智能手機的信息安全問題與對策分析

摘 要：智能手機用戶數量持續增長，手機安全問題日益凸現，針對智能手機系統自身導致的一些安全問題，可以通過檢查數字簽名、用戶訪問控制、安裝手機安全程序等方式來加強信息安全管理。

關鍵詞：智能手機；數字簽名；訪問控制；安全程序

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1674-7712 （2014） 14-0000-01

2014年1月21日，市場研究和咨詢公司Gartner發布最新調查報告，中國手機用戶總數在2013年首次超過10億。Gartner分析師預測，2014年，中國市場上將銷售4.435億部手機，而使用中的手機將超過10.75億部，我國智能手機用戶數量正以滾雪球的速度持續增長。然而，用戶數量的逐漸增多與各類應用程序的普及，也就導致了手機安全問題日益凸現。

2012年8月，手機應用系統爆出了一個“iphone短信欺騙漏洞”，該漏洞在iphone上已存在5年之久。該漏洞在UDH（User Data header）中插入自定義回復地址的號碼，通過PDU模式將構成造后的短消息發送給iphone用戶，目標收到短消息，顯示消息的來源便是構造短信里UDH中的插入的號碼，進而實現了短信欺騙。該漏洞被惡意攻擊者利用來偽造用戶熟知的聯系人，發送各種垃圾短信、詐騙信息，間接導致用戶秘密信息的泄露，并造成不同程度的經濟損失。

眾所周知，Android操作系統開放源代碼，是一個具有極強開放性的平臺。然而它的開放性引發了人們對于系統的深度研究，攻擊者可以輕松獲取Google Play中的軟件，通過逆向工程還原成源代碼，經過修改加入惡意代碼后打包，再將其發布。于是，眾多良莠不齊的應用和論壇網站成為滋生各種惡意程序及惡意行為的溫床。有關研究表明，國內市場中近六成的Android應用程序有問題，總體泄密率高達58%。相對而言，iphone的非公開編程語言反匯編難度很高，因此其安全威脅要小得多。

針對智能手機系統自身導致的一些安全問題，可以通過以下幾種方式來加強信息安全管理。

（一）檢查數字簽名。檢查所有智能手機設備的可執行文件和安裝文件的數字簽名。這些數字簽名包括塞班（Symbian）或微軟Mobile2Market簽署的認證程序，通過這類智能手機管理工具來管理安裝文件，可以幫助用戶防范惡意軟件的自動安裝。另外，智能手機廠商可以創建移動軟件白名單和黑名單，向手機用戶普及安全防護意識，引導用戶避免運行未簽名代碼。

（二）用戶訪問控制。加強智能手機操作系統的訪問控制，區分普通用戶與root權限用戶的訪問權限，阻止惡意軟件篡改文件和調用敏感功能。例如，安卓的權限管理策略可以限制程序訪問系統和用戶的文件。配置這些訪問控制策略有利于阻止間諜軟件竊取數據，防止特洛伊木馬留下后門。

（三）安裝手機安全程序。智能手機沒有在出廠時安裝防火墻、殺毒軟件或垃圾郵件過濾器。手機用戶可以考慮通過安裝常駐于系統的安全程序來彌補這些安全空缺。例如，用戶可以在智能手機操作系統上安裝防病毒軟件、短信管理軟件以及反垃圾郵件程序。

當前，智能手機面臨著惡意程序破壞、數據泄露、信息竊聽等諸多信息安全威脅的挑戰。近日，工信部規定申請入網的智能手機終端不得安裝有惡意代碼或者擅自調用終端通信功能而造成用戶流量耗費、費用損失、信息泄露的軟件。相關政策法規的制定和完善將進一步維護用戶的個人信息安全與合法權益，將為智能手機用戶提供更大的信息安全保護屏障。

參考文獻：

[1]程宇賢，劉志亮， 殷俊.移動互聯時代智能手機信息安全問題與對策分析[J].信息網絡安全，2012（12）.

[2]張婷，張輝極.智能手機安全問題及防護技術分析[J].信息網絡安全，2011（12）.

[3]王鵬程.Android智能手機信息安全研究[D].中國海洋大學，2013（05）.

[4]周曉宇.智能手機的信息安全風險及監管對策研究[J].黑龍江科技信息，2010（07）.

[5]俞航堅.Android智能手機信息安全管理系統的研究[D].廈門大學，2014（05）.

[6]黃曉波.Android系統后臺監聽與反監聽技術研究[D].四川師范大學，2013（06）.

[作者簡介]蔡亞鑫（1981.06-），女，山東濟南人，本科，工程師，研究方向：指揮自動化；于沖（1978.12-），男，山東濟南人，本科，主任，研究方向：通信技術。