手机的安全隐患浅析

摘　要：

关键词：
　　现如今，手机在我们日常生活中已经不仅仅是一种通讯工具，更是一种生活方式。很多人已经习惯了手机上网、手机炒股、手机邮箱、手机支付和移动商务等，重要资料如隐私记录、银行账号、支付信息，都开始被用户存放在手机里，3G以来手机的移动应用更是日益丰富。然而随之而来的手机通话被窃听、账号被窃取、私密信息被盗取的风险和危害也越来越大。本文分析了手机使用中几种常见的安全隐患，希望能够提高人们对手机安全问题的重视，让自己的手机用得更安全。
　　一、手机是最具隐蔽性的“窃听器”
　　手机的通信过程就是使用手机把语言信号传输到移动通信网络中，再由移动通信网络将语言信号变成电磁频谱，通过通信卫星辐射漫游传送到被叫端的电信网络中，被叫端的通信设备接收到无线电磁波，再转换成语言信号接通通信网络。
　　虽然移动通信系统中都有空中接口加密机制，但绝大部分现实网络并没有对用户开通加密功能，有的即使开通了加密功能，其加密算法的强度也比较弱。据报道，已有一些专门从事安全产品开发的公司推出了带解密功能的GSM移动通信系统空中链路信息截获设备，能够在截获GSM加密通话的同时进行加密语音的实时破解。
　　手机在待机状态也并非绝对安全。因为在待机状态，手机也要与通信网络保持不间断的信号交换。在这些过程中产生的电磁频谱，人们很容易利用侦察监视技术发现、识别、监视和跟踪目标，并且能对目标进行定位，从中获得有价值的情报。据有关专家介绍说，一些手机具有隐蔽通话功能，可以在不响铃、也没有任何显示的情况下由待机状态转变为通话状态，从而将周围的声音发射出去。
　　即使手机在关机状态下也有可能泄密。关机时泄密的方式有两种：一种情况是使用者关闭手机，持有特殊仪器的窃听者，仍可遥控打开手机的话筒，继续窃听话筒有效范围内的任何谈话。也就是说，使用者只要将手机放在身边，就毫无保密可言。另一种是在手机制造过程中就在芯片中植入接收和发送功能。
　　二、手机是最普通的“定位仪”
　　随着通信技术的发展，手机已经具有了自报家门的定位服务功能。所谓定位服务又称为空间位置服务，是通过移动运营商获得移动用户的位置信息。它的主要原理是测量手机到达不同基站的下行导频信号，得到不同基站下行导频的到达时刻，根据该测量数据并结合基站的坐标，采用三角公式估算即可得到手机的位置。目前，手机的定位精度可达10米。
　　手机定位服务在方便用户了解自身所处位置，享受服务带来便捷的同时，也使他人能通过这种服务随时跟踪你的位置，无形中暴露了行踪。第一次车臣战争期间，俄罗斯军队用导弹击毙了正在用手机通话的叛乱分子头目杜达耶夫；阿富汗战争期间，本.拉登的得力助手、基地组织的二号人物阿布.祖巴耶达赫因使用手机暴露藏身地而落网，而实现这些均采用了手机定位技术。
　　三、手机不是信息存储的“保险柜”
　　现在手机功能日益强大，手机电脑化已是大势所趋，智能手机的硬件配置甚至已经达到了奔二级别，通过手机编辑、存储个人电脑上的文件已经极为普遍，日积月累，手机上也存储了越来越多的用户个人信息。个人信息泄露有三种方式：一是用户的通信信息被第三方截获，导致通信对象的电话号码、手机身份泄露，从而获得用户的联系人信息。二是手机病毒窃取信息。手机病毒原理与计算机类似，但其传播途径既可以通过移动通信网又可以通过计算机网络，传播方式主要通过短信、彩信、上网浏览、网络下载等。随着手机病毒的持续增长，其危害也日趋严重，既有诸如死机、自动重启、删除资料、窃取资料等“软”危害，也有损坏手机卡、手机芯片等“硬”危害。而随着手机操作系统日益标准化和3G时代的来临，黑客已经可以像攻击台式机一样针对手机的缺陷发起猛攻。一款名为“同花顺大盗”的木马软件安装之后，当手机登陆同花顺炒股软件时，它就会自动把用户的账户名和密码发送到监控手机上。而一种名为“短信卧底”的恶意软件，则可以用任意一部手机向中毒手机发送控制命令，然后获取短信内容。三是旧手机泄密。人们喜欢把各种个人信息存储在手机里，而手机信息都存储在闪存上，但要永久删除其中的信息很缓慢，手机厂商为了不至于手机删除信息显得慢就采用非彻底删除的方法来弥补这一缺点。这就带来一个安全问题，当你更换手机时，旧手机的信息就可以通过专门恢复数据的工具得以恢复（即使上述信息在旧手机上看似被删除了也能恢复），这样手机中的信息就会造成泄密。据报道称，某信息安全产品生产商对网购的二手手机进行了检测，结果从九成产品中恢复出来了数据，包括聊天记录、信用卡号码等。
　　四、手机需要武装到“蓝牙”
　　具有蓝牙功能的手机正面临一个蓝牙安全问题。用一个带有蓝牙设备的笔记本电脑，通过一些方法就可以扫描到周围的蓝牙设备，然后通过检测的设备名识别其型号，或通过地址识别制造商，再验证蓝牙设备的指纹进而确定手机的型号。这种攻击是基于这样一种原理：通过连接的蓝牙的OPP（对象交换传输规格）可以在设备之间交换各种信息，例如电话簿等等，由于厂商的原因，一些型号的蓝牙设备使攻击者可以在无须认证的情况下连接到这些设备上，下载设备中的资料（电话簿、日程安排信息、图片或其他数据文件）。除此之外还可以操控手机进行拨号、短信发送和访问网络等活动，这种攻击被称为BlueBug攻击(“蓝劫”)。有关安全专家演示了用三种不同方法对蓝牙手机进行的攻击：能够向蓝牙手机发送垃圾短信；窃取存储在蓝牙手机上的所有资料（或者在蓝牙手机上处理所有数据）；通过迫使目标蓝牙手机拨打其他手机使之成为一个移动窃听器。在对蓝牙手机的三种攻击中，至少会受到其中一种攻击影响的手机占50%～70%。一些攻击者可以未经邀请就通过蓝牙与你的电话连接，向你发送匿名信息；或者远程拦截支持蓝牙的手机，这样手机中的所有资料就暴露在攻击者面前。
　　结束语：
　　手机安全问题的提出和防御除了需要手机用户加强安全防范意识和技能，政府、协会、运营商的宣传和政策制定也不容忽视，同时更需要手机制造商和安全软件开发商加强手机和通信安全方面的研发。只有多管齐下，魔高一尺，道高一丈，手机安全才会真正实现。否则，我们拿的不是手机，而是手雷了。