试论Android智能手机安全风险及防范策略

第6页试论Android智能手机安全风险及防范策略摘要近年来由于智能手机的普及化和低价化，而且屏幕分辨率提高，所以手机直接具备了处理网络资料的能力，于是手机可随时随地上网，带来了许多新的生活乐趣与便利性，但也增加了使用者个人资料被侵害的风险。本文通过介绍Android智能手机的两种安全隐患。一是手机通过3G和WIFI上网，二是由于使用下载了恶意的app软件。从而介绍了Android智能手机的一些安全概念和一些基本的安全设置。通过Android智能手机的手机上网风险和防范观念，针对智能手机风险进行分析并说明其安全防护措施。关键词：智能手机，安全隐患，上网，风险，防护措施AbstractIn recent years due to the smartphone popularization and low-cost and increase your screen resolution, so the phone directly with the ability of processing network data, and mobile phone can access anytime, anywhere, brought many new life fun and convenience, but also increase the risk of infringement of the personal information of user. This paper introduces two kinds of security risk of Android smartphone. One is the mobile phone through 3G and WIFI Internet, two is due to the use of downloaded malicious app software. In this paper, some security concepts and some basic security settings of Android smartphone are introduced. Through the Android smartphone mobile Internet risk and prevention concept, for the smart phone risk analysis and description of its security measures.Keywords: smart phones, security risks, Internet, risk, protective measures试论Android智能手机安全风险及防范策略在最近几年来，移动互联网和智能手机发生了翻天覆地的变化。Android、iOS的兴起引引领我们来到一个新的时代。由于Android是一个开放源系统，这也就意味着黑客能够掌握此系统的基本结构和源代码。很多用户都反映自己的Android手机遭受病毒的攻击，造成了丢失重要资料以及恶意扣费等损失。据软件商店分析公司Distimo新发布的报告来看，Android中的免费软件已经达到了70%左右。更糟糕的是，为了争夺用户，一些个人的软件商店甚至会提供大量盗版软件让用户下载。这也从侧面揭示出Android系统和相关软件的安全性问题很难得以保障1。 因此，Android智能手机风险的来源有两点，一是过去使用者在家中或办公室上网，所使用的网络是私用或是经过公司网络管理人员保护，如今通过手机在陌生的地方使用别人的网络上网，可能导致通讯内容被窃听，第二个原因是由于使用了恶意的app却不了解其风险，也可能导致个人资料外泄，并且可能导致本人手机的发话或短信功能被盗用，所以现代人必须注意使用手机上网的风险和防范观念。一、Android智能手机的安全隐患及不安全因素近年来由于智能手机的普及化和低价化，而且屏幕分辨率提高，所以手机直接具备了处理网络资料的能力，于是手机可随时随地上网，带来了许多新的生活乐趣与便利性，但也增加了使用者个人资料被侵害的风险。1 智能手机上网的类型与风险现今的智能手机通常同时提供两种上网方式：3G和WIFI上网，前者是利用和电话相同的途径，把资料如同电话通话信息一样夹带在一起，经过手机的基地台发送出去，而通讯的费用便直接计入个人电话费当中2。