当前位置:主页 > 知识百科 > 生活百科 > 正文

浅谈操作系统安全的多层次性

发布时间:2021-11-19 09:41 来源:互联网 点击:0
android系统源码公开,但因应用审查机制不健全给用户带来风险。iOS系统完全封闭,但系统自身存在后门。两种系统展现出了操作系统安全面临的多层次性问题。 今年七夕节不同以往,提防手机病毒“XXshenqi”的提示语,掩盖了“有情人终成眷属”的祝福声。根据运营商公开的统计数据,仅一周时间,“XXshenqi”感染了超过65万部手机,发出短信多达754万条。 “XXshenqi”是运行

android系统源码公开,但因应用审查机制不健全给用户带来风险。iOS系统完全封闭,但系统自身存在后门。两种系统展现出了操作系统安全面临的多层次性问题。

今年七夕节不同以往,提防手机病毒“XXshenqi”的提示语,掩盖了有情人终成眷属的祝福声。根据运营商公开的统计数据,仅一周时间,“XXshenqi”感染了超过65万部手机,发出短信多达754万条。

“XXshenqi”是运行于Android系统的恶意程序,兼具木马、后门和蠕虫等类型恶意代码的特点。它通过社会工程手段诱骗用户安装执行,利用人们的好奇心骗取身份信息,然后隐藏在后台接受作者的短信指令操控,监听、拦截甚至伪造用户短信,并将重要信息以短信或电子邮件形式发送给作者。与此同时,它还会向用户通讯录联系人发送包含接收人姓名和“XXshenqi”下载链接的短信,追踪下一个受害者。从攻击手段上看,“XXshenqi”综合了今年上半年出现的北极熊蠕虫(通过短信自我传播)Herta木马(接受远程控制短信指令)等恶意程序的技术特点。整体而言,“XXshenqi”既不复杂,也不超级”;既非神器,也不神奇。不过由于它结合了社会工程手段,利用了节日背景下人们疏于防范的心理弱点,最终在短时间内形成广泛传播。

以自由、开放为宗旨的Android系统,拥有大量的第三方应用程序市场。为了方便安装来自第三方市场的应用程序,用户一般都会开启允许安装未知来源应用选项,并对程序安装过程中提示的权限需求视而不见。Android系统的开放和用户安全意识的淡薄,为“XXshenqi”之类恶意程序的横行无忌提供了可乘之机。与之形成鲜明对比的是苹果iOS系统,后者凭借封闭的应用程序生态环境保证了系统的安全性。比如,在未越狱的情况下,应用程序只能从App Store购买安装,而App Store会对软件作者提交的应用程序进行严格审核,剔除不符合苹果安全标准的应用程序。由于应用程序入口单一,类似“XXshenqi”的自我传播方式,在iOS系统中寸步难行。有数据显示,iOS系统的恶意代码应用家族数量不足Android系统的5%

但在今年7月下旬召开的纽约HOPE X黑客会议上,iOS系统数字取证领域安全专家Jonathan Zdziarski披露了iOS系统中存在的多个后门服务,并展示了利用其获取iPhone手机用户敏感信息的方法。这些后门服务包括:可以捕获iOS设备网络流量的“pcapd”、可以绕过iOS备份加密机制保存设备诊断信息的“file_relay”,还有可以在iOS设备与应用程序之间传输数据的“house_arrest”。如果这些默认开启的服务被恶意利用,将会使得用户地址簿、剪贴板、日程表等信息遭到泄露,甚至导致用户的网络访问行为处于黑客的全面监控之下。虽然事后苹果公司辩称这些只是用于向企业的IT部门、开发者和苹果维修人员提供所需信息的诊断功能,不会对用户隐私安全构成威胁,此事还是引发了业界对于苹果是否与美国的执法机构、国家安全局(NSA)等部门存在合作关系的猜测。据路透社报道,俄罗斯通讯部长日前曾表示希望苹果公司开放其源代码供俄罗斯政府检查,以证明iPhone不会用于对俄方机构实施间谍活动。

Android系统源码公开,拥有大量免费应用程序,却因审查机制不健全、鱼目混珠者众多,窃取隐私、消耗流量,给用户带来风险,造成损失。iOS系统完全封闭,具有严格的应用程序审核环节,针对该系统恶意代码几乎没有,但系统自身却具有后门功能……在这个两难选择的背后,体现出了操作系统安全面临的多层次问题。

操作系统安全是立体的、多方面的,移动设备的系统安全也概莫能外。从信息安全攻防对抗的角度看,操作系统安全自上而下体现为国家、企业、个人用户三个不同的安全层次。对于国家而言,首先应考虑的是如何保护国家秘密,在此基础上需关注操作系统的可见性与可控性;对于企业而言,首先要考虑的是购买成本和保护商业秘密,在此基础上需关注操作系统是否易于部署、易于管理以及是否易于数据聚合;对于个人用户而言,首先要考虑的是操作系统是否具有良好的应用环境、是否能够满足使用习惯以及是否方便易用,在此基础上则需关注隐私的安全性。

可见,作为普通个人用户,不会特别在意隐私安全问题,更不会关心隐私是被黑客窃取,还是被手机厂商提供给国外执法机构。但作为可能涉及国家安全的工作人员,则需严格防范移动设备具有的潜在风险:尽可能使用基于开源系统的移动设备,安装必要的安全防护软件,避免安装第三方提供的应用程序,避免使用移动设备厂商或第三方提供的云存储服务。




"小编整理不易,小礼物走一走,万分感谢!"
赞赏
漂亮女人街

真诚赞赏,手留余香

相关资讯

怎么除去多年生杂草
杂草化学防除是治理草害的一种经济有效新途径。通过喷施除草剂,可选择性地杀死杂草,保护草坪草。草坪中一年生双子叶杂草的防除可选用2,4-D或阔叶净等,该类药剂对双子叶杂草有效,然而怎么除去多年生杂草?生物灾
机械成孔灌注桩如何二次清孔
清孔的目的是抽、换原钻孔内泥浆,降低泥浆的相对密度、粘度、含砂率等指标,清除钻渣,减少孔底沉淀厚度,防止桩底存留沉淀土过厚而降低桩的承载力。机械成孔灌注桩如何二次清孔呢?漂亮女人街和您一起去了解一下吧
我国的基本医疗服务有哪些
基本医疗服务就是基本医疗保障制度面向参保人员提供的医疗服务。那么,我国的基本医疗服务有哪些呢?就让漂亮女人街的小编和你一起去了解一下吧!我国的基本医疗服务:所谓基本医疗服务,就是医疗保险制度中对劳动者
怎样删除手机恶意网站
很多手机用户反馈,购买的安卓手机,被预先内置了大量应用,商家为了宣传和赢得用户,就肆意内置开机就启动的恶意软件,让用户的手机一打开就占用了很多内存,导致用户在使用手机的时候,实际上可使用的内存空间只有
液压支架安全阀分类
液压安全阀一种安全保护用阀,它的启闭件受外力作用下处于常闭状态,当设备或管道内的介质压力升高,超过规定值时自动开启,通过向系统外排放介质来防止管道或设备内介质压力超过规定数值。安全阀属于自动阀类,主要
雪橇式潜水轴流泵
雪橇式潜水轴流泵可供农田排灌之用,也可用于工矿船坞、城市建设、供水工程、电站给排水、游乐场娱乐之用,输送介质为原水或不含大颗粒、长纤维的污水,其最高被输送液体温度为50℃。那么雪橇式潜水轴流泵特点有哪些