如何保證你的手機(jī)信息安全

文/方晨

如何保證你的手機(jī)信息安全

文/方晨

陳愷

中國(guó)科學(xué)院信息工程研究所 信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室，研究員，博士生導(dǎo)師。中國(guó)保密協(xié)會(huì)隱私保護(hù)專業(yè)委員會(huì)委員，中國(guó)科學(xué)院青年創(chuàng)新促進(jìn)會(huì)會(huì)員。2010年于中國(guó)科學(xué)院研究生院獲博士學(xué)位，美國(guó)賓州大學(xué)博士后。主要研究領(lǐng)域包括軟件安全、智能終端安全、安全測(cè)評(píng)和隱私保護(hù)。在諸多國(guó)際頂級(jí)會(huì)議如IEEE安全與隱私大會(huì)（IEEE S&P）、USENIX安全大會(huì)（USENIX Security）、ACM計(jì)算機(jī)與通訊安全大會(huì)（ACM CCS）、國(guó)際軟件工程大會(huì)（ICSE）、IEEE/ACM自動(dòng)化軟件工程大會(huì)（ASE）、IEEE Trans. on Reliability等發(fā)表論文50余篇，多次在國(guó)際學(xué)術(shù)會(huì)議上做大會(huì)報(bào)告；獲得與申請(qǐng)專利12項(xiàng)。

移動(dòng)互聯(lián)網(wǎng)快速發(fā)展的今天，手機(jī)等移動(dòng)智能終端的功能日益強(qiáng)大，在我們的生活中扮演的角色也越來(lái)越重要。手機(jī)中會(huì)有哪些敏感信息，這些信息面臨著什么樣的安全威脅？我們應(yīng)如何保證自己手機(jī)的信息安全？

從技術(shù)上說(shuō)，手機(jī)其實(shí)比電腦更安全

人們可能會(huì)覺(jué)得，個(gè)人電腦性能強(qiáng)大，可以安裝許多大型殺毒軟件和防火墻等，應(yīng)該比手機(jī)安全?！暗鋵?shí)現(xiàn)在的觀點(diǎn)應(yīng)該是手機(jī)更安全?！敝锌圃盒畔⒐こ趟悙鹧芯繂T表示。這是因?yàn)槭謾C(jī)系統(tǒng)中的保護(hù)機(jī)制比較多。比如說(shuō)，手機(jī)操作系統(tǒng)中有一種比較有效的保護(hù)機(jī)制，叫“沙盒”（sandbox），如圖1所示。沙盒簡(jiǎn)單說(shuō)來(lái)就是為每一個(gè)運(yùn)行的程序提供一個(gè)隔離的環(huán)境，嚴(yán)格控制每個(gè)程序所能訪問(wèn)的資源（如內(nèi)存、硬盤(pán)等）。這樣，這些程序在運(yùn)行時(shí)如果有什么潛在的問(wèn)題，就不會(huì)影響到同一臺(tái)設(shè)備上的其他程序。

而在電腦里，如果多個(gè)進(jìn)程（例如“記事本”、“Word”和郵件客戶端等）是屬于同一用戶的，那么這些進(jìn)程之間通?？梢曰ハ嘟换?，比如它們的內(nèi)存是可以互相訪問(wèn)的。這樣的設(shè)計(jì)有一些好處，如便于硬件資源如內(nèi)存、CPU的共享等。但這樣一來(lái)，如果其中的一個(gè)程序有問(wèn)題，那么同一用戶的其他所有程序就都會(huì)有風(fēng)險(xiǎn)。如果某一個(gè)程序被攻擊者控制并改變了共享內(nèi)存中的內(nèi)容（加入惡意代碼），則其他程序訪問(wèn)這個(gè)共享內(nèi)存時(shí)，則有可能造成難以預(yù)料的后果。

