新聞中心

EEPW首頁 > 業(yè)界動態(tài) > 手機(jī)安全問題:自主可控芯片是關(guān)鍵部位

手機(jī)安全問題:自主可控芯片是關(guān)鍵部位

作者: 時(shí)間:2014-09-05 來源:中國消費(fèi)者報(bào) 收藏
編者按:近日好萊塢女星艷照事件沸沸揚(yáng)揚(yáng),回想之前的棱鏡事件、監(jiān)聽事件,再想想自己在智能手機(jī)上進(jìn)行的金融活動,手機(jī)安全著實(shí)令人心虛。從技術(shù)層面講,手機(jī)芯片是手機(jī)安全的關(guān)鍵部位,如果黑客在手機(jī)芯片設(shè)計(jì)中埋入后門模塊,就很容易直接獲取到諸如語音、視頻等各種數(shù)據(jù),甚至實(shí)時(shí)竊取各種信息,真正的安全只有芯片設(shè)計(jì)公司才能掌控,我國對自主可控的信息安全產(chǎn)品日益重視......

  手機(jī)硬件的惡意程序、吸話費(fèi)吸流量惡意程序、騷擾及詐騙短信和電話、個人隱私竊取、銀行卡信息竊取等問題,是隨著近些年智能手機(jī)不斷普及和網(wǎng)絡(luò)技術(shù)的逐步提升而逐漸凸顯出來的新問題。而解決問題的方法,不外乎制度、法規(guī)、監(jiān)管、技術(shù)、行業(yè)自律以及消費(fèi)者教育等。

本文引用地址:http://m.butianyuan.cn/article/262594.htm

  問題備受關(guān)注

  此前不久,上海市委、市人大、市政協(xié)開始使用國產(chǎn)電信版加密手機(jī)來規(guī)避信息泄露風(fēng)險(xiǎn),這件事又把手機(jī)安全的話題擺上了臺面。一位北京的智能手機(jī)用戶對記者說:“回想之前的棱鏡事件、監(jiān)聽事件,再想想自己在手機(jī)上買東西、辦理理財(cái)轉(zhuǎn)賬等銀行業(yè)務(wù),真是對手機(jī)安全捏著把汗。公務(wù)員換加密手機(jī),一定是他們知道現(xiàn)在的手機(jī)都不安全吧?!钡拇_,除了上述手機(jī)安全問題外,由于移動互聯(lián)網(wǎng)對各行業(yè)的滲透越來越高,已經(jīng)涉及金融、水利、電力、政務(wù)等領(lǐng)域,再加上信息安全事件頻發(fā),互聯(lián)網(wǎng)安全引起了政府部門的高度重視,消費(fèi)者也因?yàn)樵絹碓诫x不開手機(jī)而更加擔(dān)心手機(jī)不安全。上述那位智能手機(jī)用戶說:“無法想象,我的手機(jī)要是被黑了,我都不記得有多少生活中的東西是綁定在上面的。所以現(xiàn)在正考慮著解除一些銀行卡的綁定,心里不踏實(shí)?!睆V州的COCO女士更是遭遇了“手機(jī)驚魂”,她對記者說:“我收到一個不知道是干什么的網(wǎng)站的注冊邀請,是打著我妹妹的旗號推薦的,我一看,我倆的照片、手機(jī)號全都在上面。我問我妹妹,但她根本就不知道是怎么回事。這太嚇人了!”

