLAN”設置，點擊打開菜單，選擇“高級”，取消“隨時都可掃描”選項，否則系統將持續不斷地掃描附近的網絡，即使在WLAN模塊已經關閉時。接下來，我們需要檢查一下“設置|賬戶”中的Google賬戶，這里我們可以重置自己的廣告ID，也可以激活“選擇停用針對用戶興趣投放廣告的功能”選項。

一般情況下，我們不應該取消任何系統的GPS功能。如果禁用該功能，我們可以防止制造商和應用程序利用該功能檢測到我們的位置，但是當我們的手機丟失時，就無法利用查找手機的功能了。

建立一個安全的VPN連接

通過VPN（虛擬專用網絡）服務我們可以輕松、安全地訪問家庭網絡，處理各種敏感數據。任何人如果嘗試截取我們的網絡通訊數據，獲得的也只是加密的VPN通訊數據而無法盜取我們的數據。

當然，首先我們家中的互聯網接入服務必須是包月的，否則建立VPN服務器會產生額外的費用。其次，我們的網絡路由器必須支持建立VPN服務器。以華碩RT-N16無線網絡路由器為例，進入路由器Web設置頁面，選擇“VPN服務器”設置，在“啟用PPTP服務器”選項中選擇“是”。在VPN設置頁面的下方鍵入自定義的VPN服務器登錄賬戶，并單擊下方的“應用本頁面設置”按鈕存儲設置。單擊切換到“VPN詳細設置”選項卡，配置用于VPN登錄用戶的IP地址，并根據需要選擇服務器的驗證方式與加密強度，最后單擊下方的“應用本頁面設置”按鈕存儲設置。接下來轉到“外部網絡|DDNS”啟動動態域名功能，在路由器支持的服務商中選擇一個動態域名服務加入，讓路由器在每次互聯網IP地址更新的同時自動更新動態域名，這樣我們就可以擁有一個能夠訪問家庭網絡的固定域名。最后，檢查路由器相關設置，例如“外部網絡|NAT Passthrough”，確保VPN服務器所使用的網絡協議能夠被支持。如果路由器提供防火墻，那么也需要確保其不會影響VPN服務的使用。接下來，VPN服務器即可正式投入使用。

如果沒有條件或不希望自行建立VPN服務器，那么我們可以在線查找免費的VPN服務，但是免費服務在中國可以使用的時間會比較短，如果有必要，則建議購買國外大型服務商的專業服務。

匿名上網沖浪

任何人都可以通過Tor這樣的免費匿名沖浪服務匿名上網，在iOS上Onion Browser和Private Surf等瀏覽器都是利用Tor服務實現的。這些應用程序雖然不是特別好，但是它們能夠幫助我們輕松地匿名上網沖浪。

在Android設備上，有兩個免費的應用程序值得推薦：首先是Orweb browser，它的設計完全著眼于和安全性相關的問題，其次是相關的代理軟件Orbot，如果將這兩個應用程序和Root了的設備一起使用，那么不僅可以匿名沖浪，甚至整個設備的流量都可以通過Tor服務中轉。

更廣泛的保護工具是“WiFi Protector”，它可以檢測設備上受到的各種無線網絡攻擊，并當它感覺受到威脅時發出警報，該軟件基本不需要配置，但是軟件的某些功能需要Root權限。另一個類似的工具是“Track Android Hacke”，除了無線網絡，該軟件還會檢測藍牙和移動電話系統等設備的安全缺陷。不過，該軟件的缺點是，它并不是一個實時掃描工具，雖然可以檢測威脅，但是用戶必須手動啟動檢測，無法時刻保護設備的安全。而Windows Phone設備，目前沒有類似的應用程序可供選擇。

保護通訊

在美國國家安全局的監聽丑聞被揭露之后，現如今沒有人會懷疑所有的通訊都有可能被截獲并讀取這一事實。正如前面所介紹的，作為一個普通人，截取我們通訊的或許并不一定是什么情報機構或者黑客，但是如果不希望成為惡作劇的受害者，希望盡可能地保護通訊安全，那么我們需要學會加密郵件、短信甚至電話。