但是在手機(jī)中，通過(guò)沙盒，不同的進(jìn)程被完全隔離開(kāi)了。即使是同一個(gè)用戶的兩個(gè)不同的程序，它們之間也是不能互相訪問(wèn)的。所以如果其中的一個(gè)程序有問(wèn)題，另一個(gè)程序并不會(huì)受到影響?，F(xiàn)在，不同的手機(jī)操作系統(tǒng)，比如谷歌公司開(kāi)發(fā)的安卓（Android）和蘋(píng)果公司開(kāi)發(fā)的iOS等，都具有這樣的機(jī)制。這是一個(gè)很大的進(jìn)步。

但是為什么又說(shuō)手機(jī)的安全問(wèn)題很嚴(yán)重呢？一個(gè)重要的原因就是手機(jī)上集成的信息太多了，因此有很多用心不良的人會(huì)想方設(shè)法來(lái)進(jìn)行攻擊，竊取用戶的隱私信息。

圖1　沙盒機(jī)制示意

手機(jī)中的敏感信息

相比于傳統(tǒng)意義上的移動(dòng)電話，智能手機(jī)不如說(shuō)是一臺(tái)可以放入衣服口袋的移動(dòng)電腦。對(duì)不少用戶來(lái)說(shuō)，打電話甚至已經(jīng)變成手機(jī)的次要用途了。很多以往需要用電腦或其他設(shè)備才能實(shí)現(xiàn)的功能，都因?yàn)橛辛耸謾C(jī)而變得非常方便。全球每天有無(wú)數(shù)的人用手機(jī)來(lái)了解資訊、收發(fā)電子郵電、搜索信息、社交、購(gòu)物、理財(cái)、攝影攝像、導(dǎo)航、管理健身運(yùn)動(dòng)、玩游戲。

然而，大部分人在享受手機(jī)帶來(lái)的好處時(shí)，并沒(méi)有充分意識(shí)到，隨著手機(jī)中涉及到個(gè)人隱私的信息越來(lái)越多，手機(jī)的信息安全問(wèn)題也變得越來(lái)越重要?，F(xiàn)在智能手機(jī)中的各種隱私信息，甚至比個(gè)人電腦中還多得多。你的手機(jī)中可能會(huì)有銀行卡和各種網(wǎng)絡(luò)支付的相關(guān)信息，家庭和單位的位置、地址信息，社交軟件、電子郵箱等的賬號(hào)、密碼，網(wǎng)絡(luò)聊天的內(nèi)容，私人照片視頻，通訊錄等。這些都是很敏感的信息，如果泄露，就可能會(huì)造成嚴(yán)重后果。

另外，還有一些風(fēng)險(xiǎn)一般人可能更意識(shí)不到。如果手機(jī)的攝像頭被人控制而悄悄工作的話，那么用戶所處的環(huán)境，包括家里或辦公室中的情況，都有可能被拍下來(lái)并發(fā)送出去。隨著智能家居的普及，越來(lái)越多的設(shè)備可以與手機(jī)連接，例如可以用手機(jī)來(lái)控制冰箱、電視等電器的開(kāi)關(guān)，還有人為了防盜等在家里安裝了可以通過(guò)手機(jī)控制的攝像頭。在這種情況下，一旦黑客入侵了手機(jī)，就可以把用戶家里的情況了解得很清楚，安全風(fēng)險(xiǎn)不言而喻。

