“酷中华”智斗苹果三星
2015年01月28日 00:11 法治周末 我有话说 收藏本文
由于苹果和三星[微博]产品的漏洞层出不穷,导致用户信息泄露甚至上当受骗时有发生,所以,信息安全概念正在成为国产手机品牌酷派、中兴、华为等撬动市场的杠杆
信息安全是互联网领域的核心问题,不仅与“匹夫”息息相关,而且事关国家的前途命运。所以,习近平总书记特别强调网络安全问题必须提到互联网的议事日程上来。
数据显示,以智能手机和平板电脑为终端直接进入移动互联网世界的中国公民目前已经超过8亿。他们利用互联网来处理从生活到工作、从商务到娱乐的各种大事小事,如接发邮件、洽谈商务、购买支付、拍照社交,一些年轻人甚至机不离手,机不断网,一天24小时都寄生在网络空间。
但在这些网络臣民所持的终端里,国产品牌并没有明显优势。从出货量来看,虽然中兴、华为、酷派、联想、小米已经跻身全球十强,但在中国这片土地上,来自韩国的电子巨头三星以13%的份额高居榜首。而美国苹果则掠夺了超过一半的行业利润。最近iPhone 6闪亮登场热销,更强化了这种优势——苹果在中国的受欢迎程度远超想象,数据显示现在苹果在全球新增用户有一半来自中国。
但这种状况正在悄然发生改变。三星盛极而衰已是不争事实,苹果iPhone 6也是备受用户质疑和诟病。这种状况很大程度上源自手机信息安全——信息安全正在成为国产品牌向高端转型,阻止苹果、三星继续高歌猛进的利器。
在此之前,只有智能手机专业户的酷派勉强在高端手机市场拥有一席之地,其他国产品牌的价格红线是2000元。超过这个警戒线,就只能叫好不叫座。但今年以来,这种状况已经发生了根本性改变,特别是酷派、中兴、华为主打信息安全,击中洋品牌软肋,不断进军高端手机市场,其中酷派与中国电信[微博]联手推出的铂顿官方售价高达4680元,华为Mate 7官方售价3699元,OPPO N3售价3498元。与往年高端国产手机无人问津相比,这些高端国产手机叫好又叫座,甚至供不应求,让苹果和三星压力山大。
从苹果iPhone问世开始,消费者对手机好坏的评价逐渐转移到用户体验上来。作为网民畅游网络世界的工具,信息安全是最好的用户体验。相比传统互联网时代,移动互联网用户都真心希望厂商家为其解决一切后顾之忧。由于苹果和三星产品的漏洞层出不穷,导致用户信息泄露,甚至上当受骗时有发生,所以,信息安全概念正在成为国产品牌撬动市场的杠杆、向高端转型的强大推手。
苹果被多国禁用
新年钟声响过后,各家或兴奋盘点,或规划今年,一派乐观新气象。但苹果全球CEO库克的内心或随着钟声陷入焦灼的煎熬之中,因为随着新年钟声敲响,全球智能手机五大市场之一的俄罗斯禁止使用苹果产品的法律将正式生效。
这是苹果公司不能承受之重。如果只是俄罗斯市场如此,对苹果在全球影响或许不大,怕就怕俄罗斯此举会引发多米诺骨牌效应,毕竟俄罗斯这一作为,在全球范围都是重磅新闻,为其他国家以信息安全为由拒绝使用苹果产品提供了示范。中国虽然没有俄罗斯那么激进,但也有网民建议全国公职人员一律禁用苹果产品,改用国产品牌;中国政府也在明确行动,把苹果产品从政府采购中排挤了出去。如果中国政府真的禁止公职人员使用苹果产品,那么苹果在中国遭受的市场损失并不比俄罗斯立法禁用苹果产品造成的损失小,因为在中国,公职人员是苹果产品最大的消费群体之一。
由于安全性能问题,甚至一直都是美国传统盟友的英国,都在发布命令禁止使用苹果相关产品。2013年11月,英国政府下达禁令,要求内阁成员和其他敏感部门禁用iPad,并要求政府部长在机密会议前必须将手机等移动设备装入特制的隔音装置。
更有意思的是,就连美国总统奥巴马都声称由于安全原因不用苹果iPhone。
苹果产品无论是在硬件还是应用方面,确有过人之处。苹果应用体验好,得益于苹果的iOS操作系统。但iOS是一把双刃剑,其安全漏洞也是造成这种尴尬局面的始作俑者。美国iOS取证科学家、安全研究员乔纳森·扎德尔斯基(Jonathan Zdziarski)撰文称,苹果手机操作系统存在“安全后门”,他人可以直接提取用户私人数据,他甚至展示了如何利用后门收集用户信息,并称即使用户关闭手机后,都无法躲避监控追踪,苹果还能通过话筒进行监听。
