雷锋网按:如今智能手机和人的亲密程度几乎已经超过了伴侣,所以安全变得尤为重要。实际上,许多人都清楚 Android 手机的安全问题,但它们到底为什么赢得比 iPhone 差的名声呢?其实很多时候是一些基本的措施都没做好,就像本文中发现的问题。本文由雷锋网(公众号:雷锋网)编译自 Arstechnica,原文作者 Dan Goodin。
同很多打开页面正在阅读这篇文章的用户一样,笔者也是 Android 阵营的成员之一。每天当我们在零售商店徘徊,在城市街道穿梭,或者去哪里旅游,我们随身携带的 Android 智能手机就有可能变成实时的地址追踪器。
出于对实时定位追踪功能的安全考量,在 2015 年年初负责 Android 移动操作系统开发的 Google 架构师团队对其进行了限制。然而最近发布的一篇研究报告表明,在大多数 Android 手机上并未部署这项功能,极少数手机即使激活了这项功能也能非常轻易的进行破解。
在这个「流量贵如油」的年代里,智能手机用户对于 Wi-Fi 的渴望和需求是直接且明显的,无论到哪个场所都希望连接到可用的 Wi-Fi 网络,才能发朋友圈刷微博看新闻等等。同所有开启 Wi-Fi 功能的设备一样,智能手机也会持续搜索附近可用的 Access Point(访问接入点,下文简称 AP),在每次扫描搜索过程中智能手机都会向 Wi-Fi 网络发送当前设备的 MAC(介质访问控制)地址。
你可以将 MAC 地址想象成你的名字,每次连接 Wi-Fi 网络就像是一次相亲,在建立更深的了解和互动(数据上传和下载)之前,你们都会相互交换姓名。纵观 Wi-Fi 的发展历史,MAC 地址的自由交互并不会对用户隐私产生太大的安全隐患。
然而伴随着移动计算能力的迅速崛起,你会突然震惊地发现 MAC 地址的交互竟然演变成了个人数字足迹的深渊!这个深渊的可怕之处在于它无声无息,在大多数人不知情的情况下记录了我们的生活习惯和运行轨迹。它所记录的繁杂信息能够知道我每天下班的时间;能够知道我昨晚是走哪条道路到的酒吧;能够知道我昨晚是何时离开的酒吧;能够知道在过去 1 个月中我去过这家酒吧几次等等。
苹果(Apple)和谷歌(Google)已经意识到滥用 MAC 地址交互的潜在危害,并已经采取了相应的措施。他们此前提出的解决方案是:创建有规律的伪随机 MAC 地址数列,当智能手机扫描附近 AP 的时候就循环使用数列中的一个 MAC 地址。
通过这种方式,那些日志记录 MAC 地址的 Wi-Fi 设备就无法通过扫描直接关联到具备当前智能手机硬件地址身份标识的唯一 MAC 地址。而只有当智能手机真的加入连接到 Wi-Fi 网络中,真实的 MAC 地址才会显示出来。
2014 年 6 月份在发布 iOS 8 系统的时候,苹果引入了 MAC 地址随机化功能。数月之后,谷歌的 Android 操作系统也出于相同的安全考量,进行了实验性质的功能支持。2015 年 3 月份谷歌开始全面推广和部署,在最新的 Android 7.1 Nougat 版本中已经进化到第五个版本,如果按照 Android 版本分布来看,大约有三分之二的 Android 设备部署激活了这项功能。
然而在最新公布的研究报告中发现,即使设备当前运行的 Android 版本支持 MAC 地址随机化功能,但大部分设备依然没有启用这项功能。在长达两年的测试中,粗略估计有 960,000 台 Android 设备被扫描,然而只有不足 60,000 台设备(实际情况可能少于 30,000 台)激活了随机化 MAC 地址功能。尽管在本次测试中共计接受检测到了 60,000 个随机化 MAC 地址,但是科研团队认为其中有两个或者更多随机化 MAC 地址来自于同一台设备。
换算成百分比后的数字同样触目惊心:在本次测试中只有 6% 的 Android 设备提供 MAC 地址随机化,而大部分 Android 设备直接使用真实且唯一的 MAC 地址进行连接,极大程度上表明这项措施形同虚设。在测试过程中,科研人员发现唯一能够正确 MAC 地址随机化的设备是 CAT S60。与之形成鲜明对比的是,本次测试中几乎所有 iOS 设备都很好的执行了地址随机化。
安全的错觉
扫一扫
303
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