定制系統(tǒng)的安全問(wèn)題

雖然手機(jī)因?yàn)橛猩澈械葯C(jī)制，從理論上說(shuō)比電腦要安全，但手機(jī)也有一些自己所特有的問(wèn)題。

安卓手機(jī)的操作系統(tǒng)存在“碎片化”的現(xiàn)象。所謂碎片化，就是不同的廠商都在開(kāi)發(fā)自己的定制系統(tǒng)，系統(tǒng)的差異越來(lái)越大。安卓是一個(gè)開(kāi)源的系統(tǒng) ，在一定的基礎(chǔ)上可以對(duì)原生系統(tǒng)進(jìn)行修改，既在很大程度上保留了安卓原有的特性，又可以添加一些新的功能和特點(diǎn)。而有一些應(yīng)用軟件是專門(mén)針對(duì)深度定制的安卓系統(tǒng)而開(kāi)發(fā)的，所以與原生的安卓系統(tǒng)可能不兼容?？傮w來(lái)說(shuō)，定制系統(tǒng)和原生系統(tǒng)在操作上相似度很高，但一般都無(wú)法升級(jí)成原生安卓系統(tǒng)，只能使用相關(guān)廠商發(fā)布的定制系統(tǒng)升級(jí)包。現(xiàn)在全球大概有上萬(wàn)個(gè)大大小小的手機(jī)廠商。谷歌的原生安卓系統(tǒng)版本更新很快，而不同終端廠商的版本各異的系統(tǒng)難以同步更新，使得安全漏洞不容易得到及時(shí)的修補(bǔ)。所以，使用定制的系統(tǒng)存在一定的安全風(fēng)險(xiǎn)。

另外，每個(gè)廠商在系統(tǒng)里捆綁的程序也都不一樣。通常我們買(mǎi)來(lái)的新手機(jī)，里面都已經(jīng)預(yù)裝了一些應(yīng)用程序，這就是捆綁在手機(jī)系統(tǒng)中的程序，它們大多是無(wú)法卸載的。有人做過(guò)調(diào)研，發(fā)現(xiàn)很多這樣預(yù)裝的程序都有問(wèn)題。由于手機(jī)廠商和軟件廠商之間的各種利益，手機(jī)預(yù)裝市場(chǎng)比較混亂，用戶則可能成為最終的受害者。

2015年11月，國(guó)家工信部公布了《移動(dòng)智能終端應(yīng)用軟件（App）預(yù)置和分發(fā)管理暫行規(guī)定》，向社會(huì)公開(kāi)征求意見(jiàn)。這個(gè)規(guī)定提出，手機(jī)生產(chǎn)商和互聯(lián)網(wǎng)信息服務(wù)提供者要尊重用戶的知情權(quán)和選擇權(quán)，不得調(diào)用與所提供服務(wù)無(wú)關(guān)的終端功能、強(qiáng)行捆綁推廣無(wú)關(guān)應(yīng)用軟件，確保除基本功能軟件外的移動(dòng)智能終端應(yīng)用軟件必須可由用戶方便地卸載等。如果這個(gè)規(guī)定得以正式頒布施行，將有利于手機(jī)預(yù)裝市場(chǎng)的規(guī)范化。

流氓行為包括未經(jīng)用戶許可自動(dòng)安裝運(yùn)行、強(qiáng)行彈窗顯示廣告、劫持瀏覽器等，而且難以卸載、清除；惡意扣費(fèi)程序會(huì)私自發(fā)送扣費(fèi)短信，并攔截運(yùn)營(yíng)商發(fā)送的確認(rèn)短信，讓用戶在不知不覺(jué)中被扣費(fèi)；隱私竊取病毒會(huì)盜取用戶通訊錄、通話記錄、瀏覽器書(shū)簽、聊天記錄等，上傳到遠(yuǎn)程服務(wù)器；盜版軟件會(huì)偽裝成正版軟件騙取用戶安裝，啟動(dòng)后可以實(shí)施惡意行為；系統(tǒng)破壞程序會(huì)獲取root權(quán)限，破壞文件系統(tǒng)，偷偷安裝未知軟件；短信劫持程序能向用戶的所有聯(lián)系人發(fā)送短信，騙取好友安裝，還會(huì)攔截、轉(zhuǎn)發(fā)用戶的短信；誘騙欺詐程序誘使用戶安裝后，會(huì)自動(dòng)創(chuàng)建桌面圖標(biāo)，用戶點(diǎn)擊后提示更新軟件誘騙用戶下載其他程序。

