智能手机频曝重大安全隐患 应多措并举积极应对

来源:信息与网络安全部   作者:国信研究院 陈月华   时间:2017-10-24

 

随着智能手机功能不断增强和用户渗透率持续提高,全社会对智能手机的依赖与日俱增。作为我国网民第一大上网终端,智能手机已经成为人们工作和生活中不可离、不可缺、不可替的必需品,承载着大量重要的个人信息和工作信息。与此同时,智能手机安全问题也日益突出,从研发生产、销售使用到废弃回收等各环节“全面失守,严重威胁个人安全甚至国家安全,对此需高度重视,多措并举,积极应对。

一、智能手机安全问题多发

(一)指纹识别安全防线形同虚设近两年,带有指纹识别功能的智能手机爆发式增长,指纹识别似乎成了智能手机的标配,然而指纹识别并非像其宣称的那样安全。20178月,一位网名是“xerub”的黑客在推特上发布信息称,已经攻破了苹果iPhone 5s的安全区,获得了加密密钥,同时曝光了一些内部代码和破解工具,涉及到安全区和苹果指纹识别传感器之间的内部数据通信。据了解,安全区的设计对于苹果手机至关重要,安全区与手机其他零部件或应用软件隔离,使用独立的操作系统和处理器,专门用于存储指纹识别数据。此次事件对于苹果的安全性是一个重大打击,一向被认为高安全性的硬件安全架构体系危机四伏。

(二)用户通话记录“不胫而走”。20161120日俄罗斯数字取证公司指控苹果公司会在用户激活iCloud后将用户通话记录自动上传至苹果位于境外的服务器,甚至包括用户漏接的电话记录,并保存4个月之久。苹果回应此功能是为用户考虑,为用户提供电话记录服务。然而,在众所周知的美国棱镜计划下,NSA有权接触并获取各大网络公司服务器上的数据,这让苹果公司“上传通话记录”背后的动机昭然若揭。

(三)手机废弃回收“暗藏危机”。随着手机更换率的持续升高,大量更换下来的旧手机都没有得到妥善处理,不仅造成了资源浪费,更重要的是旧手机里存储了大量用户个人信息,信息泄露等安全问题日益突出。一市民称卖掉旧手机导致其社交账号被盗,带来一系列麻烦。行业专家指出,即便在卖掉手机前将手机格式化,不法分子依然可以通过特殊软件恢复手机里的数据,存在极大的信息泄露风险。警方也多次发现贩卖个人信息的嫌犯就是通过旧手机数据恢复来获取的个人信息。

二、原因分析

(一)智能手机自身安全依旧薄弱。智能手机更新迭代迅速,厂商为了缩短研发周期和降低成本,将更多精力置于手机功能和用户体验,对手机安全重视不够。很多厂商直接购买高集成度的ARM芯片系统,由于不掌握ARM微结构,对其安全性没有话语权。

(二)智能手机安全检测能力不足。目前,我国对手机销售实行进网许可和入网测试,由于核心关键技术缺失和安全检测能力不足,智能手机一些隐蔽功能难以检测发现,特别是封装在芯片中的硬件漏洞更加难以发现,对手机使用安全带来潜在危害。

(三)智能手机回收环节安全管理缺失。目前对智能手机回收环节没有明确的安全管理要求,智能手机数据销毁的相关技术手段也较为缺乏,废弃智能手机的正规回收渠道发展缓慢,导致废弃手机敏感信息很容易被恢复和窃取。

(四)数据跨境传输相关法律法规不健全。由于我国缺乏数据跨境传输方面的明确规定,而且基础核心信息技术支撑能力较弱,导致行政手段和技术手段都无法对数据跨境传输进行有效管控,面临数据主权被侵犯的窘境。

三、对策建议

(一)加强手机芯片自主研发,确保底层安全。建议行业主管部门加强“核高基”、电子发展基金等对自主可控手机芯片特别是安全芯片的研发支持力度和成果转化力度,国内手机厂商、芯片厂商要加大研发投入,自主设计芯片微结构,确保知识产权自主可控,加强芯片流片安全管理,实现供应链自主可控。鼓励采用ARM技术授权的手机厂商在消化吸收基础上,开发基于国产密码或可信计算的安全芯片,切实提升智能手机的安全保障级别。

(二)增强手机安全检测能力,强化入网审查。在国家层面加强智能手机入网管理,不断完善管理制度和技术标准,实施更严格的进网安全审查,对获证手机进行跟踪监督。依托国家级安全检测机构,增强智能手机及其芯片的安全检测能力,强化企业安全资质认证。在企业层面应增强手机研发、生产、调试各环节的安全检测,及时发现产品漏洞,提高手机自身的安全可靠性。

(三)完善手机回收管理法律法规,发展专业化服务。加快修订《废弃电器电子产品回收处理管理条例》,将防范信息泄露问题纳入废弃电子产品回收管理统一考虑。国家有关科技计划和专项基金等加强对智能手机数据销毁技术研发的支持。鼓励企业开展智能手机数据销毁专业化服务,培育形成社会化服务能力。引导用户选择正规手机回收渠道,并给予适当补贴。

(四)健全数据跨境流动法律法规,捍卫数据主权。加快推进数据主权相关立法进程,制定个人信息保护、数据跨境流动等法律法规。对跨境数据进行分级分类管理,明确禁止和限制跨境数据的范围和领域。加强跨境数据流动安全风险评估。积极倡导制定数据保护国际规则和协议,减少对跨境数据的非法收集和使用。

(五)加强特定场所智能手机使用管理,确保规范化执行。针对涉密场所、重要会议等场景以及政府高级官员等核心、重要涉密人员,制定并严格执行更有效可行的智能设备管理办法,包括智能手机、智能手表、平板电脑等,加强教育,落实责任,强化监督检查,避免涉密信息泄露。支持国内手机厂商研发生产高安全等级保密手机,鼓励涉密敏感人员使用。

 



主办单位:国家信息中心 京ICP备05063309号 技术支持:中国经济信息网

地址:北京市西城区三里河路58号 邮政编码:100045 电话:010-68557000 传真:010-68533919