而WIFI上网基本上是一种短程的通讯方式，在一个建筑空间中架设一个俗称为WIFI热点的低功率基地台，而WIFI基地台的背后仍然是ADSL之类的有线网络，然后手机可以在数十公尺的距离以内和WIFI热点通讯，经由热点背后的有线网络进行通讯，当然热点本身可以加密通讯，也可以锁上密码，不过目前许多地点都有提供免费、不加密、无密码保护的WIFI热点。由于手机通过3G上网必然是花费手机所有者的电话费，所以使用者通常发现有免费、无密码保护的WIFI热点可使用，会高兴的将手机切换为WIFI上网，而关键在于这个网络是谁所拥有、是谁支付费用的。除了在一些商场之类的公众区域提供WIFI热点以外，我国也有越来越多的餐厅和咖啡厅提供WIFI热点，以吸引爱上网的客人，除了这些之外，我们有时候也会发现一些不明提供者的WIFI热点，看似有人架设了WIFI热点但是忘了锁上密码，如果有使用者贪小便宜去使用了，可能就中了陷阱。手机上网如果是通过3G上网，基本上在通讯方面比较没有什么风险，但是如果是使用WIFI上网的方式，别忘了、WIFI热点的背后是有线网络，要在有线网络上进行窃听是非常容易的，只要在同一条网络上的某部电脑执行窃听程序即可，然后你在网络上输入的帐号和密码、聊天的内容、甚至是通讯内容中如果有使用者的个人资料或信用卡的卡号，都会丝毫不漏地被窃听到3。所以不明来源的WIFI热点请尽量不要使用，万一不得不使用，绝对不要牵涉到任何登入帐号或输入个人资料的操作，特别是不要使用股票或网络银行之类的金融操作功能，最好你要通讯的对象是选择具有加密通讯的功能，例如网址是以https：/ 开头的就是具有加密通讯的网站。2下载App的潜在风险不管是iPhone或Android软件市面上的app，在下载的时候都会明确地列出该app所需的系统权限，例如取得手机号码或收发短信，如果使用者不同意授予app这些权限，就不能够安装此app，这是最重要也是最基本的防护措施，基本上app无法像病毒一样背着你窃取个人资料或收发短信，这是iPhone和Android的系统特性，它所做的一切一定是经过使用者你本人的同意，但问题就在于恶意的app会想尽办法引诱你同意授予权限。最常见的恶意app就是很明显地大量盗用知名动漫的图片、色情图片引诱使用者下载，或是模仿知名的游戏，光Android Market上就有多款Angry Birds的山寨版要引诱人下载，当然这些app在要下载的时候，系统都会列出它要求的权限，很明显地会有读取手机状态和识别码、取得你的位置、发送短信这些奇怪的权限，这是很怪异的，不过是玩个游戏怎么会要求这样的权限？像这样的app就很显然地是恶意的软件，千万不要同意下载4。在软件市场上有许多app是免费但是带有广告位的软件，像这样的软件虽然提供给使用者免费使用，但它会切出自身画面的一部分播放广告，以此广告费做为它的收益，许多这样的软件虽然是正规经营的公司开发的善意软件，但如果要求了过大的权限，仍然会造成潜在的漏洞，最常见的现象还是要求读取手机状态和识别码和取得你的位置这两项权限，免费软件常见要求这两项资料的原因其实要交给播放广告的广告商，有了手机识别码、广告商可以避免播放重复的广告给相同的手机；得知了手机的位置，广告商可以播放适地的广告给该手机，例如附近商店的折扣，一切都是为了提升广告效益，但难保广告商中不会有恶意的厂商，不会借此收集手机号码发送垃圾短信，所以虽然该免费软件不是恶意软件，但如果要求了与它的功能无关的权限，使用者仍然要有警觉性。其实iPhone与Android软件市场上还有一个重要的机制就是评分与评论，简单地说就是先查探一下有没有别人被该app欺骗过，当你想要下载某app之前，可以在它的叙述页面找到该app目前累积的下载次数、以及其它使用者对它的评分和评论，如果该app还没有多少人下载使用过，劝你也别当白老鼠，又或者底下的评论已经出现有受害者的控诉言论，那么也别使用这app了吧5。遵循以上的准则，已经可以避免下载app时绝大部分的风险了。二、Android智能手机的安全概念和一些基本的安全设置1 Android智能手机的安全概念在每个Android用户的眼中安全模式的概念都是非常模糊的，常见的安全模式一般都是电脑中才会出现的。可能有人会问，Android手机有安全模式吗？在windows系统中，安全模式的工作原理是在不加载第三方认设备驱动程序的情况下启动电脑，使电脑运行在系统最小模式，这样用户就可以方便来检测与修复计算机系统的错误。那么Android手机安全模式是什么意思呢？