圖2　2015年各類病毒木馬感染手機(jī)量的比例

手機(jī)面臨的安全威脅

目前，手機(jī)的信息安全主要面臨著兩類威脅，即惡意程序和電信詐騙。

惡意程序

惡意程序是指強(qiáng)行或秘密安裝在用戶的設(shè)備上，侵害用戶合法權(quán)益的程序，如病毒、木馬等。目前很多手機(jī)都遭到了惡意程序的侵害。據(jù)陳愷研究員介紹，2015年，每5.6臺(tái)安卓設(shè)備中就約有 1 臺(tái)被病毒木馬等感染，感染率高達(dá)18%。

2015年各類病毒木馬感染用戶量的情況如圖2所示，其中流氓行為類病毒木馬感染用戶量最多，超過(guò)50%。其他還包括惡意扣費(fèi)、隱私竊取等。

自2015年中旬以來(lái)，還出現(xiàn)了大量的鎖屏勒索軟件，這類應(yīng)用多偽裝成游戲外掛、QQ刷鉆軟件等。病毒啟動(dòng)后，就會(huì)強(qiáng)制鎖屏，即使用戶重啟手機(jī)也無(wú)濟(jì)于事。病毒制造者會(huì)故意將自己的聯(lián)系方式留在鎖屏界面，等用戶聯(lián)系時(shí)進(jìn)行恐嚇，詐騙錢(qián)財(cái)。同時(shí)出現(xiàn)的還有大量的色情類病毒軟件，通過(guò)誘惑性的應(yīng)用圖標(biāo)或應(yīng)用名稱來(lái)刺激用戶下載，幾個(gè)月的時(shí)間就可以感染上百萬(wàn)用戶。這類病毒具有惡意扣費(fèi)、竊取隱私、強(qiáng)制推送并安裝其他惡意程序等行為，由于此類病毒能夠直接獲益，備受不法分子青睞，用戶需提高警惕。

還有很多程序被稱為“有潛在危害的程序”（potentially harmful apps），因?yàn)楹茈y界定它們是不是惡意的。如果一個(gè)視頻播放軟件要求能訪問(wèn)很多與它的主要功能無(wú)關(guān)的信息，比如用戶的通訊錄、位置信息、短信、攝像頭、通話信息等，就很不合理。我國(guó)在這方面的行業(yè)規(guī)范和監(jiān)管還不完善，不少應(yīng)用程序，包括一些著名廠商開(kāi)發(fā)的程序里，常常會(huì)有一些侵犯用戶隱私信息的內(nèi)容。“把我國(guó)廠商開(kāi)發(fā)的程序拿到防惡意程序掃描引擎，例如集成了56個(gè)防毒引擎的VirusTotal里去掃描，大概有一半以上都是有問(wèn)題的。很多此類程序都會(huì)把手機(jī)中能界定用戶身份的信息拿走。但我們不清楚他們?yōu)槭裁匆@取這些信息，是要做好事還是壞事?！标悙鹧芯繂T說(shuō)。

那么，如何避免下載到惡意程序或有潛在危害的程序？雖然專業(yè)機(jī)構(gòu)可以對(duì)程序進(jìn)行檢測(cè)，但對(duì)一般用戶來(lái)說(shuō)，很難直接判斷某個(gè)程序是否含有惡意代碼，比較現(xiàn)實(shí)的辦法就是通過(guò)應(yīng)用市場(chǎng)和廠商的聲譽(yù)來(lái)間接判斷。正規(guī)的市場(chǎng)（商店）都會(huì)對(duì)應(yīng)用程序進(jìn)行某種程度的監(jiān)管。