加密電話

如果使用iOS和Windows Phone，那么加密電話是相對困難的事情，因為這通常需要使用特殊的硬件。除此之外，也可以考慮選擇通過VoIP的應用程序實現類似的功能，例如Blackberry Messenger（BBM），它承諾提供一個安全的連接。然而，這些應用程序并沒有終端到終端的加密功能，也就是說并不是完全由智能手機完成加密和解密的過程，因而這些服務并不是真的絕對安全。

在Android設備上，用戶可以通過開源的應用程序RedPhone快速建立安全的通訊，軟件將首先驗證用戶的電話號碼，在收到驗證短信之后即可開始使用，軟件提供一個類似電話撥號程序的界面，在撥打電話時，RedPhone將檢測我們準備通話的人是否已經安裝了該軟件，如果沒有則提示是否需要發送短信通知對方安裝軟件，如果有則通過軟件建立連接。這是一個聰明的解決方案，但是該工具的通訊效果依賴于網絡電話，并且需要較大的流量，如果希望使用3G或LTE網絡獲得較佳的效果，并經常需要在移動中進行安全通話，那么就需要考慮使用流量超過1GB的數據套餐服務了。

加密短信

在Android設備上加密短信來保護短信不被窺探是比較容易的，只需要安裝開源信息加密工具TextSecure即可。該軟件不需要太多的設置，只需輸入密碼，即可使用，在收發短信的過程中，通過信息顯示的顏色以及信息上是否有鎖上的標記，就可以清楚地知道這條信息是否被加密。

和RedPhone一樣，TextSecure可以通過終端到終端的加密系統確保我們的通訊即使被攔截也無法讀取，它可以取代智能手機上原本的短信收發程序。類似的工具在iOS上也可以找到，例如iCrypter，但是這些應用程序不能取代蘋果的iMessage。這意味著，所有的消息將首先被iMessage接收，雖然并不影響軟件的工作，但是總的來說不太理想。而Windows Phone的設備目前暫時沒有短信加密工具可供選擇。

安全聊天和電子郵件

一般來說，使用加密聊天可能比發送加密短信更實用。開源的應用程序ChatSecure（Android、IOS）是一個專門用于加密聊天的工具，該軟件是一個支持視頻群聊、XMPP（Jabber）和AIM的通用通訊工具。該應用程序的優點是并不要求聯系人使用相同的應用程序，他們可以使用其他任何支持OTR（Off the Record，一種安全即時通訊技術）的聊天客戶端。例如，聊天伙伴可以使用臺式電腦，也可以使用智能手機。最重要的是，聊天伙伴們必須交換彼此的密鑰。對于Windows Phone設備來說，盡管一些聊天客戶端適用于Windows Phone，但是暫時我們沒有發現任何一個能夠支持OTR功能的聊天客戶端。

加密郵件的工作相對比較復雜，因為這將需要用戶配置OpenPGP或者其他類似的工具。Android設備中可以使用APG，首先我們必須安裝該應用程序，點擊打開菜單并選擇“管理私鑰”，進入后再點擊菜單并選擇“創建密鑰”，在標識部分鍵入我們的名字、電子郵件，并鍵入密碼創建一個密鑰對。所謂密鑰對就是包括一個公鑰和一個私鑰，私鑰可以用于解密使用公鑰加密的信息，因而，如果希望朋友可以給自己發送加密的電子郵件，那么我們需要將公鑰提供給他們。我們可以通過對電子郵件進行簽名提供公鑰，也可以另外導出公鑰發送給朋友。但是需要注意，在任何情況下，都不應該向任何人提供自己的私鑰。

APG幾乎能夠兼容所有的郵件客戶端，因為我們可以通過APG提前將需要發送的信息加密，但是如果感覺這樣不太方便，則可以考慮安裝免費的K-9電子郵件客戶端，在該軟件中進行適當配置，即可直接使用APG加密和解密電子郵件。而在iOS設備上，我們可以使用應用程序IPGMail，這是一個相當方便的應用程序，其中包括一個PGP加密工具，而Windows Phone可以使用OpenPGP。

