论文部分内容阅读
iOS和安卓无疑是当前两大主流移动平台,两者份额在全球智能终端中占据了90%以上的绝对优势。然而与人们朝夕相处的智能手机已成了网络病毒和信息诈骗的新“战场”,IOS和安卓平台上的安全问题日益重要。
iOS和安卓的安全出发点
我们先来看安卓平台,经过对超过8万款安卓软件的权限申请分析发现,大部分应用申请获取与该应用的正常功能无关的权限,其中约50%获取精确定位、59%获取范围定位、32%获取WiFi位置、23%读取通讯录、11%读取通话记录、16%读取短信、14%接收短信、44%获取手机号码、15%发送短信、14%拨打电话、15%打开摄像头、14%记录音频信息。
如右图,安卓App在安装时都会将所需要的权限告知用户,但由于安卓上(4.3系统以下)必须同意才能安装,所以用户往往都不仔细看。如果用户安装这样的App,它就可以在你不知情的情况下将你的短信、通话记录以及联系人信息上传到服务器。同时,不明的App来源很大程度上决定了大量病毒的产生。
再来看iOS,在iPhone发布后,乔布斯曾多次在公开场合说过:“iOS将用于个人移动设备,它足够安全和稳定,可使用户隐私得以保护。”iOS系统有无数创新之处,但乔布斯为何特别强调用户隐私?
手机是承载用户私密信息最多的地方,所以iOS系统在设计之初,便将用户信息安全与隐私保护提到了一个极高的程度:
1.iOS系统设计了沙盒机制,即每一个应用都只能访问自己的内存区域,如果一个应用想调用另一个应用运行中的数据——绝对不可能!(这也是为什么第三方输入法不能被安装的原因。)
2.iOS系统只能安装来源于App Store经过签名的应用程序,所有应用在App Store发布前,都需要经过机器+人工的安全监测,确保代码对用户的安全性。
3.iOS系统不开放任何可能降低系统安全性设置的权限,所有数据的存储和传输强制使用AES(Advanced EncryplionStandard)硬件加密算法来保护,不允许用户及任何应用取消。
我们来看一看两个平台App可实现的操作。
通过对比,我们可以清晰地看到,iOS由于系统机制的严格限制,App不能实现一些操作,从开发者的角度iOS没有获取短信、通话记录等获取用户隐私信息的公有API,而使用私有API是不可能出现在APP Store的。
获取照片、位置信息、通讯录等操作都必须用户允许,而且在设置中随时可收回权限,这样就从源头上遏制住了App泄露隐私。
而安卓上大量的App都可以获取用户短信、通话记录,并且可以拦截短信和通话,而拦截短信就是在移动平台做暗扣的核心条件。
试想如果一个APP有自己发送短信的权限,它是不是就可以擅自给用户订阅付费服务?再如果一个App有拦截短信的权限,它是不是可以把用户订阅的短信拦截掉而不让用户知道?这些组合,在安卓平台上从技术角度来说是完全可以实现的,而在iOS平台上却做不了。
“越狱”很危险
当然iOS系统也并非100%安全,那就是所谓“越狱”。在国内媒体、第三方应用市场、越狱助手的强大宣传攻势下,为了“免费”“美化”主题、安装第三方输入法等各种看上去很美好的理由,不少用户义无反顾地加入了“越狱”的队伍。
iOS的机制最大程度保证了用户的安全性,理论上任何木马、蠕虫病毒或恶意程序,都不可能获取到用户的短信、通话记录这些隐私信息。而“越狱”操作的本质,就是获取了root权限,就是暴力破坏这一切安全设置,使设备中全部数据暴露在所有程序面前,这样App就可以任意读取用户信息,更改系统的配置。