陳愷研究員建議，對(duì)于蘋(píng)果公司的操作系統(tǒng)（iOS），從安全的角度來(lái)說(shuō)，最好不要去越獄。iOS越獄（iOS Jailbreaking）使得用戶可以從蘋(píng)果應(yīng)用商店外下載安裝其他非官方的應(yīng)用程序，甚至獲取root權(quán)限。root權(quán)限是系統(tǒng)權(quán)限的一種，獲得root權(quán)限就是擁有了整個(gè)系統(tǒng)的最高權(quán)限，可以對(duì)系統(tǒng)中的任何文件（包括系統(tǒng)文件）執(zhí)行所有增、刪、改、查的操作。所以，很多黑客在入侵系統(tǒng)的時(shí)候，都要把權(quán)限提升到root權(quán)限。理論上，iPhone越獄后安全性會(huì)大為降低。在越獄的應(yīng)用市場(chǎng)中，程序的問(wèn)題很多。如果用戶不小心安裝了某個(gè)惡意程序，它就可以隨意讀取、修改系統(tǒng)上任意文件，獲取社交、網(wǎng)絡(luò)支付等應(yīng)用的數(shù)據(jù)，還可以刪除系統(tǒng)文件、導(dǎo)致系統(tǒng)崩潰等等。

而對(duì)于安卓系統(tǒng)，則盡量不要去那些小的市場(chǎng)中下載程序。目前我國(guó)的第三方安卓應(yīng)用市場(chǎng)沒(méi)有統(tǒng)一的管理尺度和規(guī)范標(biāo)準(zhǔn)，小的市場(chǎng)對(duì)程序的審查往往不太嚴(yán)格，甚至還會(huì)存在向程序里加入惡意代碼的現(xiàn)象。有些開(kāi)發(fā)者將自己的程序放在網(wǎng)頁(yè)中，讓用戶去點(diǎn)擊下載，很多用戶也覺(jué)得官網(wǎng)上的程序最可靠。其實(shí)，官網(wǎng)未必安全，因?yàn)槟切┏绦驔](méi)有經(jīng)過(guò)任何審查。有時(shí)，同樣一個(gè)應(yīng)用，在聲譽(yù)較好的市場(chǎng)中下載的程序是沒(méi)有問(wèn)題的，但其官網(wǎng)上的程序卻有問(wèn)題?？偟膩?lái)說(shuō)，蘋(píng)果或安卓官方應(yīng)用市場(chǎng)中那些知名度比較高的廠商開(kāi)發(fā)的程序，相對(duì)來(lái)說(shuō)更安全。

不過(guò)，手機(jī)的安全機(jī)制也在不斷進(jìn)步。以前，安卓系統(tǒng)安裝一個(gè)應(yīng)用程序的時(shí)候，會(huì)彈出它需要的權(quán)限列表，用戶如果要安裝這個(gè)程序，只能同意所有要求，無(wú)法選擇。而現(xiàn)在蘋(píng)果系統(tǒng)和安卓6以上的系統(tǒng)，則都是采用這樣的方式：安裝時(shí)不再詢問(wèn)，但是當(dāng)這個(gè)程序第一次要用到某個(gè)權(quán)限的時(shí)候，會(huì)詢問(wèn)是否允許使用這個(gè)權(quán)限。如果用戶選擇“否”，那么以后就都會(huì)按這個(gè)決定執(zhí)行。這樣可有效防止?jié)撛诘男畔⑿孤丁?/p>

電信詐騙

相比以往，現(xiàn)在的電信詐騙非常猖獗，手法更具欺騙性、多樣性。典型的電信詐騙是通過(guò)偽基站偽造銀行或者移動(dòng)運(yùn)營(yíng)商的官方客服短信，此類短信中通常包含木馬鏈接。

所謂的偽基站，是利用一些特殊設(shè)備偽裝成運(yùn)營(yíng)商的基站，屏蔽和干擾一定范圍內(nèi)的真基站的信號(hào)，然后搜索出其覆蓋范圍內(nèi)的手機(jī)號(hào)，并向這些手機(jī)發(fā)送詐騙或廣告信息。偽基站能模擬任意號(hào)碼發(fā)送短信，比如冒充常見(jiàn)的公共服務(wù)號(hào)、銀行服務(wù)號(hào)，或是用戶親朋好友的號(hào)碼，所以很容易讓人失去警惕。而用戶一旦點(diǎn)擊短信中的惡意鏈接，就會(huì)下載一個(gè)有問(wèn)題的數(shù)據(jù)包，或者是登錄上一個(gè)詐騙網(wǎng)站。

