经过对手机系统安全和预置应用安全的相关测试,工程师都发现了存在风险的手机产品。而在随后进行的智能手机后端云平台系统的安全测试中,工程师发现,云平台对用户身份鉴别和权限控制方面的安全风险,是最主要的安全隐患所在。
工程师告诉记者,智能手机的后端信息系统,也就是人们所说的云平台。随着手机智能化的提升,目前手机都能够连接后端的云平台,实现通讯录、短信、照片等数据备份功能,以及在丢失的特定情况下定位找回、数据清除等功能。但是如果手机云平台存在安全漏洞,也就意味着智能手机不仅没能提供存储便利,反倒增加了信息泄露的途径。
李乐言:云平台连接了大量的智能手机,如果云平台出现问题,这些手机存储在云平台的数据,或者和云平台建立的连接如果被恶意分子利用,将导致大面积的信息泄露。
云平台对密码强度要求低 安全风险高
那么,目前智能手机云平台会存在什么样的安全漏洞呢?记者了解到,守护智能手机云平台安全门槛的,首当其冲的一个要素就是身份鉴别,也就是云平台对密码强度的要求。
工程师告诉记者,符合测试要求的智能手机会在云平台注册时,提示不能使用简单或连续的数字作为密码。随即进行的测试显示,工程师使用123456作为密码注册时,部分智能手机立即弹出提示框,提示密码不能使用连续的字符。但是部分智能手机却没有提示密码强度,工程师用记者的手机号码在一个云平台注册时,用简单的密码就通过了身份验证。
记者发现,用简单的连续数字,或者用666888等重复性数字测试时,多款智能手机的云平台都能够注册成功。工程师透露,用这样的简单密码面临最大的风险,就是容易被黑客破解,造成个人隐私的泄露。工程师随后用暴力破解软件对10余位志愿者的手机号进行了密码分析,发现有3个志愿者都使用了简单的123456的云平台密码,导致其存储在云平台的个人信息,轻易地就被工程师获取到。
云平台对权限控制弱 信息易泄露
工程师告诉记者,关乎智能手机云平台安全的,除了身份鉴别的因素,还有一个重要因素,就是权限控制。
工程师告诉记者,一个云平台如果能够做到控制权限,会对所有手机用户的权限请求进行验证,并会发送验证码到手机上,验证是否为本人操作,以保护用户的各种私密信息。而在测试中记者发现,在工程师尝试通过数据包获取一个志愿者的位置信息时,部分智能手机的云平台竟然没有向志愿者手机发送验证,轻易地就允许了陌生用户的请求。工程师在全国范围内征集了十余名使用相同手机云平台的志愿者,在获取地理位置的测试中,一一输入了这些志愿者的手机号码,记者看到,仅仅一秒钟之后,测试工具就将这些志愿者的所在区域以明文形式显示出来。
经过大量测试,总共40批次智能手机当中,共发现18批次的产品存在不符合项,占比高达45%。涉及的项目包括智能手机的后端信息系统、预置应用软件安全等。最后,经过20名风险评估专家的分析和打分,此次智能手机的信息安全风险等级被评估为中等风险。
安全漏洞六成以上问题出在云平台
记者发现,没有标准和规范要求的云平台信息安全,暴露出的安全漏洞明显要多于其它项目,在不符合监测要求的18批次智能手机中,12批次问题集中在云平台。专家建议,针对智能手机的安全标准建设要加快日程,以保护信息安全。