數據安全

如果我們的智能手機被盜或者丟失，無論設備多么昂貴也都不是最大的損失，更重要的是我們的個人文檔、照片、視頻以及更多的個人數據將無法恢復。

加密和遠程維護

作為基本的保障，我們需要利用設備的鎖定功能，為設備設置一個鎖定密碼。接下來，我們需要熟悉一下自己所使用系統的安全功能。對于蘋果公司的設備來說，無論是iPhone還是iPad的數據加密功能，基本上都可以確保數據不會在設備丟失的情況下被盜。iPhone和iPad通過硬件和軟件密鑰保護數據，防止未經授權的人訪問設備保存的數據，軟件加密系統綁定的密鑰，也就是設備的解鎖碼。

一般情況下，蘋果的安全措施是足夠的，暫時仍然沒有發現有什么方法可以讀出設備中被鎖定的內容。雖然有一個漏洞被發現，通過它可以在iPhone 4上繞過密鑰，但即使如此，使用蘋果設備的用戶仍然不需要過分擔心數據被竊取，因為獲得設備的人并不能夠獲得密碼，因此，如果已經激活“設置|iCloud|查找我的iPhone”選項，那么在設備丟失后，我們可以通過“www.icloud.com/#find”網站追蹤自己的iPhone，在必要時還可以遠程刪除設備中的所有數據。

Windows Phone手機提供了一個“查找我的手機”功能，該功能默認被激活，也可以通過“設置|系統”進行設置。不過，需要注意的是，在中國，通過“https：//www.windowsphone.com/zh-cn/my/find”使用“查找我的手機”功能，并不能夠進行定位，并且需要鍵入電話號碼驗證之后，才可以使用遠程控制手機響鈴等功能。因而，如果使用中文版本的Windows Phone，建議提前測試一下該功能，并設置好電話號碼。除此之外，Windows Phone 8還支持設備加密，但這個功能只能為企業客戶和Office 365客戶端激活。

對于Android設備來說，防盜保護顯得尤為重要，因為可以有各種技巧從設備中讀出所有的內容，即使設備已被重置為出廠設置。該設備的加密功能可以通過“設置|安全”激活，不過，在決定使用該功能時，需要注意如果忘記解密的密碼，則將無法再訪問手機上的數據，只能刪除所有數據。

如果只是想保護特定的文件，那么也可以考慮使用加密的應用程序，例如“EDS Lite”，它可以創建一個密碼保護的容器。而如果是希望鎖定特定的應用程序，則可以使用類似“App Lock”的應用程序，可以為應用程序添加額外的使用密碼。

使用“Android設備管理器”，我們可以使用與設備相關聯的Google賬戶登錄管理器，對丟失的Android設備進行遠程定位，讓遠程設備響鈴，或者將其恢復為出廠設置。遠程定位設備，并在Google地圖上確定其大致位置，需要在Android設備上選擇“Google設置|Android設備管理器|遠程定位此設備”，并通過“Google設置|位置信息|使用位置信息”啟用位置信息使用權限。要將設備恢復為出廠設置，遠程刪除設備上的所有數據，需要通過“Google設置|位置信息|允許遠程恢復出廠設置”激活以啟用相應的設備管理選項。不過，如果智能手機太舊，不支持該功能，則可以考慮使用其他可跟蹤手機的應用程序。事實上，大多數Android的反病毒工具，也具有遠程維護功能。

結論：沒有任何一個系統能夠為設備提供絕對的保護。例如iOS雖然提供了令人印象深刻的數據加密和設備跟蹤功能，但它缺乏一些匿名化的選項。在另一方面，Windows Phone缺少一些功能，甚至無法通過應用程序彌補，例如VPN相關的功能。但是通過合理地調整設置和安裝適當的安全工具，我們可以彌補大部分系統存在的缺陷。

Android是把雙刃劍：Android是惡意程序的目標，并且缺少和隱藏了個別安全設置。但另一方面，該系統可以使用的安全工具更多，對于應用程序的檢測和惡意程序的封鎖比蘋果和微軟更有效。