第三方应用商店、越狱助手类工具开发商会在网络媒体中发布大量“越狱”相关的消息,以“掌控自由”“去除枷锁”之类的词语来诱导人们加入“越狱”大军,但为用户提供一些个性化功能,诱导用户“越狱”的行为,就像快递员为了方便送货,而怂恿用户将门锁破坏掉。虽然其所做所为并未给用户带来直接损失,但却为一些恶意软件打开了方便之门。
“越狱”造成的后果可能很可怕,但在iOS平台上安全风险是可控的,首先iOS系统最新版本往往都没有越狱工具,比如现在的iOS7,所以只要你使用最新的系统完全不必担心。其次,如果用户了解其中的原理,不主动进行所谓“越狱”,可以说在iOS生态系统里还是相当安全的。
结语
今天从安全层面深度剖析了iOS和安卓两个主流系统,可以说iPhone的优势在于软硬件结合,最大的领先在于iOS操作系统。
虽然安卓系统要比iOS系统有着更多的个性化自由,但这些个性化的东西是以安全和用户的隐私作为代价的。可喜的是谷歌已经意识到这个问题的严重性,在最新的安卓4.3中有了“AppOps”的权限控制器,如左图以淘宝App为例,其各项权限均可以管理。可以让我们自定义应用所能获取的权限,而不再是之前非此即彼的“全部允许”或“取消安装”。在“活动”(Aclivity)>“设置”>“应用操作”,并且已有现成的封装调取程序可供下载。之前安卓可以借助LBE等应用来管理程序的权限,但这些往往需要root权限,而root本身会带来更大的风险。现在原生安卓自带该功能,毕竟是一种突破,虽然我们可以看到App依然还是可以申请读取短信等敏感隐私的权限,但是用户已经可以禁止这种操作,相信谷歌会进一步完善安卓系统的安全保障机制。
在大数据时代,人们每天的生活都离不开电脑和手机。手机等移动设备数据被收集,“网络人”与“社会人”将形成映射关系,成为一个完全的“透明人”,这极有可能影响到人们的正常生活。每一位用户,都需要重视智能手机隐私的保护,在享受科技带给人们生活便利的同时,注意防范潜在的风险和隐患。
手机安全小技巧
iOS:
不要相信所谓“越狱”,原生的iOS系统就是最安全的。
安卓:
1.在正规应用商店或官网下载App,不使用论坛、网盘等不明来源的App,不要下载所谓破解版App。
2.安装软件时仔细阅读其所申请权限,涉及到用户隐私的权限包括短信、通话相关权限、联系人权限、地理位置权限、拍照权限以及录音权限,在安装应用时应当注意,如果应用本身并不涉及到这些权限,就不要安装以免用户隐私泄露,去选择其他同类App。
3.不使用网络时关闭网络数据。
4.短信、通讯录等等涉及的应用,最好还是用系统原生的,尽量不要使用第三方。
5.最好更新系统到4.3版本(或购买4.3系统的机型),因为4.3以后的系统权限控制器可以让我们自定义应用所能获取的权限。
iOS和安卓的安全出发点
我们先来看安卓平台,经过对超过8万款安卓软件的权限申请分析发现,大部分应用申请获取与该应用的正常功能无关的权限,其中约50%获取精确定位、59%获取范围定位、32%获取WiFi位置、23%读取通讯录、11%读取通话记录、16%读取短信、14%接收短信、44%获取手机号码、15%发送短信、14%拨打电话、15%打开摄像头、14%记录音频信息。
如右图,安卓App在安装时都会将所需要的权限告知用户,但由于安卓上(4.3系统以下)必须同意才能安装,所以用户往往都不仔细看。如果用户安装这样的App,它就可以在你不知情的情况下将你的短信、通话记录以及联系人信息上传到服务器。同时,不明的App来源很大程度上决定了大量病毒的产生。
再来看iOS,在iPhone发布后,乔布斯曾多次在公开场合说过:“iOS将用于个人移动设备,它足够安全和稳定,可使用户隐私得以保护。”iOS系统有无数创新之处,但乔布斯为何特别强调用户隐私?
