智能移动终端信息安全风险有哪些?
来源:媒体公告 发布时间:2023-10-04 16:11:02基于智能移动终端平台结构的主要特征,可从硬件设备、软件系统和操作使用 3 个方面总结当前智能移动终端信息安全的风险:
智能移动终端一般在出厂前通过设置硬件RoT 来防范因漏洞攻击导致的软件一致性缺失。例如,作为检测软件篡改的功能,会先进行安全引导。在安全引导中,可通过验证电子签名确认设备启动时读取的软件是否被篡改。在包括硬件 RoT 的智能设备中,用于验证数字签名的密钥被存储在设备的硬件中,这样就可保护密钥免受被篡改后的软件盗取密钥等攻击,从而增强安全引导功能。硬件 RoT 的实现最重要的包含将 SIM 卡安装在终端上使用和配备专用芯片等方法,但主流多采用在 SoC 中集成硬件 RoT功能的方法。
为帮助用户进行数字版权管理(Digital ights Management,DRM),保护敏感数据,可采用可信执行环境(Trusted Execution Environment,TEE)技术。该技术是集成在面向智能移动终端的 SoC中的特色安全功能之一。基于 TEE 的技术原理,可在存储器中对展开程序的执行空间进行分割,生成运行普通 OS 和应用程序的富执行环 境(Rich Execution Environment,REE)空 间与运行要求更高安全性认证和加密功能的 TEE空间,这种划分是通过硬件访问控制机制实现的。在 TEE 空间中运行的可信应用程序(Trusted Application,TA)可通过 DRM 功能保护数据的解码,在 REE 空间中运行应用程序的密钥管理、认证和结算数据生成等功能。另外,基于 TEE的空间分离技术也可以用在智能移动终端配备的传感器上。例如,能够使用将指纹数据读取设备仅连接到 TEE 空间配置的方法,达到保护采集的生物数据和认证逻辑的效果。
由于智能移动终端的应用程序能从非官方渠道获取后运行,恶意代码可能作为应用程序的一部分被安装到设备上。为了处理个人隐私信息和位置信息等敏感数据,设备生产商从设备出厂前就在 OS 中加入了安全功能。在早期面向智能移动终端的操作系统中加入了控制应用权限的功能和分离应用之间通信的机制。但必须要格外注意的是,部分恶意软件可利用 OS 运行中的部分缺陷和脆弱性窃取设备敏感信息。用户为了尽最大可能避免部分应用的功能限制,会通过开放部分功能权限等方式尝试篡改设备初始设定,因此,OS 中的安全功能会因用户篡改而失效,故安全防护效果具有一定局限性。具体而言,应用程序的权限在其程序内部已被定义,在安装或运行时,若能得到用户的同意,该权限将被 OS 开放给应用程序。
为此,可禁止运行的应用程序之间直接通信,通过操作系统或使用限定可执行权限的沙箱等方式来降低恶意软件造成的损失。同时,从 OS 层面上对用户限定能够访问的文件系统或变更设定的权限范围,使不具备相关安全知识的用户不会因误操作而使设备处在危险状态。综上所述,为提高操作系统的安全性,各设备可不再将安全对策委托给用户,而是通过 OS 供应商实现信息安全对策的功能机制。
用户在操作使用智能移动终端时出现的信息安全问题主要与用户的安全防护意识不强有关。由于用户数字证书机制无法完全限制恶意程序的开发,使用户往往无法区分恶意程序和正常程序,在做相关操作时会给予程序申请的所有权限,产生安全风险隐患。例如针对开源的浏览器引擎 WebKit 的攻击和中间人攻击(MITM)等,都是基于用户不当操作而对应用程序发起的攻击,由于此类攻击成功率较高,已慢慢的变成为攻击者频繁利用的手段。
为降低对智能移动终端操作使用的风险,除增强用户安全防护意识外,还可从以下几个方面加以防范:
尽量在官方应用商城下载 App,若下载来自第三方应用程序商店的 App,在安装前需谨慎考虑其安全性;
网联汽车是新兴技术与汽车产业融合创新的重要组成部分,汽车已不再是孤立的单元,而逐步成为