  芯片是安全的關(guān)鍵部位

  上述那批加密手機(jī),其原理是通過在手機(jī)里增加一塊安全芯片,實(shí)現(xiàn)語音通話的加密功能。業(yè)內(nèi)人士認(rèn)為,從硬件層面而言,由于其核心芯片依然采用了通用型芯片方案,無法實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)燃用芩惴?,依然存在手機(jī)信息安全的隱憂。展訊通信有限公司市場推廣總監(jiān)周偉芳對記者說,從技術(shù)層面講,手機(jī)芯片是手機(jī)安全的關(guān)鍵部位。他指出,我們關(guān)注手機(jī)安全一般都集中在操作系統(tǒng)、軟件、運(yùn)營商網(wǎng)絡(luò)等方面,而忽略了芯片本身的安全問題。作為手機(jī)終端的核心部件,任何操作和應(yīng)用都離不開芯片的參與,它和安全息息相關(guān),是所有安全的基礎(chǔ)。一臺手機(jī)如果安裝了防火墻和加密芯片是否就安全了呢?答案是否定的。周偉芳舉例說,從硬件上看,如果黑客在手機(jī)芯片設(shè)計(jì)中埋入后門模塊,就很容易直接獲取到諸如語音、視頻等各種數(shù)據(jù),甚至可以實(shí)時(shí)竊取各種信息,因?yàn)檫@些都是在芯片層面就可實(shí)現(xiàn)的功能。使用軟件防火墻和第三方加密芯片對此無法防范,甚至于在手機(jī)關(guān)閉電源后,后門模塊一樣可以繼續(xù)獨(dú)立工作,通過信號指令,傳送手機(jī)數(shù)據(jù),造成用戶信息泄露。從軟件上看,Android、IOS之類的操作系統(tǒng)是大家比較熟悉,也是獲得關(guān)注較多的系統(tǒng);和運(yùn)行的各種App應(yīng)用一樣,通??梢酝ㄟ^要求廠家開放源代碼來進(jìn)行檢查。不過有個地方大家往往有所忽略,那就是芯片內(nèi)運(yùn)行的系統(tǒng)和軟件,通常是固化在芯片ROM內(nèi)的,代碼無法被驗(yàn)證,即使廠家開放源碼也不能保證芯片內(nèi)固化的就是同一份代碼。這是一個防火墻和第三方加密芯片都無法控制的“黑匣子”,真正的安全只有芯片設(shè)計(jì)公司才能掌控。

  芯片層面安全可控是根本

  現(xiàn)有手機(jī)芯片具有高集成性的特點(diǎn),不僅具有通信功能,還涉及定位(GPS)、數(shù)據(jù)聯(lián)結(jié)(Wifi、藍(lán)牙等)。由于涉及個人隱私面廣,因此如果在手機(jī)芯片內(nèi)被植入惡意模塊,破壞性就更大,例如電話被隨時(shí)監(jiān)聽、支付賬號被盜用、個人信息被竊取等。更有甚者,通過手機(jī)后臺操作可能導(dǎo)致爆發(fā)性泄密等災(zāi)害事件。而由于芯片的高集成度,從物理上檢驗(yàn)芯片是否內(nèi)置了惡意模塊基本是個不可能完成的任務(wù),只有從源頭上杜絕和防范才是可行的方法。隨著互聯(lián)網(wǎng)信息技術(shù)的進(jìn)一步發(fā)展,缺乏信息安全建設(shè)的國家和政府將再無任何秘密可言。真正做到“自主可控”,對未來國家信息安全有著更重要的意義。目前,具備中國自主知識產(chǎn)權(quán)的安全可控的技術(shù)、方案和產(chǎn)品等領(lǐng)域都具有了一定儲備。展訊作為一家中國芯片設(shè)計(jì)公司,在國家科技重大專項(xiàng)和信息安全領(lǐng)域與國家發(fā)展改革委員會、工業(yè)和信息化部等相關(guān)部門都有著良好的合作,與酷派、華為、中興等眾多中國本土品牌在產(chǎn)品研發(fā)方面也都有著廣泛的合作。隨著政府有關(guān)部門的進(jìn)一步推動,企業(yè)研發(fā)的進(jìn)一步加速,以及政府對于進(jìn)一步啟動自主可控的信息安全產(chǎn)品進(jìn)一步重視,我國的信息安全建設(shè)也將進(jìn)入一個全新的發(fā)展階段。

