手指敲密码动作可被视觉新技术破译、淘宝上竟可买到偷iPhone隐私的充电器、移动支付成安全攻防的新战场……在9月24日至25日召开的2014中国互联网安全大会(ISC2014)上,移动安全分论坛格外引人关注:移动安全问题日益紧迫,已成为可怕的“黑洞”。
敲密码动作可被视觉新技术破译
近期被曝光的苹果“后门”事件,令移动安全问题成为公众关注的焦点。在移动安全分论坛上,美国马萨诸塞大学罗威尔分校付新文教授做了题为《无数双“眼睛”都看到你的密码啦!》的演讲。付新文表示,“智能设备在我们的生活中无所不在,很大一部分智能设备都配有相机,但这些相机可能会被恶意使用,窥觑我们的隐私。”
在演讲时,付新文通过手机摄像头,采用识别触摸帧、获取Homography矩阵、定位触摸指尖、估计触摸区域、识别触摸键等7个步骤获取账号密码等关键信息。令人震惊的是,这种通过摄像头发起的攻击方式成功率相当高。付新文半开玩笑地说,“用iPhone向iPad发起攻击,获取账号密码的成功率是100%,可见iPhone的摄像头还是很不错的。”
由于这种攻击方式非常隐蔽,而且成功率比较高,因此民众应当具备一定的防护措施。付新文表示,智能隐私提升键盘(PEK)就是一种可行性比较高的防护方式。这种键盘只有在输密码时弹出随机键盘,这样可干扰黑客对触摸键盘位置的判断,极大降低安全隐患。
可偷iPhone隐私的充电器
360移动安全研究员高雪峰在演讲中向大家揭秘了一个更令人震惊的消息,淘宝上可以买到偷iPhone隐私的充电器。高雪峰介绍说,iPhone手机特别是越狱手机的通话记录、照片、账户密码等都可被轻松获取,而这种利用苹果后门的充电器造价十分低廉。
高雪峰提醒,通过苹果最近被曝光的后门,可以制作出一款“邪恶”的充电器。用这种充电器给手机充电时,仅需从灯亮到灯灭的短短十几分钟时间,手机中的数据就通过一些底层通讯软件被窃取到“充电器”中。严重的是,手机还会被隐秘安装软件,无需经过使用者的允许。
演讲最后,高雪峰还展示了一款可以安全充电的充电器,据介绍,这款充电器将USB数据线中交换数据功能的线去掉,只保留一条充电线,这样手机用户在公共场合使用充电桩时也不用担心隐私内容通过苹果后门被不法分子偷走了。
移动支付成安全攻防的新战场
移动支付的出现优化了人们的生活质量,随着物联网普及、移动互联网应用和商业模式的不断发展,移动支付的需求形式也变得多种多样,但移动支付安全问题也给公众带来了很大的困扰。
为什么要格外重视 移动支付主要分为近场支付和远程支付两种,所谓近场支付,就是用手机刷卡的方式坐车、买东西等,很便利。远程支付是指:通过发送支付指令(如网银、电话银行、手机支付等)或借助支付工具(如通过邮寄、汇款)进行的支付方式,如掌中付推出的掌中电商,掌中充值,掌中视频等属于远程支付。目前支付标准不统一给相关的推广工作造成了很多困惑。移动支付标准的制定工作已经持续了三年多,主要是银联和中国移动两大阵营在比赛。" class="YWToolTipRFIDIOTYKT_201108" target="_blank">移动支付安全?中国嵌入式系统产业联盟秘书长助理申子熹认为,由于犯罪成本的低廉以及网站安全漏洞等,移动支付已经成为安全攻防的新战场。
“移动支付与网上支付的区别在于支付的形式发生了变化,但支付逻辑与验证逻辑并没有发生质的飞跃。移动支付在脚本框架、业务逻辑、社会工程以及传输验证方面都存在不同的安全风险。”申子熹指出,“但支付行业信息安全法律尚不健全,安全事件无法可依。”
