手机安全的十大隐患

移动设备面临着一系列威胁,和常见的漏洞在这些设备的使用可能会泄露个人因素。私营企业和相关机构已经采取措施来提高移动设备的安全性,包括对消费者使用的控制,及有关规定或在实践中,移动安全发布的建议,然而,安全控制并不总是在移动设备上实现,目前尚不清楚消费者是否知道,在他们的设备上启用安全性控制。


报告概述了十个主要的手机安全问题,如下所述:


1,移动设备往往不启用密码。


移动设备通常缺少一个密码验证的用户控制访问存储在设备上的数据。许多设备的技术能力,支持密码、个人识别码(PIN),或身份验证模式屏幕锁。一些移动设备还包括一个扫描指纹生物识别读卡器识别。然而,这调查显示,这些机制是很少使用的消费者。此外,如果用户不使用密码或PIN,他们往往选择容易识别或绕过密码或PIN,如1234或0000。如果没有密码或PIN锁定装置,有增加的风险,被盗或手机丢失的信息,可以访问未经授权的用户可以查看敏感信息和管理信息系统使用移动设备。


2,双因素身份验证并不总是用于在移动设备上进行敏感事务处理。


根据研究,消费者常用的静态密码,而不是双因素认证,是敏感的交易使用移动设备时,在使用静态口令认证的安全缺陷:可以猜到了,忘记了密码,写下来,被盗,或偷听了。双因素认证通常提供比传统密码和PIN码更安全和更高级别的安全水平。两因素指的是身份认证系统,用户需要使用至少两种不同的因子你知道什么,你有什么,等等。验证时获得批准。移动设备可用于在一些双因子认证第二因素应用方案。移动设备可通过代码,可以通过短信发送到手机,没有双因素认证,这增加了移动设备的风险。未经授权的用户可以访问敏感信息和滥用移动设备。


三.无线传输是加密的。


这通常是通过在通信过程中未加密的移动设备发送的信息,如邮件之外,许多应用程序都不是他们发送和接收网络上被加密,易被截获的数据。例如,如果一个未加密的WiFi网络与应用程序发送数据使用HTTP(而不是一个安全的HTTP),数据可以很容易地截获。当一个无线传输的数据是不加密的,它可以很容易地截获。


4,移动设备可能包含恶意软件。


消费者可以下载的应用程序包含恶意软件,消费者无意中下载恶意软件,因为它可以伪装成一个游戏,安全补丁,公用事业,或其他有用的应用程序,它是用户告诉一个合法的应用程序和不同的包含恶意软件的困难。例如,一个应用可以把恶意软件,和消费者可能不小心下载到移动设备的数据容易被截获。







5,移动设备通常不使用安全软件。


许多移动设备不提前安装安全软件,防止恶意程序、间谍软件和恶意软件的攻击。此外,用户并不总是安装安全软件,部分原因是因为移动设备经常进行安全软件预装。尽管这个软件可能会影响操作,如果没有安装安全软件,攻击者可以成功分发恶意软件,如病毒,木马,间谍软件,垃圾邮件,并吸引用户的密码或其它机密信息的披露。


6。修复系统可能会被丢弃。


对移动设备的操作系统安全补丁或修复程序不一定会被安装在时间上的移动设备,它可能需要几个星期到几个月前的安全更新提供给消费者。根据漏洞的性质不同,打补丁的过程可能会很复杂,涉及很多人。例如,谷歌的Android操作系统更新修复安全漏洞,但它是由设备制造商生产的设备特定的更新来修复漏洞,这可能需要时间,如果软件修改器是专有的。一旦厂家生产的更新,它是由每个运营商的测试和更新设备,传递给消费者。H然而,运营商可以因为他们需要时间来检查他们是否干扰设备或软件安装在其他领域提供更新延迟。


此外,超过两年的移动设备可能无法接收安全更新,因为制造商可能不再支持这些设备。许多制造商可能在12个月到18个月后停止支持智能手机更新。


7。移动设备上的软件是最新的。


第三方应用程序的安全补丁并不总是和发布的时间。此外,手机的第三方应用程序,包括Web浏览器,往往不告知消费者,当有可用的更新。与传统的Web浏览器,移动浏览器都很少更新,过时的软件,攻击者可以利用漏洞的增加与这些设备相关的风险。


8,移动设备通常不限制互联网连接。


许多移动设备没有防火墙限制连接。当一个设备连接到广域网络,它使用一个通信端口与其它设备连接和互联网。黑客可以通过一个固定的端口访问移动设备。防火墙保护这些端口,允许用户选择移动设备进入网络,没有防火墙,移动设备可以通过一个不安全的通信端口进入网络,和入侵者可以获得敏感信息的设备和滥用。


9,移动设备可能有未经授权的修改。


改进的移动设备来消除自身的局限性,使消费者能够增加新的功能(称为越狱),改变设备的安全管理,并可能增加安全风险。越狱允许用户访问,允许未经授权的软件的功能和应用为固定设备。尽管有些用户可能越狱或根除特殊安装的安全性增强功能在他们的移动设备,如防火墙,其他人可能只是寻找更便宜或更简单的方法来安装所需的应用。在后一种情况下,用户都面临着更大的安全风险,因为他们已经建立的审批过程绕过应用厂商,并可能恶意安装此外,越狱设备可能无法获得安全更新通知,维护制造商和用户的最新软件和补丁通知。







10,沟通渠道可能不是很好的保障。


有沟通渠道,如蓝牙通信,打开或发现;模式(使设备可以看出,这可以通过蓝牙连接功能的设备),可能允许攻击者通过连接安装恶意软件,或麦克风或摄像机在黑暗中偷听激活用户。此外,一个不安全的公共无线网络或WiFi使用点可能允许攻击者连接到设备和查看敏感信息。