  ●相關(guān)政策

  工信部六項(xiàng)措施保安全

  工業(yè)和信息化部通信保障局副局長李學(xué)林日前表示,針對手機(jī)安全問題,工信部采取了六項(xiàng)主要措施。一是健全規(guī)章制度和標(biāo)準(zhǔn),提高移動互聯(lián)網(wǎng)和移動智能終端安全防護(hù)能力。近年來,工信部制定了《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》等規(guī)章,建立了網(wǎng)絡(luò)風(fēng)險(xiǎn)評估和安全防護(hù)檢查制度,制定了一系列相關(guān)標(biāo)準(zhǔn),發(fā)布了《關(guān)于加強(qiáng)移動智能終端管理的通知》,加強(qiáng)進(jìn)網(wǎng)環(huán)節(jié)移動智能終端操作系統(tǒng)和預(yù)裝應(yīng)用軟件的安全管理,提高手機(jī)終端安全防護(hù)能力。近期,工信部還將制定出臺《關(guān)于加強(qiáng)電信和互聯(lián)網(wǎng)行業(yè)網(wǎng)絡(luò)安全工作的指導(dǎo)意見》,進(jìn)一步強(qiáng)化移動互聯(lián)網(wǎng)的安全管理工作。二是加強(qiáng)應(yīng)用商店安全管理,落實(shí)應(yīng)用商店安全責(zé)任。工信部正在通過監(jiān)督檢查和研究制定應(yīng)用商店安全管理辦法,明確應(yīng)用商店安全責(zé)任,督促應(yīng)用商店應(yīng)當(dāng)建立健全應(yīng)用程序開發(fā)者真實(shí)身份驗(yàn)證、應(yīng)用程序安全檢測、社會監(jiān)督舉報(bào)、惡意程序下架等安全管理制度。三是加強(qiáng)移動應(yīng)用程序源頭管理,推動建立移動應(yīng)用程序第三方數(shù)字簽名認(rèn)證機(jī)制?;诎沧肯到y(tǒng)應(yīng)用程序占手機(jī)應(yīng)用程序多數(shù)的現(xiàn)狀,工信部正在研究探索建立移動應(yīng)用程序第三方數(shù)字簽名認(rèn)識體系的可行性,實(shí)現(xiàn)移動應(yīng)用程序的防篡改和可溯源。目前正在指導(dǎo)中國互聯(lián)網(wǎng)協(xié)會、電信終端測試技術(shù)協(xié)會、電子認(rèn)證服務(wù)產(chǎn)業(yè)聯(lián)盟等,按照試點(diǎn)工作方案,組織部分應(yīng)用程序開發(fā)者、應(yīng)用商店、安全軟件廠商、手機(jī)終端廠商和電子認(rèn)證服務(wù)機(jī)構(gòu)參與試點(diǎn)。四是開展移動惡意程序監(jiān)測處置工作,維護(hù)互聯(lián)網(wǎng)安全環(huán)境。為了在網(wǎng)絡(luò)上發(fā)現(xiàn)移動惡意程序,并切斷惡意程序控制端和下載鏈接,工信部指導(dǎo)國家互聯(lián)網(wǎng)應(yīng)急中心、中國電信、中國移動和中國聯(lián)通三家基礎(chǔ)電信企業(yè)建設(shè)了移動互聯(lián)網(wǎng)惡意程序監(jiān)測處置平臺,為及時(shí)發(fā)現(xiàn)、處置移動惡意程序發(fā)揮了重要作用。今年上半年,國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)現(xiàn)移動惡意程序新增數(shù)量超過36.7萬,協(xié)調(diào)運(yùn)營商和域名注冊管理服務(wù)機(jī)構(gòu)切斷了惡意程序?qū)?35萬感染手機(jī)用戶的控制。今年8月2日,三家基礎(chǔ)電信企業(yè)和國家互聯(lián)網(wǎng)應(yīng)急中心通過監(jiān)測處置平臺,第一時(shí)間發(fā)現(xiàn)并及時(shí)處置了“XX神器”惡意程序,有效防止了其大規(guī)模傳播和信息竊取。五是促進(jìn)行業(yè)自律,加強(qiáng)用戶安全宣傳教育。指導(dǎo)中國互聯(lián)網(wǎng)協(xié)會等行業(yè)組織通過自律公約等多種形式,建立應(yīng)用程序黑白名單、應(yīng)用商店信譽(yù)評估、惡意程序社會公眾監(jiān)督舉報(bào)等機(jī)制,加強(qiáng)行業(yè)自律,規(guī)范企業(yè)行為。積極指導(dǎo)和督促有關(guān)行業(yè)協(xié)會組織、基礎(chǔ)電信企業(yè)充分利用網(wǎng)絡(luò)媒體、營業(yè)廳等各種手段加強(qiáng)對用戶的網(wǎng)絡(luò)安全宣傳教育和技能輔導(dǎo)工作。六是多部門聯(lián)合開展專項(xiàng)行動,打擊治理移動惡意程序。為了維護(hù)網(wǎng)絡(luò)和信息安全,凈化移動互聯(lián)網(wǎng)安全環(huán)境,保護(hù)用戶合法權(quán)益,工信部聯(lián)合公安、工商部門,于2014年4月至9月在全國范圍內(nèi)組織開展了打擊治理移動互聯(lián)網(wǎng)惡意程序?qū)m?xiàng)行動,按照各自職責(zé),充分發(fā)揮各自優(yōu)勢,建立協(xié)調(diào)配合機(jī)制,集中整治移動惡意程序,打擊利用惡意程序從事違法犯罪的行為。