除了通過(guò)偽基站發(fā)送詐騙短信外，詐騙者也可能冒充司法機(jī)關(guān)等公眾比較信任的機(jī)構(gòu)給用戶打電話，引導(dǎo)用戶訪問(wèn)某個(gè)釣魚(yú)網(wǎng)站。網(wǎng)絡(luò)釣魚(yú)的英文為Phishing，是由phone（電話）和fishing（釣魚(yú)）兩個(gè)單詞組合而成，主要是通過(guò)短信、電子郵件、即時(shí)通信軟件等發(fā)送欺騙性信息，誘使用戶登錄到釣魚(yú)網(wǎng)站上。這些網(wǎng)站通過(guò)精心設(shè)計(jì)，偽裝得與銀行網(wǎng)站、社交網(wǎng)站、電商網(wǎng)站等非常相似。用戶一旦在這些釣魚(yú)網(wǎng)站上輸入賬號(hào)密碼等，這些敏感信息就會(huì)被攻擊者獲取。

不管是哪種方式的電信詐騙，其共同特點(diǎn)都是利用社會(huì)工程學(xué)誘騙用戶安裝木馬程序等并套取用戶的個(gè)人資料。社會(huì)工程學(xué)指利用人們心理上的弱點(diǎn)，通過(guò)與他人的合法交流，來(lái)使對(duì)方心理受到影響，騙取對(duì)方的信任，使其做出某些行為或透露某些機(jī)密信息。社會(huì)工程學(xué)將目標(biāo)定位在計(jì)算機(jī)信息安全中最脆弱的環(huán)節(jié)（也就是人）上，通過(guò)高明的欺詐手段收集信息、行騙和入侵計(jì)算機(jī)系統(tǒng)。社會(huì)工程學(xué)的手法非常復(fù)雜，很多表面上看起來(lái)無(wú)用的信息（比如一個(gè)電話、一個(gè)人名等）都會(huì)被攻擊者利用。即使是比較警惕、小心的人，也可能會(huì)被高明的社會(huì)工程學(xué)手段欺騙。

當(dāng)這些詐騙團(tuán)伙取得用戶個(gè)人信息后，會(huì)冒充用戶的好友或是用戶本人，對(duì)用戶或其親友實(shí)施詐騙。因此，當(dāng)收到短信、郵件或消息時(shí)，不要輕易點(diǎn)擊其中的鏈接，要仔細(xì)確認(rèn)，以防上當(dāng)。

網(wǎng)絡(luò)釣魚(yú)的目標(biāo)是獲取用戶的重要信息，如銀行帳號(hào)、密碼。

數(shù)據(jù)放到“云端”安全嗎？

在“云”時(shí)代，有很多存儲(chǔ)、備份信息的網(wǎng)絡(luò)服務(wù)，給用戶帶來(lái)很多便利。例如，如果把手機(jī)通訊錄等備份在“云端”，那么重新安裝系統(tǒng)或是更換手機(jī)時(shí)，就可以很方便地從網(wǎng)上將這些信息下載下來(lái)。

但是對(duì)于重要的隱私信息，陳愷研究員建議還是盡量不要上傳到“云端”。雖然大廠商的安全技術(shù)確實(shí)比一般用戶更強(qiáng)，但是以它們?yōu)槟繕?biāo)進(jìn)行攻擊的黑客也更多。比如以蘋(píng)果公司的技術(shù)實(shí)力，它提供的云存儲(chǔ)和云計(jì)算服務(wù)iCloud的安全性應(yīng)該是非常高的，但是依然遭到了破解。

