關於支援科學新聞
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞事業 訂閱。透過購買訂閱,您正在幫助確保未來能夠繼續講述關於塑造我們當今世界的發現和思想的具有影響力的故事。
自從我們將個人電腦連線到網際網路的那一刻起,它們就一直遭受網路攻擊。如今,潛伏在垃圾郵件和網頁上的惡意軟體只能透過努力和花費來阻止。那麼,為什麼我們的智慧手機和平板電腦(本質上是個人電腦的變體)沒有相同的安全問題呢?
有幾個因素阻礙了網路攻擊者將來可能認真嘗試使用旨在入侵應用程式和控制敏感資料的惡意軟體感染移動裝置。首先,執行 Apple iOS、Google Android 和其他移動作業系統的裝置仍然不如個人電腦那麼多,因此個人電腦仍然是駭客最有可能的目標。在大多數情況下,智慧手機和平板電腦的設計也比個人電腦更好,可以最大限度地減少病毒和其他有問題程式造成的潛在損害。此外,蘋果公司對其 iPhone 和 iPad 上可安裝的應用程式的嚴格控制在很大程度上提高了這些裝置的安全性。
CTIA(華盛頓特區無線行業貿易組織)的網路安全和技術副總裁 John Marinho 表示,在美國使用的超過 1.4 億部智慧手機中,只有不到 2% 的手機感染了移動惡意軟體 (pdf)。
然而,攻擊者有可能侵入移動裝置,包括 iPhone 和執行 Android 的裝置。“我當然做過,” Twitter 的安全工程師 Charlie Miller 說,他最出名的是作為 Independent Security Evaluators 的首席分析師測試移動裝置安全性。“但是,這比對 Windows 做同樣的事情要困難得多。一個目標是賺錢的理性攻擊者不會選擇這條路。”
並非免疫
幸運的是,迄今為止,大多數攻擊智慧手機和平板電腦的嘗試都是由研究人員進行的,他們正在試驗這些裝置的安全性。第一個編寫的用於操縱行動電話的程式——被稱為 Cabir——於 2004 年出現,比 iPhone 首次亮相早三年。Cabir 的匿名作者將病毒傳送給安全研究人員,以證明執行移動 Symbian 作業系統的手機可能會被感染。根據安全研究員 Mikko Hypponen 在 2006 年《大眾科學》文章“惡意軟體走向移動”中的說法,Cabir 隨後會透過藍牙將自己複製到其他行動電話,在此過程中耗盡手機的電池。
2007 年,Miller 和他在 Independent Security Evaluators 的同事迎接 iPhone 的釋出,編寫了一個程式,該程式可以在 iPhone 開啟其 Safari 瀏覽器時自行安裝。安裝後,該程式使攻擊者能夠劫持和竊取儲存在受感染 iPhone 上的資料。第二年,當 HTC 的 T-Mobile G1 Android 手機首次亮相時,研究人員發現,如果使用者訪問感染病毒或其他惡意程式的網頁,這款智慧手機也可能被利用。一旦攻擊者控制了受感染的智慧手機,他或她就可以訪問儲存的密碼以及瀏覽器用於訪問不同網站的任何 cookie。
2009 年,Miller 幫助開發了另一種攻擊方法,該方法用大量的 SMS(短訊息服務)文字訊息轟炸 iPhone 或基於 Android 的裝置,允許入侵者在手機上植入病毒,或者至少導致手機關機(在此過程中斷開通話和網路訪問)。
金錢與理智
撇開惡意和混亂不談,網路罪犯通常希望從他們的努力中賺錢。這些具有創業精神的人更可能設計一段惡意軟體來攻擊經過驗證的目標,例如微軟的 Windows 作業系統或 Internet Explorer Web 瀏覽器,以最小的努力造成最大的破壞。移動惡意軟體更新,因此編寫此類攻擊可能需要學習曲線,並且成功的確定性較低,曾在國家安全域性擔任全球網路利用分析師五年的 Miller 補充道。
儘管 2012 年全球個人電腦銷量略有下降至約 3.5 億臺,但在過去幾十年中辦公室和家庭中積累的個人電腦數量仍然遠遠超過全球活躍智慧手機和平板電腦的人口。
