移動電話安全問題(05-100)

　　移動電話已成為我們在生活中的一種主要通訊工具,但它們非常普遍地存在一個安全問題?，F(xiàn)在電話偷竊行為成為常見并不斷蔓延。廠家通過制造帶服務收費的手機來降低電話價格。然而,電于偷竊行為,很多這種手機從未用在運營商的網(wǎng)絡中。

　　同時,音樂呈現(xiàn)在移動電話上是一個熱門應用,但具有這種功能的商業(yè)樣機仍然不明朗,部分原因是版權所有者不愿意在沒有適當?shù)陌鏅喙芾?DRM)時把音樂交給電話。音樂版權者在認真公開它們的媒體樣本給移動服務前,所擔心的DRM能到位。

　　對移動手機另一個主要威脅是病毒。在2004年末第一個破壞病毒出現(xiàn),它使電話的很多功能不能用。

　　移動電話安全威脅

　　上述威脅使移動電話的安全性成為關注焦點。隨著更多功能和更多服務的出現(xiàn),對安全性的要求也在增加。

　　通常,一些人不知道內部的軟件信息和電話結構,他們努力想制勝內置的安全性能。然而,個別人能存取源碼和結構詳情,這有可能突破安全壁壘,以源碼了解算法的內部工作很容易侵入電話。這樣的內部攻擊是移動電話安全的最大威脅。因此,只有密碼方法可以防止內部攻擊。

　　各種軟件攻擊在PC上已有多年,而現(xiàn)在類似的攻擊也開始困擾移動電話。緩沖器溢出攻擊是嚴重的威脅,而且往往用于與病毒結合。對軟件的各種攻擊都能嚴重損壞任何軟件基系統(tǒng)。

　　開發(fā)工具對安全的威脅

　　調試和開發(fā)工具可侵入移動電話,幾乎可接入裝置基帶IC的所有區(qū)域。攻擊者可以用這些工具讀或修改碼,使CPU運行在單步模式,在運行時間修改CPU寄存器。因此,對這些調試機構和塊存取是絕對要害。

　　現(xiàn)在,很多被偷電話準備重新買出,靠克隆合法電話的身份,復制新的電話閃存到被偷電話存儲器來實現(xiàn)克隆。

　　所以,如何實現(xiàn)安全方案成為關鍵?？上?軟件基系統(tǒng)為肆意攻擊留下不少機會,存儲在存儲器或硬盤中的程序可以被修改。防止修改的任何軟件可能本身被修改。這幾乎是不可能解決的問題。

　　硬件更安全

　　然而,硬件基的安全方案不可能容易修改。很多情況下必須全部替換IC,使得攻擊困難和費用高。用硬件基設計,重要的是執(zhí)行安全任務的芯片也具有一個專門的嵌入式根信息標號。替換此芯片會使系統(tǒng)不能用,因為新芯片具有不同的根信息標號,這將不適合于電話存儲器的內容。

　　若電話的所有軟件都嵌入到芯片的ROM中,這樣執(zhí)行攻擊實際上不可能的?？上?現(xiàn)在移動電話的軟件太長,而且也需要很多變量,所以此軟件不可避免地存儲在外部閃存中。

　　圖1示出硬件可能受攻擊的路線

 

　　圖1 可能的硬件受攻擊路線