例如在现实世界中,繁忙的机场候机大厅中有一个无人看管的旅行包放在可疑的地方,而在场的旅客都会感到有责任向安全部门报告。然而,他们没接受过检查旅行包以证实威胁的训练,也没有被授权自行采取任何行动。为此,企业要投资于提升员工的网络安全技能。优秀的首席
官正在利用这种热情,为研发人员提供他们想要和需要的培训方式,其回报是减少常见漏洞,同时减少应用程序安全人员过度工作的压力。
近日,中国人民大学被曝个人隐私信息大量失窃,嫌疑人系该校毕业生马某某,现已被警方刑事拘留。相关方面回应称“将依法起诉”,处理态度鲜明。此次人大学生信息失窃并非首例,同类事件诸如前两年引发舆论关注的“学习通”信息泄露,学生干部协助校外企业骗取学信网信息等,其中技术漏洞有之,“家贼难防”也有之。也希望校方能配合警方迅速找到问题症结,让这一事件中的教训推动各大高校
零信任安全不是一种特定技术、产品,而是一种基于“不相信任何人”理念的安全模型。Forrester[1]将零信任定义为“默认情况下拒绝访问应用程序和数据的
模型。威胁预防是通过仅使用策略授予对网络和工作负载的访问权限来实现的,并通过跨用户及其相关设备的持续、上下文、基于
存在被泄露、不当使用的潜在风险。这不但对个人权益导致非常严重威胁,而且将破坏社会秩序。通过一系列分析发现,人脸识别
的运用涉及不同场景、多元主体利益,存在不同强度的风险,而运用场景化分析框架能够对相关风险进行针对性预防和规制。因此,有必要以
CNVD平台近期启动2022年度技术组支撑单位的能力评价工作。通过综合考量企业提交情况和平台统计数据,从漏洞收集工作、漏洞发现工作、漏洞威胁
大数据工作、漏洞技术分析工作、重大漏洞事件响应工作和集体任务协作六个能力象限,对支撑单位的年度工作情况做了统计和评价,并对优秀支撑单位和行业单位做表彰。
2022 年 11 月末,由美国 OpenAI 公司开发的聊天机器人 ChatGPT 横空出世。考虑到因
大范围商用的最大技术难题。尽管 OpenAI 声称此次事件仅涉及1.2%的 ChatGPT Plus 用户,但考虑到 ChatGPT 的庞大用户群,涉事用户恐怕不在少数。
咨询工作中,我们得知许多企业在信息系统的安全保障与管理中投入大量精力,并取得了一定成效。
关于征求国家标准《网络关键设施安全技术方面的要求 可编程逻辑控制器(PLC)》(征求意见稿)意见的通知
标准化技术委员会归口的国家标准《网络关键设施安全技术方面的要求 可编程逻辑控制器(PLC)》现已形成标准征求意见稿。
近年来,随着邮箱登录账号二次安全认证的推行,盗号难度有所提升。但很多人仍习惯将邮箱密码设置为生日、手机号、纪念日、姓名等简单
,以及“一套密码走天下”,这样的密码简单重组容易被爆破。不法分子也通过种种邮件话术、手段 (如链接、二维码等) ,诱导用户主动交出账号密码以及验证码。那么,我们要如何抵御盗号威胁呢? 一个长图告诉你答案。账号安全三大威胁1 口令攻击口令攻击包含暴力破解和撞库,
针对中东地区电信服务提供商的网络攻击是利用名为 HTTPSnoop 和 PipeSnoop 的新型恶意软件实施的,这些恶意软件允许网络犯罪分子远程控制这些感染了这种恶意软件的设备。
在2022年第四季度的后半部分,许多CISO报告说,作为整体预算紧缩的一部分,他们被批准的2023年预算正在被大幅削减。
2022 年互联网行业最大的事件之一是埃隆马斯克收购 Twitter。在这次收购后不久,他宣布计划将Twitter转变为一个名为X的超级应用程序。什么是超级应用?互联网巨头为何需要改变商业模式?Gartner将超级应用程序定义为“为最终用户更好的提供 [...] 的应用程序具有一组核心功能和对独立创建的小应用程序的访问”,将超级应用程序列为 2023 年需要我们来关注的顶级技术趋势之一。这个概念
9月21日,以“ ‘数据+’ 数字安全新屏障”为主题的数据安全和移动互联安全研讨会在国家网络安全产业园区(长沙)顺利召开。本次研讨会由湖南省公安厅指导,湖南省网络空间安全协会主办,绿盟科技作为承办单位深度参与。
- 上一条:移动智能终端安全威胁及措施
- 下一条:移动终端使用的安全性剖析docx