根據網路上各種成長指數,智慧型手機目前的成長幅度相當大。iPhone 熱潮、Android機海,電信業者的強烈推銷、讓人眼花撩亂的功能,吸引了很多還不了解智慧型手機的民眾購買。
智慧型手機跟電腦一樣,具有各種功能。比起傳統的 Feature Phone來說,也更具有多樣性。使用者可以自由的安裝應用程式、上網瀏覽網站、與其他手機通訊等等。但是更多的功能、更複雜的系統,意味著手機有更多的不確定性。你確定你安裝的程式是安全的嗎?你知道在上網的時候有沒有傳出額外的機敏資料嗎?你知道你的手機究竟在背後做些什麼嗎?在你快樂使用手機的時候,背後其實隱藏了非常大的安全議題。
手機作業平台及其特性
智慧型手機目前略分成幾大系統,Apple iPhone、Google Android、Microsoft Windows Phone 7、BlackBerry、以及 HP Palm webOS。目前台灣最熱門的為 iPhone,走一趟捷運站就可以看到十來支,iPhone 4 開賣時的熱潮相信大家都有注意到,其友善的使用者介面,流暢的使用體驗,豐富的多媒體效果,讓很多使用者願意花大錢購買 iPhone。
其次是 Google Android在這兩年快速成長,以宏達電(HTC)為先鋒,各家手機硬體廠商共計推出了幾十支 Android 手機,包括 Acer、LG、Motorola、Samsung 及 Sony Ericsson 等等。Motorola 更因手機型號「Droid」在全世界的熱賣而起死回生。
Android 的特色在於其開放的作業系統,開發的自由度很高。再加上有 Google 加持,使用 Google Services 雲端服務,讓手機的加值性提昇許多。使用流暢度及多媒體方面雖然還不及 iPhone 強大,但是其成長的幅度已經嚴重威脅了 iPhone 的市場。
其餘智慧型手機系統都持續在發展成長中。Microsoft Windows Phone 7 在今年底推出,改善了原本 Windows Mobile 的架構,強化多媒體、簡化的使用者介面、強大的社交網路。但是因為其發展的腳步較慢,很多部分需要改進。BlackBerry 一直都是企業的最愛,但也有大量使用者由於便利性轉至使用 iPhone 及 Android 平台。
手機究竟有什麼安全議題?
究竟智慧型手機有什麼安全議題呢?智慧型手機就跟一般的電腦一樣,只是擁有的硬體資源較少。電腦上擁有的風險,手機上也會有類似的議題存在。智慧型手機大家最津津樂道的是可以安裝多樣性的軟體。使用者可以使用手機提供的線上商店搜尋下載、安裝軟體,也可以自己上網瀏覽下載軟體。但是鮮少使用者會去懷疑下載安裝的軟體是否是安全的。
以iPhone為例,為了避免惡意程式,Apple 的 App Store 有嚴格的審核機制。若想在官方 App Store 上架的軟體,就必須經過層層的自動化檢測以及手動檢測,審核合格後才能放置。
但是有些使用者為了要規避手機內部的限制,以及為了安裝更多特殊軟體或取得更多功能,使用了越獄技術 (Jailbreak) 來破解手機。在網路上提供很多現成的破解工具,使用方法很簡易,但是很多使用者卻不知道其風險,因此造成了當初大量 iPhone 的 SSH 服務遭到攻擊。
因越獄而從不知名來源安裝的軟體也會有風險。Android 也有類似的破解方法,取得 root 權限後可以繞過系統的限制,而增加更多的功能性。Android Market 目前沒有類似 iPhone 如此嚴謹的軟體審核機制,因此安裝軟體比起 iPhone 有一定程度的風險。
智慧型手機上比起電腦也有不少惡意程式,目前許多惡意程式以竊取隱私資料為主,例如有些程式會將使用者的位置、電話號碼、好友清單等回傳至網路上,供程式作者分析使用。另外也有攻擊手機系統的惡意程式,在手機中植入木馬,藉此操縱整支手機。
