腾讯科技2016科技 > 互联网报道 > 滨海信息安全峰会 > 正文

张玉清:智能手机同样遭受安全漏洞威胁

2011年10月20日17:11腾讯科技[微博]我要评论(0)
字号:T|T

我们按照历史的情况梳理一下目前分三个阶段:第一个是固化程序的漏洞阶段,还有系统接口,还有手机应用型。

固化程序阶段,在2002年—2004年,主要是普通手机向智能手机过渡的阶段,一般手机不具备操作系统,软件都是固化手机内部,比如西门子3568。

系统借口阶段,2004年—2008年,比如微软的MOBILE,蓝牙协议远程管理员权限访问漏洞。

手机应用型阶段,2008年-至今,比如MOBILE,iPhone浏览器上字符引用出现的漏洞。

我们把这些漏洞按照不同的操作系统做一个统计,看一下他的情况(PPT演示)

iPhone(黄颜色的部分)98%,占的比重非常大,因为有苹果机和iPhone都用的,所以它的漏洞数量就显得非常的多。

像我刚才介绍的最突出的手机操作系统就是iPhone。

这是刚才提到的那些漏洞所影响手机的功能,最突出的就是数量为75%的,这是浏览器,再次一点的是蓝牙。这是目前的手机安全漏洞的情况。

彩信如果能够主动攻击的话,给某一个目标发出特别的彩信,如果一接收一看,这种攻击的效果会非常好,对方不能很好的处理。

这是另外一个图(PPT演示),蓝牙、彩信和浏览器。蓝颜色是蓝牙漏洞数量的变化情况;绿颜色是短信漏洞变化的情况;红颜色是浏览器。

可以看到,浏览器的漏洞数量非常大,蓝牙和彩信保持低位,比较少。

手机的漏洞挖掘的情况很明显,这年大家都在说手机如何如何不安全,但是还没有像计算机可能99%的人中过病毒,手机可能还没到大家觉得非常不安全的地步。

我们也分析过,因为智能手机的特殊性,一是硬件处理能力不如PC;二是有些智能手机的操作系统和开发工具是不开放的;三是通信网络为封闭的专有网络。

由于这种情况,对手机安全研究非常熟练的还很少。就像刚才提到的,手机安全问题。第一步所想的事情都是把以前计算机用的技术用到手机上去,我们从2006年挖掘技术都是到手机上去挖,看他有什么漏洞。

这是我们发现的一些漏洞的情况(PPT演示)

还有利用的情况,我们利用漏洞在不同的手机上进行攻击的显示,这块显示是弹一个窗口,实际上利用这个漏洞可以对这些手机进行任意的攻击,执行任意的代码,可以拿走通讯录、短信等等。以前在计算机上可以做的事情在手机上都可以做到。

下面我们从论文的情况,从学术界讲一下未来的发展情况。红颜色的字体,这些会议都是国际上顶级的安全会议,一般会分几个级别。(PPT演示)

红框的四个会议是国际上顶级的安全会议,我去查一下这些会议,我想看一下近五年(06年-11年)这些顶级会议上关于手机安全的论文有哪些,在哪些方面,并且数量是怎么样的变化,如果某一个问题研究的人越来越多,说明这个方向会很热,我们想做这样一个研究,看一下究竟是什么情况。

红框下面的是等级为二的会议,比如欧洲的安全会议等等。这是这些会议的标志。

我们把近五年的会议提取出来做了一个分类,分三类:一个是综述类;还有防范类;还有提出新的分析。我们刚才说的不同会议按照不同颜色分类,我们可以看到一个有趣的现象,排在第一位的是防范类,第二位是手机安全综述方面的论文,最后是攻击类,攻击类的论文要少得多。

如果具体看论文,我们会发现,目前所有的论文都是对现有手机安全问题进行分析,提出了改进意见,或者是开发什么样的应用等等,目前论文基本是这样的情况。

而且,我们从2006年—2011年进行了统计发现,06—09年关于手机安全论文比较少,从09年以后数量很多了,这给我们一个启示,说明大家现在非常的关注。

07年安卓的操作系统,还有苹果操作系统的发布,我们看到手机安全就已经转到智能手机上了。

我们统计出来有41篇论文,分成四类:一是系统及其应用安全,传统手机安全问题,手机通讯网络安全和手机网络及其应用的改善方案。

有29篇是关于智能手机操作系统安全保障及其新型应用的安全策略。还有关于手机通讯网络的,也非常少。

手机的操作系统安全,还有手机上新的应用是我们重点关注的,我们如果现在想做什么事情也可以从这个入手,考虑这个操作系统可以做什么事情。

这是专门为这个会议准备的(PPT演示)

等级一的会议,黄颜色背景的是关于系统安全的,白颜色的是关于物理学的。

这是论文的统计,这是会议的类型,论文的类型,发布的时间是2006年-2011年,基本上趋势是越近漏洞越多。

这是历年来所有手机漏洞的总和(PPT演示)

前三年加起来只有8篇论文,而09年到了10篇论文,说明09年以后关于手机安全大家研究的非常多了。。

最后,我总结一下。

我们可以看到,手机安全和系统安全是非常类似的,大家都是把计算机以前非常有效的方法往手机上搬,但是手机有它的特殊性,手机安全漏洞在逐年、加速的增长,这个趋势非常的明显,目前还没有引起足够的重视。

还有国际顶级安全会议中手机安全论文成为热点。

目前有效的、震惊大家的大规模手机攻击尚未问世,这是现实的情况,虽然手机安全非常重要,但是还没有切切实实的威胁到每一个人。

我们认为历史将会重现,对于手机安全问题,将会从病毒、短信等等,势必要过渡到漏洞的利用与攻击,因为漏洞的数量在增长,大家会对漏洞的应用进行进一步的研究,大规模的手机攻击我相信在不短的几年之内就会感觉到这个威胁切切实实的存在了。

手机的信息隐私和安全将会成为非常重要的信息安全问题研究领域,我们所有的功能都往手机上搬,这个隐私有的时候要比个人电脑对我们的隐私危害更大一些。

谢谢大家!

相关专题:

2011天津滨海信息安全高峰论坛
订阅

推荐微博:

注册微博
[责任编辑:mkingwang]
登录 (请登录发言,并遵守相关规定) 分享至: 腾讯微博
如果你对科技频道有任何意见或建议,请到交流平台反馈。到微博反馈

企业服务

热点推荐

推广信息