在移动电话使用的早期阶段,其管理和安全保证都遵循着企业标准。如今,移动设备数量激增,并由不同的人和企业所使用和拥有。然而,许多运行着关键任务的设备是由不同的安全供应商和技术来保障其安全的。
当移动设备上的内容、应用程序、数据、个人信息被存放到不同的设备平台(如苹果和安卓)上时,形势就出现了不同的变化,对访问授权的关注才引起重视。正是由于这些变化,企业开始担心访问策略和技术,并开始关注哪些人可以访问和控制设备上的信息。
对于上述问题,企业已经实施了许多不同的策略,并在一定程度上获得了成功。这些技术包括:口令字符串、非文本口令、生物识别等。
口令字符串
通常,口令字符串指的是协同用户ID进行认证的一套字符。使用这类用户认证的系统要提示用户输入ID和口令才能进行访问。许多设备和应用程序都使用这类用户认证,因为其易于实施和使用。但是,口令字符串还有一些严重的安全缺陷:
口令易被猜测、共享、滥用等;蛮力攻击可用于获得口令字符串;互联网上有许多已泄露的口令清单;口令会留下键入的痕迹,因而易于猜测;
有很多不同的方法可用于绕过移动设备上的口令认证。攻击者可以使用不同的软件和攻击来轻松地绕过口令。其中包括:
1.口令猜测:攻击者可以简单地尝试用户的生日、手机号码、雇员ID、家庭成员生日等的组合来猜测口令。这种猜测要求对设备的物理访问,也可以通过猜测输入痕迹的组合来实施。由于许多设备有触摸屏,因而触摸可能会留下对猜测口令有利的输入痕迹。
2.蛮力攻击:在这种攻击中,攻击者必须物理访问移动设备而不是远程攻击。蛮力攻击尝试一套口令来解锁设备。这是一种耗时的过程,因为其依赖的是口令的复杂性。口令越复杂,就需要越多的时间来尝试整个口令字典。
破解进入移动认证或APP过程可能需要花费30分钟到一个月的时间。口令字符串的检查要进行到其匹配合法的口令并实现解锁为止。
Clockwork Recovery这个工具允许我们恢复设备。但是,此工具可用于攻击设备,因为它并不要求口令就可以访问手机的用户访问界面。此界面包含着设备的口令。获得了用户访问的界面后,攻击者就可以用一个空文件来替换gesture.key文件。这就使任何人都可以随意访问设备的口令。
为防止口令攻击,我们可以限制设备的尝试次数。在超过次数限制后,将要求输入PIN码才能访问手机。在尝试失败后,手机会被锁定无法访问。在些情况下,依据手机所包含的信息的性质,手机内容将被清除。我们如何配置手机设备的认证安全是很重要的。只有通过限制失败的尝试次数,才能防止攻击者绕过字符串口令认证。
非文本口令
移动和其它设备上的非文本口令是基于可重复的行为生物特性,如语音生成的密钥、语音频率、时机、击键力度等。非文本口令的目的是确保破解口令更困难。
语音生成的密钥要收集行为的测量结果。用户发出口令短语,然后系统要执行前端的信号处理,并记录关于特性的测量结果。
当今的黑客能够冒充用户的语音,从而危害用户的网络状态。语音识别攻击可以使用克隆的语音命令,或是使用用户的样本语音,或利用类似的方法,从而绕过安全机制,冒充用户的语音,使攻击者访问用户的重要文件,暴露用户的隐私。
有许多软件可被用于操纵语音,从而可用于模仿或冒充受害者的语音。
声控技术已经被列入黑名单,因为其易于遭受攻击。攻击者可以利用克隆语音命令和通过软件来轻松地绕过语音识别。
生物认证
生物认证往往被用于至少包含两种方法的多重认证。生物认证可是一种类似于口令的东西,或是一次性生成的字符串,或是你独有的特性。生物认证涉及指纹、虹膜、书写签名扫描等等。
每个人都有其自己独特的指纹。指纹无法被清除或改变覆盖,每个人的指纹都不同于他人。指纹这种模式被用于认证移动设备和其它机密设备。
指纹扫描技术是到目前为止最为著名的技术,很多移动公司都在采用指纹扫描以确保其设备更安全。但是,有时,黑客可以绕过这种特性,可以绕过指纹扫描。其使用的两种主要的方法是:假手指和漏洞。
假指纹:可以绕过指纹扫描器的假指纹最初是由一个称为“混沌计算机俱乐部”的德国黑客组织完成的。这些黑客曾演示根据用户的手指而创建出虚假指纹的过程。在此过程中,可以轻松地从移动设备的反射触摸屏得到用户指纹。当然,随着新式手机的阅读器的敏感性不断增强,假指纹将很难起作用。
利用漏洞:攻击者可以利用移动设备中的漏洞绕过指纹扫描器。例如,曾有人找到一种方法可以绕过苹果手机的指纹扫描器,从而访问手机中的联系人和照片。为防止这些生物绕过技术,用户可以禁用设备锁定时允许用户访问某些功能的“控制中心”选项。
通过认证的用户可以访问移动设备上的所有应用。绕过认证会破坏用户的私密、社交生活、公司机密和个人凭据。多数认证攻击是从物理上来实施的, 所以用户应谨慎地与其他人共享其设备。用户应选择对移动设备的可用性和公司的网络安全有积极作用的最可行的认证方法(如多重认证)。而且,公司应经常执行漏洞评估、设备更新,并在建立移动认证策略之前获得用户反馈。