保護智能手機 防止資料外洩


在電視或電影中,我們常見私家偵探在調查對象的手機中安裝程式,悄悄讀取目標的資料或追蹤其位置。但在現實世界中,這種入侵手機的行為卻是違法的,只有不法份子才會使用這些方法圖利。

事實上,雖然智能電話使我們的生活便利不少,但也對個人和企業的保安造成威脅,隨時有洩漏敏感資料的危險。如要確定智能電話是否已遭入侵,當然要交給專業的電腦法證或 保安人員鑑定。但更重要的是,平日應做好預防措施,避免智能電話遭惡意入侵。

實體入侵

實體入侵就是破解密碼或繞過密碼認證系統,直接從電話中讀取資料。要預防實體入侵,最直接的方法是使用安全強度高的密碼,並在設定密碼時注意以下事項:

1. 不要使用出生日期、出生年份、結婚紀念日、身份證號碼、電話號碼等容易被人猜到的密碼;

2. 不要使用常用的密碼。根據資訊科技顧問公司DataGentics的分析,最常用的四位數字密碼是1234、1111及 0000;

3. 使用包括數字、字母及符號的複雜密碼。 

此外,智能電話如附設全機加密功能,用戶亦最好將智能電話全機加密,以預防繞過密碼認證系統來讀取電話資料。現 時如Apple iOS8的版本已支援全機加密,而部份Android電話也支援此功能。

遙距入侵

遙距入侵主要是藉惡意軟件入侵智能電話。入侵者可在用戶不知情的情況下,在其手機上安裝惡意軟件,從而讀取儲存於電話內的資料,如照片、通話紀錄、電郵內容及位置等。

如要避免惡意軟件被安裝到電話上,用戶應注意以下事項:

1. 避免使用公共無線網絡;
2. 智能電話的藍芽裝置存在保安漏洞,所以無需使用藍芽 系統時,應把它關掉;
3. 盡量不要為智能電話「越獄」(Jailbreak) 或「root機」, 以避免入侵者透過軟件取得不應有的權限;
4. 不要安裝沒有經過認證的應用程式;
5. 不要開啟來歷不明的連結或附件,以避誤裝惡意軟件。

如有任何懷疑或疑問,請諮詢資訊保安專業人員,透過政府 的資訊安全網(http://www.infosec.gov.hk/)便可以找到有關資訊保安專業人員協會及團體的資料。

其實,筆者所接觸過的入侵個案中,絕大部份都並非利用高 科技的入侵手法,而是通過社交工程(Social engineering)取得用家信任,然後誘騙用家交出個人資料,而這些犯案手法絕非資訊科技保安技術可以防範。

「人」往往是保安中最薄弱的一環。因此,最重要的是提高個人保安意識,時常保持警覺,別隨便透露個人資料。

圖片來源:Emojipedia