行動安全是今年台灣駭客年會最熱門的議題,不同於大家將重點放在智慧型手機(尤其是Android系統),日本NetAgent公司董事會成員Kenji Aiko,以日式手機(日本傳統行動電話,KEITAI DENWA)安全性為主討論題。
日式手機與智慧型手機的差異在於,日式手機屬於封閉式網路環境,手機以外的終端設備(如:電腦),無法連上手機網頁,且手機內建個人身份識別碼(Individual Identification Number),供電信商掌握使用者的連網行為,Kenji Aiko表示,目前將近90%的日本民眾使用KEITAI電話,智慧型手機(如:iPhone、Android手機)市佔率相對偏低。
日式手機在1999年啟動網路功能,當時電腦就已有許多資安威脅,也因此電信商才想開發手機專屬網路,禁止透過電腦連上手機網路,藉此確保行動上網的安全性。Kenji Aiko指出,日本電信商的作法是,透過IP位址來判斷連線裝置為手機或是電腦,並定期(通常為每季一次)在網站上公佈可用的IP位址,在此範圍內連線的裝置就是手機,其餘一律拒絕連線。
再從AP開發環境來看日式手機的安全性,其實有點類似Android,使用Java語言,只是限制很多,例如:網頁只能使用http語法、只能連結下載檔案的網址、完全不能修改http/SMTP協定的檔頭,除非AP開發商和電信商簽有合約,否則就得遵循此規則。
在連網環境與AP開發的嚴格限制下,日式手機從1999年到2008年共10年左右時間,幾乎沒有發生什麼資安事件,直到2009年8月,DoCoMo開放JavaScript-Engine功能,才出現應用Ajax技術就能更改http檔頭並竄改使用者身份的安全漏洞,不過同年11月,DoCoMo便已關閉JavaScript功能(如:setRequestHeader……等)。
此外,日式手機還有第二個資安問題,就是沒有做DNS快取的限制,只要仿照電腦DNS Rebinding攻擊手法,就能避掉Javascrpit同網域的限制,Kenji Aiko說,日本電信商至今仍未解決這個問題。雖然,日式手機從1999年到2008年都是安全的,但隨著IT技術不斷更新,安全性也會跟著改變,企業因應方法必須舉時俱進,才能立於不敗之地。