数以百万计的智能手机和平板设备因为圣诞、新年的来临而送出,这些产品被激活后也将吸引网络犯罪分子和应用程序制造商。移动设备的用户在激活设备时需要注意哪些问题呢,请关注我们接下来为您总结出来的几点建议:
不要完全相信,你的移动设备上的活动是安全的!
手持设备现在已经足以支持一系列的新功能。近场通信(NFC)技术可以让用户用移动设备完成支付,而这样可能暴露敏感的金融信息和地理数据,这些数据往往与一些应用程序绑定在一起,带来了数据隐私问题。
去年,专家估计在圣诞期间有6.8亿移动设备拆箱,而随着新机型不断出现,市场上移动设备的增长速度也持续攀升。据趋势科技透露,往往是那些刚获得新设备的用户没有考虑到如何减轻第一次激活时的隐私问题和安全风险。该安全公司发出的信息图表(infographic)概述一些基本的步骤,新设备所有者可以参考这些步骤为新设备提供足够的保护。
应用程序陷阱
智能手机应用使设备功能更强大。虽然设备浏览器可用于购买或登录大多数网上银行,但应用程序提供了额外的功能和使设备的便捷性超越了浏览器。专家称,安全方面的顾虑是有理由的,因为大量研究已经证明了大量数据都是通过合法的智能手机应用程序收集。数据显示,从联系人记录和位置数据,到浏览历史记录和设备的使用情况,这些信息都可以与第三方的广告和营销公司共享,其中对于隐私问题的担忧使人觉得需要利用控件限制入侵行为。
在2012年的黑帽大会上接受记者采访时,Appthority总裁兼创始人Domingo Guerra就此问题谈到:“开发商要赚钱,消费者要免费的应用程序和广告网络会让开发人员提供有意思的的数据,”Guerra说。
专家称,当一个应用程序安装完成后,用户应密切关注该应用程序的权限要求。根据不同的应用,用户可以选择简单地对某些数据的权限允许或拒绝其权限请求。请记住,拒绝许可往往会限制应用程序的功能。趋势科技指出,一些游戏应用程序只是简单地请求获取位置信息从而为广告客户提供信息。在安装应用程序之前,检查其评级,并确保它出自合法的程序员之手。
如果向一个十几岁的青少年推荐智能手机呢?有些免费的应用程序不一定是免费的。有些游戏限制应用程序的功能,提示用户在应用程序内购买,这样便可以迅速促使客户用信用卡消费。几乎所有设备都具备一个禁止应用内购买的功能。
如果您的电子邮件帐户凭据被盗,安全专家也提倡使用更好的密码管理方法将损失降到最低。为每一个要求出具凭据的社交网络和服务设置一个不同的密码。使用字母,数字和字符的组合。考虑用密码管理器管理复杂的密码。
丢失,被盗的设备呢?先告知公司的IT部门
许多专家说,目前丢失或被盗设备才是数据安全问题的最大威胁。虽然大多数的小偷都试图清除设备信息后进行销售,但是没有设置密码保护的智能手机或平板对任何人都敞开大门。苹果,谷歌和微软提供了设备位置搜索功能,在大多数情况下,该功能已被启用。
也可以使用远程擦除功能。一些安全应用程序提供远程擦除功能。例如,除了找到丢失设备的位置,位于旧金山的Lookout Inc.可以远程锁定和擦拭Android设备。它甚至可以清除设备中包含个人数据的SD卡。
如果设备丢失或被盗,第一时间要找的不是运营商。如果您的设备可以访问企业信息,如工作联系人列表,工作应用程序和电子邮件,企业的CISO们都提倡设备不见后应第一时间与企业IT部门取得联系。第一时间告诉运营商可以将设备从运营商的网络中移除,还会使企业IT部门丧失清除设备数据的能力。
近场通信
安全研究人员已经在支持NFC近场通信技术的新设备上发现了很多漏洞。研究人员Charlie Miller发现,在某些设备上,在特定条件下,默认设置会一直开放通信信道,这样一来,NFC就可能被精明的攻击者用来接入带有此功能的设备。他演示了如何利用设备弱点获得浏览器访问权限并窃取密码和其他帐户的凭据。
NFC旨在使用无线设备在较短半径的距离内进行通信以提供各种功能。可以用它共享文件,如在两个设备之间共享照片或数字名片。支付行业看到了它在数字钱包支付功能方面的潜力,这样设备用户将设备与支付平台绑定就可以完成日常支付。Miller是在基于Android的诺基亚N9和Nexus S三星智能手机成功演示了NFC攻击。大量Android设备和最新的诺基亚WP电话都支持此技术。
专家认为成为NFC攻击对象的风险不高,因为攻击者需要在短距离内接触受害人。补丁管理是专家一贯倡导的一项移动安全建议。保持设备与最新固件一起更新——有时说起来容易做起来难。要持续更新使用NFC技术的智能手机应用程序。启用设备锁定功能,设置一个访问密码。通过启用密码功能,设备持有者也可以启用加密功能。
限制信任,持续验证
智能手机操作系统在设计的时候考虑到了安全问题。沙盒技术使得攻击者难以突破浏览器的权限访问正在运行的进程,应用程序都必须具备一个数字证书,以便设备能够验证其真实性,移动应用程序商店通常会对是否存在严重威胁进行审查。一般而言,恶意应用程序——主要来自第三方的应用程序商店——以及移动设备的攻击——存在吸费陷阱的短信木马程序——都已经被安全公司检测出来。
部署基本的安全措施有助于减小成为受害者的几率。不要完全认为你的移动设备上的活动是安全的。不要点击不受信任来源的链接。从朋友或同事得到一个随机的链接或附件要在打开之前,要先检查一下。确认您手机浏览器访问的网站合法,特别是当它请求出具凭据的时候。使用安全度高的密码并限制某些应用程序的权限。