將數(shù)據(jù)進(jìn)行云端備份確實(shí)很便利，但為保障數(shù)據(jù)的安全性，我們可以對(duì)敏感數(shù)據(jù)進(jìn)行加密后再上傳，而不是直接上傳。對(duì)于極其重要、不能公開(kāi)的數(shù)據(jù)，則不要傳到網(wǎng)絡(luò)上，而是使用移動(dòng)硬盤(pán)等進(jìn)行加密備份，并保管好存儲(chǔ)介質(zhì)，確保安全?？傊?，我們應(yīng)該有選擇地把信息上傳到“云端”。

如何保證手機(jī)購(gòu)物、網(wǎng)銀操作的安全？

手機(jī)網(wǎng)銀通常會(huì)采用多重安全措施，包括客戶手機(jī)號(hào)識(shí)別、登錄后顯示客戶號(hào)確認(rèn)身份（避免網(wǎng)絡(luò)釣魚(yú)）、登錄密碼與支付密碼分離、動(dòng)態(tài)口令卡等。

方便性和安全性經(jīng)常是矛盾的。操作便捷，安全性通常就會(huì)下降。所以一個(gè)系統(tǒng)或程序的安全性有多高，是一個(gè)權(quán)衡的結(jié)果。雖然購(gòu)物、網(wǎng)銀等相關(guān)應(yīng)用程序的安全性較高，但也并非絕對(duì)安全。陳愷研究員的建議是，我們要有控制風(fēng)險(xiǎn)的意識(shí)。手機(jī)可以綁定銀行卡，但是這張卡里不要放太多錢(qián)，平時(shí)夠用就行了。這樣即使出問(wèn)題，損失也可以承受。

另外，要注意手機(jī)系統(tǒng)的即時(shí)更新。特別是比較老的手機(jī)更要注意，因?yàn)槔鲜謾C(jī)的系統(tǒng)版本低下，往往存在大量漏洞。保證系統(tǒng)及時(shí)更新，可以及時(shí)堵住漏洞，避免遭受惡意應(yīng)用的侵害。

手機(jī)丟失對(duì)于信息安全來(lái)說(shuō)是非常危險(xiǎn)的。手機(jī)里儲(chǔ)存的很多個(gè)人隱私和敏感信息如被不法分子得到，將會(huì)造成嚴(yán)重后果。要防范手機(jī)丟失可能造成的損失，首先要設(shè)置一個(gè)強(qiáng)壯的手機(jī)開(kāi)機(jī)密碼/鎖屏密碼。通常來(lái)說(shuō)，密碼越長(zhǎng)，被破解的可能性就越低。不要直接將個(gè)人公開(kāi)信息（如電話號(hào)碼，出生日期）用作密碼。添加數(shù)字、符號(hào)和大小寫(xiě)混合字母可增加他人窺探、猜測(cè)或破解的難度。密碼越具獨(dú)創(chuàng)性就越安全。

同樣重要的是，每個(gè)重要帳戶（如電子郵件帳戶和網(wǎng)上銀行帳戶）最好單獨(dú)使用一個(gè)安全系數(shù)高的密碼，而且要定期更新。這樣雖然比較麻煩，但能有效提高安全性。如果使用相同的密碼，只要攻擊者獲得某一個(gè)帳戶的訪問(wèn)權(quán)限，就可以盜用其他所有帳戶。為防止遺忘，可以將密碼記錄在妥善保管的本子上。如果不經(jīng)過(guò)加密而直接明文保存在手機(jī)、電腦或網(wǎng)絡(luò)上，就比較容易泄露。

現(xiàn)在蘋(píng)果公司的iPhone手機(jī)，輸入密碼只要錯(cuò)了10次，手機(jī)就會(huì)被鎖定、停用。用戶還可以通過(guò)設(shè)置，讓手機(jī)在輸錯(cuò)密碼10次后就自動(dòng)清空信息。這樣會(huì)相對(duì)安全一些。當(dāng)然，一旦手機(jī)不慎丟失，要盡快將手機(jī)SIM卡掛失。

