在移動電話使用的早期階段,其管理和安全保證都遵循著企業(yè)標準。如今,移動設(shè)備數(shù)量激增,并由不同的人和企業(yè)所使用和擁有。然而,許多運行著關(guān)鍵任務(wù)的設(shè)備是由不同的安全供應(yīng)商和技術(shù)來保障其安全的。
當移動設(shè)備上的內(nèi)容、應(yīng)用程序、數(shù)據(jù)、個人信息被存放到不同的設(shè)備平臺(如蘋果和安卓)上時,形勢就出現(xiàn)了不同的變化,對訪問授權(quán)的關(guān)注才引起重視。正是由于這些變化,企業(yè)開始擔心訪問策略和技術(shù),并開始關(guān)注哪些人可以訪問和控制設(shè)備上的信息。
對于上述問題,企業(yè)已經(jīng)實施了許多不同的策略,并在一定程度上獲得了成功。這些技術(shù)包括:口令字符串、非文本口令、生物識別等。
口令字符串
通常,口令字符串指的是協(xié)同用戶ID進行認證的一套字符。使用這類用戶認證的系統(tǒng)要提示用戶輸入ID和口令才能進行訪問。許多設(shè)備和應(yīng)用程序都使用這類用戶認證,因為其易于實施和使用。但是,口令字符串還有一些嚴重的安全缺陷:
口令易被猜測、共享、濫用等;蠻力攻擊可用于獲得口令字符串;互聯(lián)網(wǎng)上有許多已泄露的口令清單;口令會留下鍵入的痕跡,因而易于猜測;
有很多不同的方法可用于繞過移動設(shè)備上的口令認證。攻擊者可以使用不同的軟件和攻擊來輕松地繞過口令。其中包括:
1.口令猜測:攻擊者可以簡單地嘗試用戶的生日、手機號碼、雇員ID、家庭成員生日等的組合來猜測口令。這種猜測要求對設(shè)備的物理訪問,也可以通過猜測輸入痕跡的組合來實施。由于許多設(shè)備有觸摸屏,因而觸摸可能會留下對猜測口令有利的輸入痕跡。
2.蠻力攻擊:在這種攻擊中,攻擊者必須物理訪問移動設(shè)備而不是遠程攻擊。蠻力攻擊嘗試一套口令來解鎖設(shè)備。這是一種耗時的過程,因為其依賴的是口令的復(fù)雜性?诹钤綇(fù)雜,就需要越多的時間來嘗試整個口令字典。
破解進入移動認證或APP過程可能需要花費30分鐘到一個月的時間?诹钭址臋z查要進行到其匹配合法的口令并實現(xiàn)解鎖為止。
Clockwork Recovery這個工具允許我們恢復(fù)設(shè)備。但是,此工具可用于攻擊設(shè)備,因為它并不要求口令就可以訪問手機的用戶訪問界面。此界面包含著設(shè)備的口令。獲得了用戶訪問的界面后,攻擊者就可以用一個空文件來替換gesture.key文件。這就使任何人都可以隨意訪問設(shè)備的口令。
為防止口令攻擊,我們可以限制設(shè)備的嘗試次數(shù)。在超過次數(shù)限制后,將要求輸入PIN碼才能訪問手機。在嘗試失敗后,手機會被鎖定無法訪問。在些情況下,依據(jù)手機所包含的信息的性質(zhì),手機內(nèi)容將被清除。我們?nèi)绾闻渲檬謾C設(shè)備的認證安全是很重要的。只有通過限制失敗的嘗試次數(shù),才能防止攻擊者繞過字符串口令認證。
非文本口令
移動和其它設(shè)備上的非文本口令是基于可重復(fù)的行為生物特性,如語音生成的密鑰、語音頻率、時機、擊鍵力度等。非文本口令的目的是確保破解口令更困難。
語音生成的密鑰要收集行為的測量結(jié)果。用戶發(fā)出口令短語,然后系統(tǒng)要執(zhí)行前端的信號處理,并記錄關(guān)于特性的測量結(jié)果。
當今的黑客能夠冒充用戶的語音,從而危害用戶的網(wǎng)絡(luò)狀態(tài)。語音識別攻擊可以使用克隆的語音命令,或是使用用戶的樣本語音,或利用類似的方法,從而繞過安全機制,冒充用戶的語音,使攻擊者訪問用戶的重要文件,暴露用戶的隱私。
有許多軟件可被用于操縱語音,從而可用于模仿或冒充受害者的語音。
聲控技術(shù)已經(jīng)被列入黑名單,因為其易于遭受攻擊。攻擊者可以利用克隆語音命令和通過軟件來輕松地繞過語音識別。
生物認證
生物認證往往被用于至少包含兩種方法的多重認證。生物認證可是一種類似于口令的東西,或是一次性生成的字符串,或是你獨有的特性。生物認證涉及指紋、虹膜、書寫簽名掃描等等。
每個人都有其自己獨特的指紋。指紋無法被清除或改變覆蓋,每個人的指紋都不同于他人。指紋這種模式被用于認證移動設(shè)備和其它機密設(shè)備。
指紋掃描技術(shù)是到目前為止最為著名的技術(shù),很多移動公司都在采用指紋掃描以確保其設(shè)備更安全。但是,有時,黑客可以繞過這種特性,可以繞過指紋掃描。其使用的兩種主要的方法是:假手指和漏洞。
假指紋:可以繞過指紋掃描器的假指紋最初是由一個稱為“混沌計算機俱樂部”的德國黑客組織完成的。這些黑客曾演示根據(jù)用戶的手指而創(chuàng)建出虛假指紋的過程。在此過程中,可以輕松地從移動設(shè)備的反射觸摸屏得到用戶指紋。當然,隨著新式手機的閱讀器的敏感性不斷增強,假指紋將很難起作用。
利用漏洞:攻擊者可以利用移動設(shè)備中的漏洞繞過指紋掃描器。例如,曾有人找到一種方法可以繞過蘋果手機的指紋掃描器,從而訪問手機中的聯(lián)系人和照片。為防止這些生物繞過技術(shù),用戶可以禁用設(shè)備鎖定時允許用戶訪問某些功能的“控制中心”選項。
通過認證的用戶可以訪問移動設(shè)備上的所有應(yīng)用。繞過認證會破壞用戶的私密、社交生活、公司機密和個人憑據(jù)。多數(shù)認證攻擊是從物理上來實施的, 所以用戶應(yīng)謹慎地與其他人共享其設(shè)備。用戶應(yīng)選擇對移動設(shè)備的可用性和公司的網(wǎng)絡(luò)安全有積極作用的最可行的認證方法(如多重認證)。而且,公司應(yīng)經(jīng)常執(zhí)行漏洞評估、設(shè)備更新,并在建立移動認證策略之前獲得用戶反饋。