主题:【原创】要命的手机 -- forsake
冯小刚导演的《手机》,绝对是一部现实主义巨作。电影散场,看到老婆似笑非笑,若有所思的表情后,不知道有多少人会脊骨发凉,多少人会做自己手机内容曝光的恶梦?而巨作之所以是巨作,不仅仅在于刻画现实,还在于预测未来:8年后的今天,手机的要命程度,绝对是有增无减。我们要保护的,除了暧昧短信以外,还多了私密的照片视频、公司机密、上网记录等等。若是手机钱包和手机银行普及,一旦口袋里的那个小祖宗有个什么三长两短,我们的下场可能不仅仅是众叛亲离,甚至连辛辛苦苦攒下来的那点家当都保不住。
悲哀的是,尽管手机功能越来越强,存储量越来越大,界面越来越漂亮,安全问题却越来越多。我们要时刻警惕的对手,除了街上横行的小偷,公司里的同事,甚至家里的那口子以外,还多了两幅新面孔:
一、木马病毒。既然智能手机本质上就是一台电脑,那么PC常有的问题,手机也跑不了。现在大家玩手机,早就不是打打电话发发短信而已,更多的是看电子书、上网、玩游戏。虽然时髦的说法,管这些玩意儿叫应用(apps),不叫软件程序,但风险可没什么区别。就拿流行的两款手机系统来说吧:Android的宗旨就在于开放,鱼龙混杂自然难免。Google办的菜市场,也只是事后审查,而非事先预防。更何况,不通过菜市场,仍然可以安装软件。iOS呢?苹果不近人情的事前审查制度,确实安全了不少——但你要是越狱安装破解软件的话,风险可就大多了。就算老老实实不越狱,现在Apple Store上的应用已经超过了四十万,再加上每个应用前后的更新版本,这么庞大的群体,苹果真的能保证毫无问题吗?
二、通讯窃听。手机使用的各种无线网络,风险天然就比有线连接来的大。解决办法也只有通过加密传输,而加密自然就可能被解密。当然,一个好的加密算法,可能窃听者要花上几十年的时间来解密——对破解者来说并不划算。但问题是:实际应用中的加密算法,真的完美么?就拿手机最常用的GSM网络来说,其中的算法漏洞就被人诟病多时。最近的2010年12月,一个叫Karsten Nohl的家伙还展示了自己的破解过程——不用几十年,20秒就可以了。所需设备也不贵:一台上点档次的电脑,再加三千美元左右的无线设备而已。不过,好在这哥们是个善良的研究员,破解只是兴趣,不会真的拿来实用。但要指望所有的破解者都是小白兔而不是大灰狼,恐怕不太靠谱。
问题有了,怎么防范?木马病毒么,还就是计算机上的老一套:装个杀毒兼防木马的的软件会有些用。但道高一尺魔高一丈,更重要的还是安全第一:不轻易尝鲜,不要从来历不明的地方下载,至于越狱破解——您就看着办吧。通讯窃听?这事儿就难一些。我们能做的,主要是防范危险网络——首当其冲的就是那些不加密的 WIFI。在家里别嫌麻烦,一定要给无线网设密码;出门别贪便宜,见到开放的WIFI就往上冲——万一有姜太公,您岂不就是那条鱼?除了防范以外,我们能做的也就不多了。剩下的,主要还是靠手机服务商完善加密协议,警察叔叔打击犯罪分子,来保障我们的通讯安全。
说到警察叔叔,人家最头疼的恐怕不是这些高科技犯罪。真正麻烦的,还是手机失窃问题。确实,丢手机实在是太普遍了。解决办法也只能从两方面下手:事前预防和事后处理。
事前预防。什么把手机藏好掖好眼观四路耳听八方之类的咱就先不说。一个有趣的高科技,是利用感应芯片的原理,把一块很小的芯片贴在你的钥匙链、纽扣或是其他随身携带的东西上,另一块安在手机里。这样,一旦手机离开你设定的范围,就能自动发出警报——这还是很有震慑力的。当然,实用起来,总会有各种麻烦,比如一旦误报会很吓人,尤其是你在开会或花前月下的时候。