  目前各地通信管理局已組織抽查了部分應(yīng)用商店,抽測應(yīng)用程序10萬余個,發(fā)現(xiàn)惡意程序3700多個,并通知有關(guān)應(yīng)用商店進(jìn)行下架處理。(夏冰)

  ●相關(guān)新聞

  企業(yè)簽署手機(jī)安全八大承諾

  本報(bào)訊(記者武曉莉)日前,《人民郵電》報(bào)社召開了以“新形勢·新特點(diǎn)·新思路”為主題的“2014手機(jī)安全研討會”。會上,運(yùn)營商、安全廠商和移動互聯(lián)網(wǎng)企業(yè)共同簽署了手機(jī)安全八項(xiàng)承諾。據(jù)悉,來自工業(yè)和信息化部、中國電信、中國聯(lián)通、國家計(jì)算機(jī)網(wǎng)絡(luò)安全中心、工信部電信研究院、北京郵電大學(xué)、南京郵電大學(xué)、手機(jī)安全軟件企業(yè)、手機(jī)終端制造企業(yè)、互聯(lián)網(wǎng)企業(yè)的相關(guān)代表齊聚一堂,為進(jìn)一步維護(hù)網(wǎng)絡(luò)和信息安全,凈化移動互聯(lián)網(wǎng)環(huán)境,保護(hù)手機(jī)用戶合法權(quán)益獻(xiàn)計(jì)獻(xiàn)策。中國電信、中國聯(lián)通、中興通訊、奇虎360、酷派、百度、騰訊、中郵世紀(jì)的企業(yè)代表共同簽署了手機(jī)安全八大承諾。一是不斷增強(qiáng)本企業(yè)業(yè)務(wù)范圍內(nèi)的監(jiān)測處理能力,完善惡意程序監(jiān)測與處置技術(shù)手段,落實(shí)網(wǎng)絡(luò)安全責(zé)任。二是建立健全惡意程序、垃圾短信、惡意鏈接等舉報(bào)和處理機(jī)制。當(dāng)發(fā)現(xiàn)手機(jī)安全隱患(例如用戶手機(jī)流量異常激增、大量群發(fā)短信,監(jiān)測并確認(rèn)惡意鏈接大量傳播等)后,第一時(shí)間向本企業(yè)用戶提供信息提示和查殺技術(shù)咨詢服務(wù)。三是通過技術(shù)手段對垃圾短信、病毒短信內(nèi)容關(guān)鍵詞進(jìn)行分析、過濾、封堵,切斷這些短信的傳播途徑。四是不在手機(jī)中預(yù)裝惡意程序,不將預(yù)裝的一般程序設(shè)置成系統(tǒng)程序,支持用戶可自主刪除預(yù)裝的非系統(tǒng)類程序。五是未經(jīng)用戶許可,不私自獲取并上傳用戶的手機(jī)號碼、通訊錄、通話記錄、短信、位置等隱私信息。六是未經(jīng)用戶許可,不向用戶強(qiáng)制推送廣告,不強(qiáng)行篡改手機(jī)瀏覽器主頁。七是不誘騙或誤導(dǎo)用戶安裝應(yīng)用程序,未經(jīng)用戶許可不在手機(jī)后臺擅自下載并安裝應(yīng)用程序。八是妥善保管本企業(yè)在業(yè)務(wù)活動中合法收集的公民個人電子信息,確保不泄露、毀損、丟失。一旦出現(xiàn)信息泄露、毀損、丟失的情況,立即采取補(bǔ)救措施。

可控硅相關(guān)文章:可控硅工作原理




評論


技術(shù)專區(qū)

關(guān)閉