保護(hù)移動(dòng)設(shè)備的安全

保護(hù)你的移動(dòng)設(shè)備安全的關(guān)鍵是：只從可信賴來源下載和安裝應(yīng)用程序，并且確保其實(shí)時(shí)更新。

智能移動(dòng)設(shè)備已成為日常生活和工作中必不可少的工具之一，而正是那些我們選擇和使用的應(yīng)用程序，才使得移動(dòng)設(shè)備的功能如此強(qiáng)大。伴隨著應(yīng)用程序的功能性和復(fù)雜性日益提升，我們必須注意隨之而來的風(fēng)險(xiǎn)。本文闡述了應(yīng)用程序可能帶來的安全風(fēng)險(xiǎn)，并且提供如何安全地安裝、使用和維護(hù)這些應(yīng)用程序的有效措施。

避開獲得應(yīng)用程序的“陷阱”

使用應(yīng)用程序的第一步就是確保你是從安全的、值得信賴的來源下載到它們。電腦犯罪者會(huì)制造出看上去無害、卻會(huì)使你的移動(dòng)設(shè)備感染病毒或蠕蟲的惡意應(yīng)用程序。如果你偶然間安裝了這些惡意程序，這些電腦犯罪者便可以通過這些應(yīng)用程序來控制你的移動(dòng)設(shè)備。如果你只通過著名的、可信賴的渠道來下載應(yīng)用程序，那么你的移動(dòng)設(shè)備安裝惡意程序的概率便會(huì)大大降低。然而，即便是著名的網(wǎng)上應(yīng)用程序市場(chǎng)，也會(huì)有一些惡意應(yīng)用程序。對(duì)于安裝Android的移動(dòng)設(shè)備來說，這種現(xiàn)象更為廣泛，因?yàn)锳ndroid應(yīng)用程序市場(chǎng)并沒有得到嚴(yán)格的管制。不要下載那些全新的或是極少有人下載和評(píng)論的應(yīng)用程序，因?yàn)橐粋€(gè)應(yīng)用程序上架的時(shí)間越長，得到的正面評(píng)論越多，這個(gè)應(yīng)用程序就越值得信任。最后記得只安裝自己需要的應(yīng)用程序。每個(gè)多余的應(yīng)用程序都會(huì)使你的移動(dòng)設(shè)備更易于被攻擊，因此，如果你確定不再使用某個(gè)應(yīng)用程序，要及時(shí)把它從移動(dòng)設(shè)備中刪除。

此外，你或許想要將自己的移動(dòng)設(shè)備“越獄”或獲取ROOT權(quán)限，這些過程通過入侵相應(yīng)的移動(dòng)設(shè)備來安裝一些未獲批準(zhǔn)的應(yīng)用程序或是改變現(xiàn)有功能。我們強(qiáng)烈建議你不要這么做?！霸姜z”不僅避開或消除了很多建立在你移動(dòng)設(shè)備內(nèi)部的安全保護(hù)機(jī)制，還可能會(huì)使保修和維護(hù)協(xié)議無效。

配置和使用應(yīng)用程序的風(fēng)險(xiǎn)

當(dāng)你成功從可信賴來源下載并安裝應(yīng)用程序后，接下來要保證該應(yīng)用程序的配置滿足安全性要求，并可以有效保護(hù)你的隱私。安裝和配置應(yīng)用程序一般要求你授予某種許可和權(quán)限。一些移動(dòng)設(shè)備會(huì)在你授權(quán)給應(yīng)用程序之前會(huì)給予相應(yīng)的提示。記得在授權(quán)之前考慮：這個(gè)應(yīng)用程序真的需要這個(gè)許可嗎？比如說，一些應(yīng)用程序要求使用地理定位服務(wù)。如果你允許一個(gè)應(yīng)用程序獲得你的地理位置，從某種意義上來說，你就允許這個(gè)應(yīng)用程序的開發(fā)者去追蹤你的位置。除此之外，你發(fā)布的任何信息都可能包含你的地理位置信息，這使任何人都可以知道你現(xiàn)在的位置或是你曾經(jīng)去過的地方。如果你不喜歡某個(gè)應(yīng)用程序所要求的許可，應(yīng)該舍棄這個(gè)應(yīng)用程序，會(huì)有另外的應(yīng)用程序可以滿足你的要求。

