移动终端包含众多关系用户隐私的系统资源,如GPS、MIC、摄像头等传感器资源,联系人、短信记录等敏感数据以及WIFI、3G等重要功能资源。系统资源的滥用将会造成严重的用户隐私泄露,经济损失,影响用户的日常生活。为了保护系统敏感资源和信息,移动终端系统引入了严格的权限管理机制。如Android 系统引入Permission机制,实现系统重要资源的访问控制。应用程序在访问系统资源之前必须申请获得相应的权限。只有拥有特定权限的应用程序才能够访问特定的系统资源。如果没有对应的Permission授权,访问将被拒绝。移动终端应用程序授权管理主要关注两个方面的内容:
1、确保用户对应用程序权限申请的审查和确认:Android系统Permission授权管理的一个重要特点就是用户的参与。应用程序在安装时,安装程序会列举出应用程序申请的权限。在用户确认后,这些权限信息被系统保存,作为应用程序权限管理的依据。因此,用户对应用程序的权限审查和确认对于系统安全有直接的帮助。应用程序申请与功能不相符合的权限就是不安全的一个重要特征。比如,一个阅读软件申请短信功能的权限,就很可能包含用户隐私窃取功能。此外,一些应用程序安装方式可能会跳过用户对应用程序的权限确认,例如网络安装。这种安装虽然简化了用户操作,但是可能引入安全风险。因此,应用程序尽可能选择正常的安装,保留用户对权限的审查。最后,要尽可能的降低应用程序的权限授予,贯彻最小权限原则。
2、确保权限管理机制自身的安全:Android Permission机制自身实现的安全性依赖于系统自身的安全机制。自身安全机制的破坏可能导致Permission机制置身安全性的受损。Root后的手机,应用程序可以自己在不通过用户确认的情况下,提升自己的权限,完成提升前不可能完成的攻击操作。越狱后的IOS,其基于加密的系统访问控制机制也将遭受严重破坏。因此,用户在使用过程中,尽量不要破坏系统自身的安全机制,包括:Android系统的Root和IOS系统的越狱,保护应用程序授权管理机制自身的安全性。
随着智能化的发展,传统PC机上的应用,包括网络购物、办公处理、视听娱乐等逐渐转移到智能手机上。此外,由于智能手机的固有特色,比如丰富的传感器资源(摄像头、GPS、重力传感器等)、多元的通信方式(短信、彩信、蓝牙、WIFI等)等,使得其相比传统PC机,拥有更为纷繁复杂、多样化的应用程序类型。然而,智能手机丰富的资源在增强用户体验的同时,也为攻击的发起创造了条件。Android平台现有的攻击基本都是通过滥用系统的关键资源发起的,比如Android平台最常见的攻击模式之一“恶意吸费”,就是通过滥用系统中的短信资源发起的,中央电视台(CCTV)于2012年4月8日对此攻击做了一个专题报告,其中提到一款称为“食人鱼”的恶意代码,每年从用户账户偷偷吸费5,000万元。恶意吸费等攻击可能给用户带来严重的后果,但是只要用户把控好APP安装和授权的关口,阻止应用程序访问不必要的资源,便可有效防止这些攻击。具体应该注意如下几个方面问题:
(一)增强安全意识并掌握基本的安全知识。
用户自身应该增强安全意识,对移动终端的安全知识进行基本的了解,就APP的授权管理而言,包括如下三个方面:1)移动终端哪些资源的滥用可能引起财产或其它损失。比如短信/电话等资源的滥用可能引起恶意吸费、GPS/摄像头等传感器资源和WIFI/蓝牙/短信/彩信等网络资源的使用可能会造成隐私泄露等。2)移动终端是否提供了相关的机制进行资源保护,用户如何利用这些机制进行资源保护。比如Android系统提供了Permission机制进行系统资源的保护,Permission机制在应用程序安装时将程序申请的所有权限告知用户,由用户选择是否授予相应的权限。用户可以充分利用Android的Permission机制,进行应用程序的授权管理。3)权限和资源之间的对应关系如何。在利用系统的资源保护机制(比如Permission机制)进行访问控制时,用户需要对资源和应用程序申请的权限之间对应关系有个基本的了解,比如短信发送权限对应短信资源、Internet访问权限对应网络资源。
(二)非必要情况,不要对智能手机进行“越狱”或“ROOT”操作。
现有的智能手机操作系统都提供了相关的安全机制来保护系统,防止恶意应用程序的安装和系统资源的滥用,“越狱”或“ROOT”操作可能破坏系统自身提供的安全机制。比如正常的iPhone手机提供了安全机制来保证只有Apple Store上的APP程序才能在手机上安装和使用,“越狱”后手机便失去了这层保障,可任意安装iOS APP。由于苹果引入了很强的APP审核机制,Apple Store上的应用程序大部分都是安全的,而其它第三方程序则无法保证安全性。因此,基于iPhone手机提供的安全机制便可将大部分恶意代码拦阻在手机之外。
(三)谨慎地进行APP的安装。
首先,用户应该选择从正规的APP市场下载程序进行安装,比如Apple Store、Android 的Google Play等。由于Apple、Android等都引入的相关的审核机制,对公布到正规APP市场上应用程序进行了审核,因此这些APP市场上的应用程序相对比较安全。统计数据也显示,大部分的攻击代码都是从非正规的第三方市场上公布的。
其次,用户应该谨慎地进行APP的安装。以Android系统为例,用户可以免费下载Google Play中的全部APP,满足自己的日常需求,如游戏、导航、电子书阅读等APP。Android系统要求APP在安装时,声明APP运行时的各种行为和期望拥有的各种权限,如网络通讯行为,包括查看WLAN状态等完全的互联网访问权限;存储行为,修改、删除SD卡内容;手机通话,读取手机状态和身份等行为与权限。用户在安装APP时候,能够清晰地看到APP声明的全部行为和权限,用户也有权利允许或者拒绝APP所要求的权限。所以,用户自身在应用程序安装时应该认真查看应用程序类型及其申请的权限,判断是否有申请不必要的权限,如果有则要谨慎选择是否安装。
360安全管家这类应用都有隐私管理,主要还是有些应用会私自联网下载广告
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ号:24596024