针对无线终端设备的HTTP请求劫持应对之策

cell_phone_http_request_hijack
移动计算设备如同体积轻便的个人电脑一样,功能强大,而且容易携带。除了PC所面临的安全问题之外,人们往往特别关注的是它们所面临的物理安全问题、个人隐私保护问题以及移动应用的安全等等。

毫无疑问,无线终端设备更容易失窃,进而让设备上所存储的个人信息数据外泄。而移动应用的安全问题往往只受到专业领域内的信息安全人员及应用开发人员所关注,只到近来,这里面的安全问题才渐渐浮现出来。昆明亭长朗然科技有限公司的移动安全研究员James Dong称:移动安全不仅仅是防止移动应用的广告插件和恶意程序,将正牌移动应用拆解,植入广告或恶意代码后后重新打包成“免费”的冒牌货,是国内的移动程序开发人员常干的事情。这和国内的商业市场环境和消费者习惯不可分,进而造成大量靠强制用户点击广告和偷卖用户隐私数据赚钱的“打包党”出现。

尽管移动安全所面临的局势很恶劣,我们可以看到政府机构不断在强化对移动应用程序提供者的监管力量,但是我们仍然需要强化警惕,移动计算领域的从业者可能随时变换入侵手法,以实现其罪恶的敛财目的。目前我们已经看到的是会对大众型的移动应用软件的会话劫持攻击,其原理很简单,事先建立好伪造的各类新闻、社交、购物等在线网站或广告插播页面,然后在各WIFI网络中不断发送事先定制好的DNS欺骗,ARP欺骗,HTTP请求及会话劫持等攻击包,将这些常见移动应用客户端引向事先伪造的网站服务器。

有人会估计这种入侵的耗资巨大,还不如在手机等智能设备中预装或捆绑软件来得快,其实,厉害的黑客已经能够通过一次性的WIFI攻击,使用HTTP 301永久转向等功能,而让移动应用程序受到永久的感染,所以,在机场、地铁等人流密集的地方进行这种活动还是很值得的。

防范之道从应用层面讲,可能需要强化移动网站服务器与移动终端之间的认证和通讯加密功能,这都需要一定的金钱和时间的投入。另一方面,则是从移动终端使用人员来进行,提升人们的信息安全意识,比如在接入公共的WIFI之后,立即启用VPN连接将所有通讯进行加密,以防范窃听和劫持。

当然,无线移动终端计算设备所面临的安全威胁还很多,我们不仅要强化移动计算服务和终端设备的安全,更需要让移动用户提高警惕,通过一部在线的移动设备信息安全意识教程,我们可以实现这些。

探讨几招保护个人数字足迹的方法

个人信息与隐私保护成为数字时代的每个人不得不重视的话题。不可否认的是我们的所有数据都处于危险之中。从安全机关的监控系统到商业机构的广告投放,从黑客犯罪团伙到网络钓鱼及电信诈骗人员,无不对我们的数字生活虎视眈眈。尽管网络安全相关机构想保护我们,但是仍然有大量机构不想让我们受到保护。对此,昆明亭长朗然科技有限公司网络安全专员董志军表示:不要对隐私保护相关法律的完善、对网络安全执法机关的能耐、对网络犯罪团伙的良心抱有太高的期望和幻想,保护自身的个人数据及隐私,最大的责任在于自己。接下来我们提出几个保护个人数字足迹的思考,希望与您一起探讨。

设置复杂的登录保护

不管是个人电脑,还是智能手机,它们都支持一定的启动密码保护。不过,现实中有些人比较懒,不愿意启动如硬盘密码、锁屏幕密码等,或者他们使用较简单的纯数字或图案密码,以便快速进入系统。然而这些都是一些安全隐患,容易在计算设备失窃或被盗,甚至在自己短暂离开时,让计算设备被他人轻松进入并加以不当利用。因此,我们建议稍稍花些时间,熟悉一下设备的设置,启用密码等身份验证保护,并且设置较为复杂的密码或生物特征鉴别措施,如指纹、面部和声音识别。不过,鉴于较为智能的生物特征识别有一定的误判率,并且可能会被蒙骗或挟持,因此我们建议高危级别的人士慎重使用。

另一种辅助的安全方式是双因素身份验证(亦有称双因子验证、两步验证、二次验证等),即除了密码之外,还需要另一项附加的身份验证措施,通常是短信验证码、动态口令、智能卡或数字令牌。我们应该尽量启用双因素身份验证功能,以避免密码失窃造成数字身份失窃的可能。

尽量少地披露个人信息

大数据“画像”让人不寒而栗,要避免个人信息和隐私数据被不法使用,最关键的是尽可能少地披露个人信息。在互联网上、在社交网络沟通中、在朋友圈里尽可能少地发布个人隐私相关的信息,“低调”的数字隐士生活让网络犯罪分子和人工智能技术摸不着北,根本不知道我们的数字存在。

数字跟踪是大数据“画像”的基础,应对数字跟踪,在进行网络浏览或搜索时,尽可能使用“隐私浏览”功能,如果有更高安全隐私要求,可以使用匿名代理,这样网络服务商根本不知道是谁在什么地方操作的。比较麻烦的是通过网络账户的跟踪,一个比较激进的想法是经常变换账号,比如在电商平台上完成一次购物并验收之后,及时销掉或弃用该账号,下次再用一个新的。此外,手机号码和银行卡也定期更换,不过,这样做的话,真的有些过于极端了。

当今,移动应用盗窃个人信息和隐私的情况太普遍,特别是读取存储、读取手机通讯和短信的应用权限,当然也有人很重视地理信息定位。一方面,我们建议只给应用程序最小的访问权限,定期检查和禁用不必要的应用访问权;另一方面我们也可以考虑将通讯和应用分开,比如手机专用于通信,另外搞个专门的平板设备或备用手机来玩应用,上面不存任何电话号码、隐私照片和通讯文件。虽然这样做显得有些麻烦,但是这种“物理隔离”措施才是最保险的。

注意常规安全行为细节

保护数字足迹并不仅仅是应对来自网络的不法分子,不少扒手、强盗、偷窥者、身边的人甚至擦身而过的路人也可能会窃取或无意获得我们的个人信息和隐私。这就需要我们在使用计算设备的时候注意周边环境,防止偷拍、偷听和偷看,必要的情况下,使用隐私保护膜或只在安全的地方进行语音通讯、进行屏幕操作。

当然,定期删除不必要的应用软件,尽量少使用云端服务,防止受到恶意软件特别是监控类木马程序等的感染,离开时随时锁屏并设置屏幕保护程序等非常基本的安全习惯,也会对保护我们的数字足迹非常重要。在关键时刻,这些细节往往决定成败。

保护数字足迹的行动倡议

上述我们列出了一些实践和思考,有些探索过于极端,比如经常更换手机号码和银行卡,对有些人来讲就有些不方便。不过,总之,尽管网络安全与个人信息保护方面的大环境会越来越好,但是保护个人数字足迹,不能指望他人。我们能做的就是行动起来,记住:安全在你我的手中。

昆明亭长朗然科技有限公司创作了一些个人隐私与商业机密保护相关的课程资源,包括动画视频、宣传图片、电子课件和互动游戏,欢迎有兴趣的朋友联系我们,索取预览和洽谈合作。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898