當(dāng)某個(gè)應(yīng)用程序要求你錄入并儲(chǔ)存一些隱私信息時(shí)，一定要多加注意。即使這個(gè)應(yīng)用程序是合法的，但現(xiàn)在也沒有對(duì)相應(yīng)的開發(fā)者做出規(guī)定，要求其使用良好的編碼技術(shù)，來確保在網(wǎng)絡(luò)傳送和儲(chǔ)存的過程中保護(hù)你的隱私。應(yīng)用程序之間對(duì)于隱私信息的共享可以方便我們的生活，但也是電腦犯罪者的目標(biāo),一定要詳細(xì)閱讀應(yīng)用程序的詳細(xì)描述，并閱讀使用者反饋來判斷這個(gè)應(yīng)用程序是否出現(xiàn)過安全問題。

及時(shí)更新應(yīng)用程序

應(yīng)用程序和電腦、移動(dòng)設(shè)備的操作系統(tǒng)一樣，也需要更新。有些人專門搜尋應(yīng)用程序中的漏洞，進(jìn)而利用這些漏洞對(duì)移動(dòng)設(shè)備發(fā)起攻擊。應(yīng)用程序的開發(fā)者會(huì)不定期發(fā)布更新版本來修補(bǔ)這些漏洞，以達(dá)到保護(hù)你的移動(dòng)設(shè)備的目的。所以，你應(yīng)該盡可能多地去檢查和更新應(yīng)用程序。我們推薦你關(guān)注應(yīng)用程序商店，至少每月更新一次你的應(yīng)用程序。除此之外，有些應(yīng)用程序可以自動(dòng)更新，但需要注意的是這可能導(dǎo)致系統(tǒng)使用這些應(yīng)用程序時(shí)會(huì)自動(dòng)獲得某些許可權(quán)限。

用戶提高自我保護(hù)意識(shí)

目前，許多應(yīng)用程序使得用戶可以通過付款來獲得其他功能，如獲取新的內(nèi)容或移除廣告等。人們的普遍錯(cuò)誤就是在他們的移動(dòng)設(shè)備上保存自己在應(yīng)用程序商店中使用的隱私信息，以求更方便地在應(yīng)用程序中進(jìn)行付款。我們強(qiáng)烈建議你禁止移動(dòng)設(shè)備儲(chǔ)存這些隱私信息，如登錄信息和付款信息等。盡管在移動(dòng)設(shè)備中儲(chǔ)存這些信息會(huì)方便你的生活，但這些信息可能會(huì)被可以接觸到你的移動(dòng)設(shè)備的人和攻擊你的移動(dòng)設(shè)備的人利用。解決辦法有使用禮品卡或一次性虛擬信用卡號(hào)等。

我們強(qiáng)烈建議你遵守以上提及的保護(hù)移動(dòng)設(shè)備安全的措施。移動(dòng)設(shè)備及其應(yīng)用程序仍然是相對(duì)較新并增長迅速的領(lǐng)域。除此以外，我們面臨的另一挑戰(zhàn)是目前幾乎沒有可以有效保護(hù)移動(dòng)設(shè)備和應(yīng)用程序的安全軟件（譯者注：中國大陸已經(jīng)針對(duì)Android等流行移動(dòng)設(shè)備平臺(tái)推出多款安全防護(hù)軟件），只有你自己才是你的移動(dòng)設(shè)備安全的最佳保護(hù)者。

客座編輯：

Kevin Johnson是這期OUCH！的客座編輯。Kevin是Secure Ideas的高級(jí)安全顧問，他運(yùn)作了網(wǎng)站MySecurityScanner.com，并且還是SANS的高級(jí)講師。你可以在www.secureideas.net和www.mysecurity.com中找到更多關(guān)于Kevin Johnson的信息。

中文翻譯：

諸葛建偉(Jianwei Zhuge)博士，中國清華大學(xué)網(wǎng)絡(luò)工程研究中心副研究員，中國教育和科研網(wǎng) CERNET安全應(yīng)急響應(yīng)組CCERT成員，The Honeynet Project正式成員和中國分支團(tuán)隊(duì)負(fù)責(zé)人。博客：(netsec.ccert.edu.cn/zhugejw)。周一偉，北京航空航天大學(xué)碩士生。