Android手机安全模式怎么开？下面让我们来看Android 4.1安全模式介绍。Android手机安全模式是什么意思呢？Android手机与电脑中安全模式其实也是个同理的，Android手机开启安全模式会停用手机上已经安装的所有第三方应用，这样就可以在手机出现各种莫名其妙的问题时进行查修，比如安装的软件中有恶意软件在开机时就吃掉大部分内存导致机器运行异常。Android手机安全模式怎么开？Android系统进入安全模式的操作步骤是长按电源键弹出关机飞行模式的选择菜单然后长按屏幕上的关机选项就能弹出安全模式选择框，点击确定会重启到安全模式，再次重启，恢复正常6。2Android一些基本的安全设置（1）设定图案密码锁定手机首先进入设置界面，选择“安全”(Security)“设置未锁定的图案”(Set Unlock Pattern)。在此输入了个人识别的图案密码之后，再次打开安全设置界面，并选择“使用可见的图案”的选项。这样，就能用图案密码锁定你的手机了。（2）保护Android手机的密码用Android手机浏览过的网页上保存用户名和密码信息显然是一种无脑的笨做法，而且这也意味着一些别有用心的人将能轻易侵入你的E-Mail或者获得 你的某个论坛账号甚至是银行卡的信息。要保护这些储存下的密码(称之为凭证)，以防万一，你可以采用以下方法对保存的凭证做到最大程度的安全防护。进入设置界面，选择“位置和安全”(Location&Security)“凭证存储”“设置密码”(Set Password)即可。（3）锁定手机SIM卡我们无法防止100%手机不会丢失，但至少能够做到万一手机丢失之后不被一些用心不良的人利用，方法就是锁定SIM卡。进入设置界面，选择“位置 和安全”“设置SIM卡锁定”，然后输入购买SIM卡时获得的PIN码即可。这样处理之后，别人在不输入PIN码的情况下就无法用你的手机打电话或者发短信了7。三、Android智能手机避免恶意入侵的防范措施及手段归纳智能手机上网风险和防范之道，使用手机上网请遵循以下的行为准则。（1）不要使用不明提供者的WIFI热点，如果是在某间有提供免费WIFI热点的店内，该店一定会有公告它所提供的WIFI热点和连线密码，除此之外的不明WIFI热点尽量都不要使用。（2）如果非得要使用不明提供者的WIFI热点，务必不要进行任何登入动作，也不要在聊天内容提及你的个人资料与信用卡号码，更不要操作股票或金融业务，如果真的要做这些事情，还是用自费的3G上网吧，虽然花钱但至少安全。（3）智能手机下载app之前，务必检查一下该app要求的权限是否与该app的功能相关，最常见的陷阱就是明明是款小游戏，却要求使用者同意提供手机识别码、得知你的位置、启用GPS、发送短信这些权限，无论你有多想玩这些app，绝对不要同意。（4）如果是智能手机要下载系统功能的app而不得不授与以上的权限的时候，务必先阅读该app的下载次数以及评分与评论，确定已经有上万人使用过该app而没有提出受害控诉以后，才同意权限并下载该app8。最后要注意的是，使用手机上网时、无论是浏览网站或下载app、千万不要以为匿名就是安全的，不要以为外泄的资料中没有你的姓名与身分证字号就无所谓，诈骗集团光是锁定你的手机位置、知道你的喜好，就已经足够进行诈骗了。举例来说，假设他们经由以上的途径知道你居住在某地区，喜好关注汽车方面的信息，于是就藉由发送短信、告诉你可以在某地区面交、低价购买到高级的汽车套件来企图诈骗了，正所谓不怕一万只怕万一，多点警觉心总是好的。由于手机恶意程序本身并不能自行散佈，因此网络犯罪份子经常使用社交工程的手段吸引使用者来下载，其中又以在第三方网站所下载的程序最为危险，因此建议使用者不要从不信任的第三方网站下载程序。在安装前，也应详细阅读程序的权限需求，因为检查权限需求便可以知道一些恶意软件所伪装的正常App会出现不一致的权限要求，例如一个赛车游戏会出现寄送三封短信至服务者的请求，一般来说这是不合理的。以及随时检查所安装App的使用权限，以防止恶意软体偷偷地寄送短信或传送资料，这样才能保障使用智能手机的安全9。四、结合本人所使用的Android智能手机进行分析其实说这么多手机的安全风险和防范措施，我们平时使用的智能手机并没有遭受太多的恶意程序侵犯。如今看来，智能手机比笔记本电脑和台式电脑更难感染，但情况或许不会一直是如此。安全软件制造商不介意使用者认为手机十分容易遭到入侵。安全软件制造商不介意使用者认为手机