国家质检总局近日发布了智能手机产品信息安全专项风险警示,警示显示,智能手机在手机系统 、应用软件和云平台等方面存在安全风险。
日前,国家质检总局组织了一次智能手机产品信息安全的专项风险监测,测试机型包括了市场上大部分高中低端的手机产品,共40批次。
工程师在多款智能手机上都安装了一个测试木马,检验这些手机对语音、通话、短信等数据的保护。测试发现,大多数手机在木马启动的时候都会弹出提示框,但个别手机却毫无动静,任由测试木马暗中读取隐私数据,总共40批次手机样品中,发现有9批次手机当中的相关软件,在未提示用户的情况下,暗中收集手机用户私密信息。
而在随后进行的智能手机后端云平台系统的安全测试中,工程师发现,最主要的安全隐患在于智能手机的后端信息系统,也就是人们所说的云平台,云平台对用户身份鉴别和权限控制方面存在安全风险。
工信部电子五所质检中心安全工程师 李乐言:
云平台连接了大量的智能手机,如果云平台出现问题,这些手机存储在云平台的数据,或者和云平台建立的连接,如果被恶意分子利用将导致大面积的信息泄露。
据了解,守护智能手机云平台安全门槛,首当其冲的一个要素就是身份鉴别,也就是云平台对密码强度的要求,符合测试要求的智能手机会在云平台注册时,提示不能使用简单或连续的数字作为密码。
记者发现,用简单的连续数字或者用666888等重复性数字测试时,多款智能手机的云平台都能够注册成功。
关乎智能手机云平台安全的还有一个重要因素,就是权限控制,一个云平台如果能够做到控制权限,会对所有手机用户的权限请求进行验证,并会发送验证码到手机上,验证是否为本人操作,以保护用户的各种私密信息。
而在测试中记者发现,工程师尝试通过数据包获取一个志愿者的位置信息时,部分智能手机的云平台竟然没有向志愿者手机发送验证,轻易地就允许了陌生用户的请求。
经过大量测试,总共40批次智能手机当中,共发现18批次的产品存在安全隐患,占比高达四成半,其中12批次问题集中在云平台。
tip
专家建议 ,针对智能手机的安全标准建设要加快日程以保护信息安全。
来源:中山发布