手机是承载用户私密信息最多的地方,所以iOS系统在设计之初,便将用户信息安全与隐私保护提到了一个极高的程度:
1.iOS系统设计了沙盒机制,即每一个应用都只能访问自己的内存区域,如果一个应用想调用另一个应用运行中的数据——绝对不可能!(这也是为什么第三方输入法不能被安装的原因。)
2.iOS系统只能安装来源于App Store经过签名的应用程序,所有应用在App Store发布前,都需要经过机器+人工的安全监测,确保代码对用户的安全性。
3.iOS系统不开放任何可能降低系统安全性设置的权限,所有数据的存储和传输强制使用AES(Advanced EncryplionStandard)硬件加密算法来保护,不允许用户及任何应用取消。
我们来看一看两个平台App可实现的操作。
通过对比,我们可以清晰地看到,iOS由于系统机制的严格限制,App不能实现一些操作,从开发者的角度iOS没有获取短信、通话记录等获取用户隐私信息的公有API,而使用私有API是不可能出现在APP Store的。
获取照片、位置信息、通讯录等操作都必须用户允许,而且在设置中随时可收回权限,这样就从源头上遏制住了App泄露隐私。
而安卓上大量的App都可以获取用户短信、通话记录,并且可以拦截短信和通话,而拦截短信就是在移动平台做暗扣的核心条件。
试想如果一个APP有自己发送短信的权限,它是不是就可以擅自给用户订阅付费服务?再如果一个App有拦截短信的权限,它是不是可以把用户订阅的短信拦截掉而不让用户知道?这些组合,在安卓平台上从技术角度来说是完全可以实现的,而在iOS平台上却做不了。
“越狱”很危险
当然iOS系统也并非100%安全,那就是所谓“越狱”。在国内媒体、第三方应用市场、越狱助手的强大宣传攻势下,为了“免费”“美化”主题、安装第三方输入法等各种看上去很美好的理由,不少用户义无反顾地加入了“越狱”的队伍。
iOS的机制最大程度保证了用户的安全性,理论上任何木马、蠕虫病毒或恶意程序,都不可能获取到用户的短信、通话记录这些隐私信息。而“越狱”操作的本质,就是获取了root权限,就是暴力破坏这一切安全设置,使设备中全部数据暴露在所有程序面前,这样App就可以任意读取用户信息,更改系统的配置。
第三方应用商店、越狱助手类工具开发商会在网络媒体中发布大量“越狱”相关的消息,以“掌控自由”“去除枷锁”之类的词语来诱导人们加入“越狱”大军,但为用户提供一些个性化功能,诱导用户“越狱”的行为,就像快递员为了方便送货,而怂恿用户将门锁破坏掉。虽然其所做所为并未给用户带来直接损失,但却为一些恶意软件打开了方便之门。
“越狱”造成的后果可能很可怕,但在iOS平台上安全风险是可控的,首先iOS系统最新版本往往都没有越狱工具,比如现在的iOS7,所以只要你使用最新的系统完全不必担心。其次,如果用户了解其中的原理,不主动进行所谓“越狱”,可以说在iOS生态系统里还是相当安全的。
结语
今天从安全层面深度剖析了iOS和安卓两个主流系统,可以说iPhone的优势在于软硬件结合,最大的领先在于iOS操作系统。
虽然安卓系统要比iOS系统有着更多的个性化自由,但这些个性化的东西是以安全和用户的隐私作为代价的。可喜的是谷歌已经意识到这个问题的严重性,在最新的安卓4.3中有了“AppOps”的权限控制器,如左图以淘宝App为例,其各项权限均可以管理。可以让我们自定义应用所能获取的权限,而不再是之前非此即彼的“全部允许”或“取消安装”。在“活动”(Aclivity)>“设置”>“应用操作”,并且已有现成的封装调取程序可供下载。之前安卓可以借助LBE等应用来管理程序的权限,但这些往往需要root权限,而root本身会带来更大的风险。现在原生安卓自带该功能,毕竟是一种突破,虽然我们可以看到App依然还是可以申请读取短信等敏感隐私的权限,但是用户已经可以禁止这种操作,相信谷歌会进一步完善安卓系统的安全保障机制。
在大数据时代,人们每天的生活都离不开电脑和手机。手机等移动设备数据被收集,“网络人”与“社会人”将形成映射关系,成为一个完全的“透明人”,这极有可能影响到人们的正常生活。每一位用户,都需要重视智能手机隐私的保护,在享受科技带给人们生活便利的同时,注意防范潜在的风险和隐患。
手机安全小技巧
iOS:
不要相信所谓“越狱”,原生的iOS系统就是最安全的。
安卓:
1.在正规应用商店或官网下载App,不使用论坛、网盘等不明来源的App,不要下载所谓破解版App。
2.安装软件时仔细阅读其所申请权限,涉及到用户隐私的权限包括短信、通话相关权限、联系人权限、地理位置权限、拍照权限以及录音权限,在安装应用时应当注意,如果应用本身并不涉及到这些权限,就不要安装以免用户隐私泄露,去选择其他同类App。
3.不使用网络时关闭网络数据。
4.短信、通讯录等等涉及的应用,最好还是用系统原生的,尽量不要使用第三方。
5.最好更新系统到4.3版本(或购买4.3系统的机型),因为4.3以后的系统权限控制器可以让我们自定义应用所能获取的权限。