手机丢了又该怎么办?当然你可以报警,但找到的概率……你懂的。其他办法呢?大概出不了锁死、定位以及删除信息这几样,提供者要么是手机网络服务商,要么是软件开发商,要么是手机生产商。
网络服务商的问题是功能有限制。无论什么锁死定位的花样,基本上都是要通过SIM卡来实现,对现在的智能手机,SIM卡早已不是存储信息的地方,小偷只要扔掉原来的SIM卡,运营商们也就没辙了。
防盗软件会好一些。无论有没有SIM卡,只要被激活,锁死报警的功能都有,实在不行还能把所有信息通通删除,SIM,SD,甚至硬盘一个不漏。但软件的问题在于……它只是软件而已。小偷如果不开机甚至拿掉电池,把SD卡或硬盘拆下来,再放到电脑上读取和破解——你的爱机和秘密,也就只能任人鱼肉了。
因此,理论上最完美的防盗方案,应该是由生产商出面,整合了软件、操作系统以及硬件的全方位服务。其中,软件负责报警,操作系统负责锁定和数据加密,硬件负责身份识别。设想这样一部手机:开关机或解锁需要指纹识别;不当操作会引发警报或锁死;数据是以加密的形式存储,即使被拷贝到其他电脑上,破解也需时日……这怎么听起来像某家山寨手机的广告?别说,山寨手机商们还真摸准了客户的安全需求。但可惜的是,由于研发能力的欠缺,导致山寨机们的实际功能根本达不到宣传:指纹识别系统不独立,容易被破解或直接跳过;数据加密不完整;更悲剧的是,由于操作系统被改动,导致手机不稳定,死机频繁。
研究能力不足,对操作系统缺乏控制力,其实不只是山寨商的悲剧,众多大名鼎鼎的手机商也有同样的问题,只是程度不同而已。一个小小的防盗功能,看起来简单,需要的可能是软硬件级别的全新架构,以及操作系统良好的整合能力。黑莓自然会搞,可惜人家主要是面对商业用户的。而大众市场里,能独立完成这项任务的,也只有苹果。它为什么不做?至少从目前来看,iPhone更注重于用户的体验:界面、功能和速度。当然,乔布斯也有自己的想法。去年,苹果就静悄悄的申请了几项专利,其中包括根据声音、长相甚至脉搏来辨认用户身份,根据手机振动频率来判断行为模式等等有趣的功能。目的是什么,不言而喻。不过,这些技术什么时候可以实际出现在我们的手机上,就只有天知道了。
还好,可以聊以自慰的是,就算没有苹果,一个完善的手机安全系统也迟早会出台:它背后的市场太大了。独立完不成,就会有联盟出现。作为用户,我只能祈求各位厂商大佬:在手机越来越要命的今天,您动作能再快点儿吗?
我的互联网日记系列:
本帖一共被 1 帖 引用 (帖内工具实现)
引子:我这个人一直没多大理想。搞这个日记也是前几天脑袋一拍的结果,目标是尽量做到一日一记,对当下IT界新闻发些议论和牢骚。我自己实际研究的领域(在线信誉系统)其实很窄,这意味着绝大部分的话题我都是外行看热闹。疏漏是难免的,错误是必然的,能得到指正和探讨,我会非常感激。
好了,闲话少说,上索引:
本帖一共被 13 帖 引用 (帖内工具实现)
我不用信用卡,省得对账。10K以下都用现金,10K以上刷卡。
其实可以用一张不能透支的储蓄卡专用于小额支付的。
不开通网上银行手机银行电话银行。
不用QQ,MSN。找我就只有电话和EMAIL。
我没有淘宝帐号,买东西都叫别人代劳。因为很多同事卡太多刷不过来。
世界真的很清净。
不过,将来怎么办?这年头,不跟潮流,不就落后时代了吗?