圖片由“易安在線”提供，繪畫(huà)支持：潘浩子

慎用公共Wi-Fi

為了節(jié)省數(shù)據(jù)流量，或是為了在手機(jī)信號(hào)不好的地方順暢地上網(wǎng)，我們往往會(huì)用到Wi-Fi。但是公共Wi-Fi的安全風(fēng)險(xiǎn)不可忽視。

一種情況是，這個(gè)Wi-Fi本身就不安全，也就是設(shè)置這個(gè)Wi-Fi的人是惡意的，用戶只要通過(guò)它聯(lián)網(wǎng)，那么數(shù)據(jù)（如輸入的賬號(hào)、密碼）就都會(huì)被他竊取。對(duì)于普通用戶來(lái)說(shuō)，當(dāng)你在星巴克咖啡館接入一個(gè)名為“Starbucks”的Wi-Fi熱點(diǎn)時(shí)，并不能判斷這個(gè)熱點(diǎn)是否真的是由星巴克提供的。有時(shí)你發(fā)現(xiàn)自己的手機(jī)莫名其妙地連接到了陌生的Wi-Fi上，此時(shí)也要提高警惕。

另一種情況是，這個(gè)Wi-Fi不是惡意的，但是有黑客利用Wi-Fi的某些弱點(diǎn)對(duì)其進(jìn)行了攻擊。很多公共免費(fèi)Wi-Fi都是不加密的，有些即便設(shè)置了密碼，也很容易得到（比如詢問(wèn)店員）。一旦攻擊者進(jìn)入這樣的Wi-Fi以后，就可以對(duì)網(wǎng)絡(luò)中的其他用戶進(jìn)行嗅探，并截取網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)，如用戶名、密碼、上網(wǎng)記錄、設(shè)備信息、聊天記錄及郵件內(nèi)容等。

所以，在公共場(chǎng)所使用Wi-Fi時(shí)，最好只做那些不涉及到隱私的事，如簡(jiǎn)單的網(wǎng)頁(yè)瀏覽（無(wú)需賬號(hào)登錄）、觀看視頻等。要登錄手機(jī)銀行、輸入密碼等，則不要通過(guò)公共Wi-Fi操作。保險(xiǎn)起見(jiàn)，在外出時(shí)最好關(guān)閉手機(jī)的 Wi-Fi 功能，需要時(shí)再手動(dòng)打開(kāi)，以防止因手機(jī)自動(dòng)連接Wi-Fi而掉進(jìn)陷阱。

那么，自己家里或辦公室的Wi-Fi，是不是就安全呢？實(shí)際上，自己的無(wú)線路由器也需要進(jìn)行相應(yīng)的安全設(shè)置才能減少風(fēng)險(xiǎn)。最好選擇安全的加密方式（如WPA2），并將密碼設(shè)計(jì)得盡量復(fù)雜一些。要注意的是，路由器在出廠時(shí)會(huì)設(shè)置一個(gè)默認(rèn)的用戶名/密碼（常見(jiàn)的是admin/admin），而很多用戶在使用時(shí)沒(méi)有更改默認(rèn)用戶名和密碼的習(xí)慣，這樣黑客就可以通過(guò)Wi-Fi路由器的默認(rèn)設(shè)置頁(yè)面地址（如192.168.1.1）和默認(rèn)用戶名密碼登錄你的路由器，篡改路由器的DNS地址。這樣，當(dāng)你訪問(wèn)正常網(wǎng)站時(shí)，瀏覽器就會(huì)被指向非法惡意網(wǎng)址，有可能會(huì)受到釣魚(yú)網(wǎng)站及病毒的威脅。

了解了智能手機(jī)所可能存在的安全風(fēng)險(xiǎn)，我們就可以在充分享受手機(jī)帶來(lái)的種種便利的同時(shí)，保護(hù)好自己的信息安全。

（本文轉(zhuǎn)載自《科學(xué)世界》2016年9月刊）