使用智慧型手機的人通常也會申辦 3G 網路,有些使用者甚至因為申辦了無限流量的方案而整天連接網路,這對於惡意駭客來說無疑是個好消息。只要手機是在連線的狀態,攻擊者就可以透過網路直接控制你的手機,甚至利用你的手機攻擊其他電腦,成為殭屍網路的一員。
如果使用者沒有做好把關,甚至會危及公司內部網路。BlackBerry 黑莓機一直都是商用人士的最愛,但在今年俄國廠商 ElcomSoft(註1)宣布可透過其密碼還原機制破解,iPhone 也可用類似的方法進行破解。電腦硬體發展快速,破解密碼可由 CPU、GPU 來加速破解,以往被公認安全的加密法,在現今都遭到挑戰。
手機上的已知風險
目前已知智慧型手機上的安全風險有哪些呢?Android 目前是備受看好的智慧型手機,在今年已經被發現了不少安全風險。
首先,使用者喜歡上網抓取應用程式下來安裝,但是應用程式中可能藏有惡意程式。透過對 Android 作業系統的攻擊,進而取得管理者root 權限。Android 作業系統是由 Linux 修改而來,今年被發現 Linux 中一系統漏洞在 Android 上可以實現,透過此攻擊程式可以直接取得管理者權限。取得管理者權限之後,就可以進行植入木馬等動作,進而可以偷取手機內所有個人資料、帳號密碼等資訊。如果手機有與公司 Exchange Server、VPN 等連接,甚至會對公司內部造成嚴重危害。
除了安裝應用程式的途徑之外,正常瀏覽網路也可以遭到攻擊。今年底英國資安專家Thomas Cannon指出只要瀏覽含有惡意攻擊程式的網頁,攻擊者將有機會竊取使用者手機記憶卡中的檔案。Google 承諾將在下一版 Android 中修復,但是使用者手機的安全在這段時間將遭到挑戰。(註2)
除了竊取記憶卡中的資料之外,由於手機瀏覽器與一般瀏覽器引擎沒有太大差異,瀏覽器引擎的弱點在手機上也可能通用。使用者同樣瀏覽到攻擊 WebKit 引擎瀏覽器的惡意頁面,會感覺到手機停滯,此時惡意頁面中的程式碼正在攻擊手機。而當JavaScript 攻擊碼攻擊成功之後,手機將會主動連線至攻擊者的主機中給予操控權。
手機安全只能由作業系統廠商保護?
手機安全最大的問題在於系統的更新。手機作業系統本身的漏洞,只有作業系統廠商可以修補。Apple 定期會釋出 iPhone更新,Google Android 也會,但是受限於手機硬體廠商。
手機廠商為了客製化旗下手機,並不會將 Google Android 的更新直接提供給使用者更新,而會等自身修補完畢,將對應的軟體修改完整後才會釋出,甚至有些舊款型號不再提供更新服務。這段未修補的時間造成使用者暴露在系統漏洞的威脅之下,這是智慧型手機最大的隱憂之一。惡意程式方面,目前已經有諸多防毒軟體廠商著手撰寫手機防毒軟體。但是受限於手機的硬體限制以及手機效能,是否能發揮防毒的效用,還需要時間來評估。
手機作業系統的開發尚未完善,還有很長一段路要走,在這條路上使用者要如何保護自己?在系統及軟體都無法保證安全的情況下,使用者只能將個人資料小心保護。避免安裝來路不明的應用程式,個人資料、信用卡號、公司內部資訊等避免直接儲存於手機之中,並且多注意手機安全的相關訊息。
企業又該如何避免此類新威脅?對於企業用戶來說,智慧型手機的出現無疑造成了更多問題。原本是可以做好安全控管的桌機,現在變成了一台台行動裝置。企業除了必須要多宣導手機安全的重要,避免員工不知不覺將公司內網與手機網路連接;同時也必須控管公司內部主機,帳號密碼定期更換,確保無線網路不與內部網路混接,避免為企業造成直接威脅。在手機安全的新世代,也要停、看、聽,才能保護自己在這個新戰場存活下來。
註1:Elcomsoft Phone Password Breaker http://www.elcomsoft.com/eppb.html
註2:http://thomascannon.net/blog/2010/11/android-data-stealing-vulnerability/
本文作者為滲透測試服務廠商技術顧問