大概是预先设定后,如果丢掉了,可以找到它的位置,而且可以自己选择是否删除里面的内容。具体没试过。
怎么实现上,有一点想不通:是不是在用户设定后,必需在线才能开机,否则别人找个没网络的地方开机,原主在网络再怎么设定,也控制不了丢掉的机器。
怎么样才能达到一个完美的解决方案,这个难度恐怕会很大。印象中我的WINDOWS VISTA,在并行安装了linux后,在linux下完全没有任何安全可言,所有内容都能看到,哪里管得windows的用户管理。
所以,真正的安全,我觉得,在某个操作系统下的文件系统,必须是没有这个操作系统你就读不了才行。如你所说,得全方位,互相依赖,这样才不至于被拆了一个东西,就能单独破解。
系统里没找到……
确实有相关的antitheft软件。当你密码连续输入错误时,就会报警或删除信息。
这种软件在iOS还只能支持单任务的时候就是鸡肋:你要开着它,就什么事儿也干不了。iOS4以后就好多了。不过还是我说的,软件就是软件,绕过去不难。
文件加密,这真就是操作系统+硬件层面支持的才行。
手机不怕偷就行了,手机将来就值几毛钱。数据全在云上,打开就算显示地址本都是通过网络传来的。这样就跟银行卡一样了,解决好本地加密访问和银行安全问题就行了。我上月钱包被偷了,后来扫地大婶根据里面的名片找到我找回来了。里面的现金公交卡都没了,但是银行卡证件全在,小偷都不要,什么时候手机成了银行卡一样的东西就行了。
只是我突然发现潮流和我没什么关系嘛。
所谓的文明世界中所谓重要事情根本就是毛都不算一个嘛。
开发过IM软件之后就不用IM了。为何?我虽不排斥用IM沟通,但IM的使用成本太低导致通过IM而来的信息垃圾居多。比如不过脑子的提问等等。用邮件至少提问的人还要过一下脑子组织一下语言。同样道理,在公司里面用内部电话和我说事情一般我也不理,会叫对方过来面谈。
大学时候大家说要学跳舞以便泡妞(91年),我拒绝跳舞也一样交女朋友啊。
毕业以后大家说要注意形象以便泡妞,我一贯猥琐也一样找老婆啊。
不用QQ并不妨碍我当年设计的一套QQ泡妞攻略广受色狼赞誉。
我的原则是有空可以了解了解,但是了解之后发现没多少东西对我有吸引力。我自己想玩的东西还玩不过来呢。
可能我是过于自恋一点了。我感觉我和大多数人的区别在于,虽然我愿意去了解别人,但是一点也不在意别人是否了解我。了解更好,不了解也无所谓。
开机后10次输对密码的机会,错了之后,机器是你的,数据是上帝的。
当然也不是牢不可破,所有的加密都是能解的,要的只是时间和金钱上的投入就是了,但一般毛贼也没那个心情玩解密再一封封看你的邮件,里面没有存个艳照啥的人家把机器一格就卖钱去也。
目前用着150元的Nokia手机。就打个电话,发几个短信。就一张信用卡。基本不消费。主要是出差用。
买过很多电子产品,HP4700, HP TC1100,E-ink的电子书,Nokia E62, HD2,Wii 什么的。但是近来反思这些东西并没有给我带来什么好处。反而是浪费了很多时间。现在感觉不是用机,而是玩机,或者被手机玩。
或许是老了。
BlackBerry可能适合你。手机本身加密存储、传输信息加密、丢失手机远程执行删除信息操作。他自身的安全性还是很强的,据说达到军方的什么密级了。奥巴马,总统,用的特制版的黑莓。
iPhone4也有远程定位和远程锁定、删除功能。
另,一般大企业部署的移动通信系统,你考虑的问题他都考虑了,目前两大服务提供商有黑莓和微软,企业级的安全解决方案。面向个人的服务只有黑莓和诺基亚提供,都是收费的。
黑莓到国内为什么月租费很昂贵,并不是通话费很昂贵,而是黑莓的个人服务很昂贵。
话说回来,您个人有什么值得别个盗用的信息?信用卡、短信、上网记录,有很多地方可以泄漏,个人电脑中个木马啥也漏了。对手机这种移动设备过分要求保密性,请您加入CIA或者FBI吧,他们保证您的所有信息都是安全的。
假设,假设,未来,一切都嵌入到人的大脑里面去了,生下来就植入一个芯片,所有认证靠脑电波直接完成,是够安全了,但是也沦为了matix里面的一个人肉电池,对不?
名字叫find my iphone,好像能实时对你的iphone进行定位。前些天新加坡警方用这个软件帮失主找回了手机。网上新闻有过报道。
Linux 用cryptsetup-luks 加密分区,挂载时输入一次密码,以后透明使用,没密码那个操作系统看到的都是乱码。
也可以安装系统时选择加密整个硬盘。
不过速度还是个问题。现在的数据量不小,大家耐心又不足,传输产生的延迟时间会让很多人无法接受。当然,将来带宽提高,问题可能会改善。
折中的办法可能是只把机密信息存在远端,大量不那么重要的还是放在本地。
安全是需要成本的。普通用户对自己的信息安全肯定没有商业用户来的重视,也就不愿意出多少钱来买安全。
不过,手机扮演的角色会越来越重要,超过个人电脑也是迟早的事。这小玩意儿又比电脑更不安全,其中的市场前景还是很有看头的。