然而,鑑於這些移動裝置的普及,這種等式將不可避免地發生變化,並使它們面臨更大的風險。根據資訊和分析提供商 IHS Inc. 最近釋出的“移動和無線通訊報告”,全球智慧手機銷量預計將在 2017 年達到 15 億部,是 2012 年 7.12 億部的兩倍多。智慧手機曾經被視為高階奢侈裝置,到今年年底將佔全球銷售的所有手機的大部分。
根據 CTIA 的資料,到 2015 年,透過移動裝置訪問網際網路的美國人將比透過個人電腦或任何其他型別的無線裝置訪問網際網路的美國人更多。 (pdf) 其他研究人員預計,僅平板電腦的銷量到 2015 年將超過個人電腦。 (pdf) 分層防禦
比 iPhone 和 Android 手機更早的手機依賴於更簡單的作業系統,這些作業系統難以損壞,而且幾乎不值得付出努力。更先進的智慧手機提供對 Web 瀏覽器、電子郵件和許多其他可利用的軟體程式的掌上訪問。當 iPhone 於 2007 年 6 月釋出時,蘋果公司的大部分安全策略都集中在限制第三方應用程式在手機上執行。 (pdf)
蘋果公司已經取消了早期的一些限制,但對其應用程式保持嚴格的審查流程。為該公司 App Store 提交應用程式的開發人員必須每年支付 100 美元的開發者許可費用,並且可能需要回答有關其身份的其他問題。假設開發者通過了初步篩選,那麼他或她的應用程式還需要獲得蘋果公司的批准才能出現在其 App Store 中。Miller 說,更有可能的是,該公司會在惡意應用程式有機會造成任何損害之前發現並消除它。
在這種情況下,在以個人電腦為目標時,障礙較少。“攻擊者[可以改為]編寫 Windows 惡意軟體,他們真正需要擔心的唯一事情是防病毒軟體阻止它,”Miller 說。“如果蘋果公司弄清楚[惡意軟體開發者]在做什麼,該公司將撤銷該人的開發者許可,除了沒有成功感染任何智慧手機外,他們還損失了 100 美元。如果攻擊者的時間和金錢有限,那麼他們繼續攻擊個人電腦更有意義。”
如果攻擊者選擇模仿“路過式下載”惡意軟體,這種惡意軟體已成功透過 Web 瀏覽感染個人電腦,那麼成功可能受到許多智慧手機和平板電腦設計方式的限制。Miller 說,特別是蘋果公司的裝置,具有多種防止惡意軟體傳播的功能。蘋果公司新增到較新版本的 iOS 中的一項此類功能——稱為“沙盒”——對移動裝置的不同部分進行分割槽,以便一個區域中的問題(例如針對移動瀏覽器的攻擊)不會傳播到裝置的其餘部分。“攻擊者需要一個漏洞才能進入手機,然後需要第二個漏洞才能突破沙盒,”他補充道。
安卓之道
儘管蘋果公司很受歡迎且備受矚目,但 2012 年售出了超過 4.7 億部 Android 手機。研究公司 Canalys 預測,到 2017 年,這一數字預計將增長到超過 10 億部,使該平臺在智慧手機市場中佔據 67% 的份額,據研究公司 Canalys 稱。研究人員預計,蘋果公司將在 2017 年擁有約 14% 的市場份額。
“Android 是一個非常安全的作業系統——如果你保持更新,”Miller 說。“但這並不總是可能的,特別是如果裝置製造商不支援最新版本的作業系統。”
防禦姿態
Miller 承認,隨著人們開始使用智慧手機和平板電腦而不是個人電腦進行網上銀行和購物,移動裝置對攻擊者來說變得更具吸引力。同樣,如果個人電腦變得更安全,攻擊者可能會將他們的努力轉向移動裝置。
防止移動惡意軟體和攻擊的最佳保護措施之一是保持所有智慧手機和平板電腦軟體的更新。重要的是要保持警惕,並質疑任何應用程式提出的訪問您裝置資料的奇怪或多餘的請求。“例如,為 Android 編寫一個應用程式非常容易,該應用程式會請求大量許可權,例如傳送簡訊,即使該應用程式不需要這樣做,”Miller 說。
電子隱私資訊中心 (EPIC) 最近就三星和 Jay-Z 為宣傳這位表演者的最新專輯而構思的 Android 智慧手機應用程式向美國聯邦貿易委員會 (FTC) 提交了一份投訴 (pdf)。該投訴除其他外聲稱,三星“收集了 Magna Carta 應用程式功能不必要的資料”。該應用程式請求訪問手機通話記錄以及修改或刪除手機 USB 儲存內容的許可權。
在新增任何應用程式之前,請檢視它請求的許可權。如果您抵制安裝可疑軟體的衝動,您的裝置將更加安全。