尽管智能手机变得越来越普及,但它们的使用范围依然受到限制。目前来看,对其安全来说这实际上可能反而是一种优势,让它们在不受到像台式或笔记本计算机那样大量高风险活动威胁的情况下,就可以保证有效的安全。
随着智能手机的日益普及,人们开始猜测,在不久的将来是否会有安全问题的集中爆发。什么时间会有病毒风暴的出现?与个人计算机相比,尽管性能上较弱,但智能手机却可以实现永远在线,对于僵尸网络节点来说,它会成为首选平台么?
对于智能手机将有可能成为恶意安全攻击者建立僵尸网络或者其它资源劫持类活动的目标这一观点,一些安全专家持怀疑态度。由于与通用台式和笔记本计算机相比,智能手机的性能非常有限,所以在智能手机平台上也许永远都不可能遇到来自僵尸网络的威胁。但从另一角度来看,即使恶意安全攻击者不能直接针对我们的智能手机进行攻击,但它具备和通用计算机交换文件的功能意味着,智能手机可以成为传播病毒和其它恶意代码的重要移动载体。
由于移动恶意代码开发者已经明确选择了互联网作为攻击的路径,所以在经过了这么多年后,用户已经认为自己了解移动恶意代码是以物理方式从一台系统传输到其它系统中的。但现在永远在线的宽带互联网连接日益增加,加上与用户的互动结合,让移动恶意代码通过物理存储介质在计算机之间传播的必要性降低,更多的移动恶意代码开始选择使用网络连接进行传播,使用物理存储介质进行传播的移动恶意代码几乎已经在我们的视线中消失了。
智能手机的特点就是可以作为便携式数据存设备使用,而且具有讽刺意味的可能不是智能手机为我们做了什么,而是就象人们在以前时代中恐惧的那样,害怕利用软盘将文件从计算机中转移到其它位置,而现在智能手机就变成了“软盘”的角色。
智能手机本身很少受到直接攻击是有一定原因的,首先是因为受到关注的目标很少,而且与台式、笔记本计算机和服务器相比,也缺乏值得进行直接攻击的系统资源。还有一条简单的事实就是,除了非常简单的任务之外,智能手机没有足够的性能作为台式或笔记本计算机系统的有效代替者。尽管我已经拥有了一部智能手机,而且也利用它进行了大量基于文本的交流,但用它来代替笔记本计算机的工作是不可行的;即使我专门选择配备了大号QWERTY键盘(实际上,这对智能手机来说太大了)的设备,它也不能和ThinkPad的全尺寸键盘一样,提供几乎相同的易用性和足够的利用率。
在阅读电子邮件时,你会进一步感受到智能手机小键盘的限制作用。网络浏览时的感觉会是更加局促和受到限制,这不仅仅是因为小键盘的原因,而且也是智能手机小屏幕带来的影响。当人们在线冲浪时,通过即时通讯方式进行交流是很重要的活动,很多人利用这样的方式分享链接,这时间选择台式或笔记本系统进行交流就比利用智能手机的小键盘有效的多。特别是对于那些不会使用触摸键盘,看着键盘打字的用户来说,在智能手机上进行交流会导致大部分乐趣都丧失了。
除非电池和可用性方面的性能大幅度提高,或者用户界面得到显著改善,否则的话,对于智能手机来说,最主要的安全威胁可能就是它自身。它们更大的可能是成为针对计算机感染过程的中转点,如果使用方式没有很大变化的话,总要有些因素发生改变才能让智能手机成为移动恶意代码感染和资源劫持活动中更诱人的目标。
此外,特别需要提及的是还有两个其它领域涉及到智能手机的安全。第一是智能手机面临被盗的危险。从上世纪九十年代后期开始,手机被盗成为一种流行趋势。随着智能手机市场份额的增长,设备的价值不仅包括了内部,也涵盖了外表(这包含了时尚导致市场价值的上升,就象苹果iPhone、摩托罗拉Droid以及最为著名的黑莓),甚至还有保存的用户个人信息。我还没有发现任何供应商智能手机上配备的屏幕锁定功能可以防止来自精通技术态度专注小偷的破解,最多只需要几个小时,所有信息就会被获得。当然,这其中的一部分责任可能是由智能手机需要更关注易用方面的因素造成的,但实际上,关键还是在于这些设备性能非常有限,所以,易用就意味着没有任何安全性。
涉及到智能手机安全的第二个领域属于正在逐步发展中的,但随着时间的推移,会引起越来越多的关注。人们使用智能手机进行金融交易的行为越来越频繁,软件开发人员也开始更多地关注作为金融交易应用平台的智能手机,很多具体应用都已经开发出来。Square之类的工具开始出现,它们可以支持运行iPhone操作系统和安致的设备,这让智能手机用户进行金融交易的方便性获得了非常大的提高。智能手机的这些新应用对于防伪工业来说可能是一个有利可图的项目,如果成长到足够大的话,易趣这样的巨人也可能进入这一市场。
就其本身而言,利用智能手机促进金融交易的完成并没有什么问题。但事情的关键在于,目前在这些装置上,缺乏适合对交易进行安全管理的措施。尽管虽然应用程序本身(理论上)可能是完全安全的,但除了最终用户之外,智能手机实际上还包含了其它两个实体部分:无线服务供应商和操作系统分销商。作为有效组成部分的后者,可以对控制标准进行调整,从苹果对iPhone操作系统的铁腕管理措施到谷歌允许第三方应用程序可以在安致市场渠道以外安装都是可行的,但无论怎么做,都无法为用户提供比操作系统基本功能相比更多的手段。
还有一个原因就是,由于通过智能手机进行金融交易日益变得更加方便,这就会导致此类交易越来越普及,这使得智能手机对于安全攻击者来说,会变成更有诱惑力的目标。不过,在目前的阶段,这仅仅是一个宏观的问题,并不需要专门的关注。
我将专门关注智能手机安全方面的问题,并且在进行金融交易之类的高风险活动时,只有在足够安全的情况下才会使用它。我选择在至少一台笔记本上安装自己需要的操作系统,并且按照喜欢的方式(这取决于操作系统的情况)进行配置,并有理由相信,如果在通过笔记本进行的金融交易中存在安全问题的话,在交易对方也会出现。我希望在智能手机上也可以实现同样的设置。