智能移动终端隐私数据泄露问题与防护手段

目前，信息技术已进人移动互联时代。借助广泛部署的网络接人基础设施，个人或企业用户进行信息处理的终端已不再局限于传统PC或者笔记本，包括智能手机、平板电脑在内的各类智能移动终端日益成为用户进行各类网络活动的主要终端形态

然而，近些年智能移动终端安全事件频发，引起了媒体的广泛关注。本文着重介绍智能移动终端隐私数据的概念，分析数据泄露渠道，并提出简单有效的保护措施。

智能移动终端隐私数据介绍

现代社会，手机、平板电脑等已成为人们须臾不离的日常工具，作为智能移动终端，它们时刻记录着个人的日常行为，保存了大量的个人数据。比较常见的如个人聊天记录，手机短消息，GPS地理位置信息，个人照片、视频，联系人列表，通话记录等。这些数据一旦泄露或被利用，小则暴露个人隐私，大则危害国家安全。

一些公众人物、娱乐明星的手机照片，视频，记录着个人的许多隐私行为，一旦泄露．会迅速成为媒体追逐和炒作的焦点，严重影响个人生活。沈阳一女孩，因使用微信公开自己照片而暴露其位置信息，被歹徒跟踪后杀害。因此，保护好个人隐私数据，应当引起使用者的高度重视。

隐私数据泄露渠道

  智能移动终端隐私数据的泄露渠道大致可分为三种：

第一 ，他人接触。 智能移动终端在被他人保管、遗失或被有意偷窃时都可能发生隐私数据泄露。如，未设密码保护，则他人可直接获取数据。即使设置密码，也存在着多种破解方法。宾夕法尼亚大学的安全研究人员在一份报告中指出，利用屏幕上留下的指痕与油污，在理想条件下可完整破解68％的密码；该大学的另一研究团队与IBM的技术人员合作证明，可通过智能移动终端的动作传感器判断用户锁屏移动的位置和按压情况来记录密码：安卓4．0的面部识别认证技术，也可通过使用用户照片加以破解。

第二 ，应用软件窃取。 智能移动终端大量安装的应用软件，也是隐私数据泄露的主要渠道。从来源看，非正规渠道下载的应用软件安全隐患大；正规渠道下载的应用软件，也因对国内应用软件商缺乏有效的监管措施，加之安卓系统的开放性，很难保证这些软件无恶意；乔治亚理工学院的安全研究人员甚至证明，通过改造苹果手机的充电器，就可在设备充电时将恶意软件上传到IOS设备中。从窃取方式看，一是滥用权限，应用软件滥用设备使用者赋予的某些权限（如使用用户位置信息、访问用户短消息、访问因特网等）窃取用户隐私数据向外发送；二是用户带来的问题，用户往往通过“越狱”、“刷机”等方式使智能设备上安装的软件具有了较高的权限，从而为软件窃取隐私数据大开方便之门。

  移动安全厂商网秦发布的 《2012年全球手机安全状况报告》指出，其检测平台在2012年共发现了超过65227个新型恶意软件，比2011年增长了263％，安卓操作系统成为恶意软件的主要平台，共智能手机感染数占2012年全球智能手机感染数量的94.8%，且窃取用户个人隐私成为恶意软件的主要目标。

  第三 ，空中窃取。 智能移动终端常在开放环境中（如咖啡店、书店）通过接入WIFI的方式访问网络，若此W IFI接入没有设置相关安全防护措施，则在该局域网络中的设备可通过接收发往WIFI的无线信号，来窃取其他设备传输的数据信息。在公共场所如咖啡馆内，利用专业软件可查看到该咖啡馆中所有接入WIFI的设备发送的明文数据，其中包括发送的聊天信息、网页浏览请求、邮件信息等。

几种简单有效的防护手段

  针对以上问题，学术及产业界提出一些防护技术及手段，主要包括：

加密存储。 数据加密存储是针对智能移动终端易丢失及容易遭受病毒木马攻击而导致隐私数据泄露问题的重要解决方案。根据加密粒度不同，可分为全磁盘加密、邮件加密和文件加密。全磁盘加密可用于手提电脑，而智能手机与平板电脑可采用对SD卡进行软／硬件加密加锁保护；邮件与文件加密软件在各种形式的智能移动终端平台上一般均有专业软件可供下载。

仿丢失功能。借助远程定位、远程锁定，远程清空数据等功能，在智能移动设备丢失后可帮助找回设备或减少隐私数据泄密带来的损失。最新的iOS7系统升级了其“手机防丢失”功能，不仅可远程定位设备，还允许用户远程禁用该设备

建立安全测评机制。 利用软件代码静态分析、数据流动态追踪等技术，安全人员可对智能移动终端上的应用软件进行隐私泄露问题测评。目前，一些专业的安全测评平台已建立，一些安全公司或研究机构也提供了免费或付费测评链接供用户使用。政府应加强监管管理，在软件进入应用商城前对其进行安全测评，从源头大幅降低恶意软件的发行比例，从而有效地保障用户权益。

为防止隐私数据泄露，建议读者养成良好的使用习惯。一是尽量开启应用软件的SSL功能，使应用软件用加密方式传输信息；二是不对设备进行“越狱”、“刷机”等操作；三是从较大的软件商城下载应用软件，不随意安装来源不明的应用软件；四是不随意外借手机；五是购买并使用正规设备配件；六是如对某应用软件的安全性存在疑问，可向某些APP安全检测网站寻求帮助 。

不断涌现的重大事件毫无争议地告诉我们，信息安全威胁已从潜在风险变成现实危害，我们都无法置身事外。如何更从容、更全面、更务实地应对信息安全挑战，需要我们从更大的时间跨度、更广的领域宽度、更深的认识程度，进一步审视信息安全的新思路，完善信息安全的新举措，落实信息安全的新行动。

——中国信息协会信息安全专委会谈信息安全态势

      国外每年都会投入巨资研究大数据，“多尺度异常检测”、“网络内部知情人检测”，“洞察力计划”、“机器阅读计划”等，都是近年来出现的项目。在技术上，我们与发达国家相差了至少5到10年，要迎头赶上，还有许多的工作要做。“防火墙”、“防病毒”．“入侵监测”等传统防护产品和技术在面对云计算、互联网、多网融合、移动互联网的大数据时代显得力不从心。

——国家信息技术安全研究中心总工程师李京春接受采访时说