2013年,前美国特工斯诺登揭发美国苹果信息被美国情报机构所用,让全球苹果用户都如坐针毡。iPhone允许手机追踪记录用户位置,由于使用者多为社会精英人士,掌握有价值信息,所以,有关数据足以透露整个国家的经济状况,甚至国家机密。
iPhone的其他漏洞亦是层出不穷。2014年7月,苹果承认可以通过一项未公开的技术获取iPhone用户短信、通讯录和照片等数据。苹果在2011年10月推出的存储iCloud被视为是黑客施展拳脚的用武之地,有“间谍程序”之称。2014年9月,苹果云服务存在安全漏洞,导致多位好莱坞明星iCloud账号被黑客攻破,私照外流,成为轰动全球的“艳照门”,让苹果用户信息安全问题成为全球舆论焦点。2014年9月,德国柏林的安全研究实验室(Security Research Labs)在Youtube发布实测视频,指出苹果两款新机iPhone 6/6 plus的指纹识别功能并没有升级,可以用指纹膜骗过,存在严重安全风险。
而苹果在两款iPhone 6中增加了Apple Pay移动支付功能,如果将来苹果向第三方开放端口,一些第三方iOS应用也将通过它打开,这个漏洞的危害性或许比之前更为严重,只要用户将重要文件、照片等存储在网络,就有被窃取的可能;只要在苹果手机上使用软件,用户操作的时间地点都会被记录下来,用来追踪用户的日常行为。
据路透社报道,2014年11月,美国政府发出警告,由于苹果iOS操作系统存在安全漏洞,iPhone和iPad用户要提高警惕,防止黑客利用这一漏洞发动“假面攻击”,获取存储在iOS设备上的敏感数据,从而远程监视这些设备。
最近丹麦无线流媒体公司Airtame开发者安德烈·尼库拉辛(Andrei Nevulaesei)称发现了iPhone一个新漏洞,可实现在用户查看恶意信息时自动拨打电话而不被发现,不法分子可以借此诱惑用户拨打昂贵收费电话,从中牟取暴利。
作为全球技术领先的科技公司,苹果产品的质量和性能无疑是卓越的,给全球用户带来了与众不同的体验。但苹果信息安全问题触目惊心。
这种信息安全问题也引起了国家相关部门领导的密切关注。2014年12月6日,国家互联网信息办公室主任鲁炜在苹果考察时明确要求苹果保证中国消费者的信息安全和隐私,被高级政府官员如此重视,足见这个问题的严重性和迫切性。
三星指纹感应器被曝存安全漏洞
三星曾经梦想在操作系统上独立门户,一度推出了自己的智能手机操作系统BADA。如果用自己的操作系统,其信息安全肯定有独到之处。但很遗憾,三星的智能手机操作系统最后以失败告终。后来三星不得不随大流,采用同质化比较严重的Android操作系统。Android是免费开源的,也就是说Android对三星是开放的,同时对黑客也是开放的,容易被攻击。
在保护用户利益上,三星口碑一般,有媒体报道,三星甚至为了利益在手机上预装软件,偷跑用户流量,然后与利益链一起分成。2014年央视315晚会就曝光称,三星NOTE 3手机用户李女士发现手机里有8款在后台偷偷运行的应用软件,占用流量。三星客服告诉她,这些软件是手机自身所带,通过ROOT权限就可以卸载,但卸载后手机不能再保修。而这种勾当,一般是“山寨机”的拿手绝活,没想到被国际大企业三星借用,不得不让人感慨万千。
据美国国土安全部所属的国家网络信息安全单位揭露,三星智能手机中的“寻回功能”(Find my mobile)隐含漏洞,黑客有机会通过这个功能进行远端入侵,除了可以找出手机定位的坐标外,还可以远端取得账号密码,改写手机内容,甚至把手机上锁。这个安全漏洞可以使黑客在手机屏幕上显示一条定制化信息,或者找到手机在地图上的最新位置。通过该服务攻击用户的黑客也可以迫使手机在最大音量上响一分钟,甚至还能清除手机上所有数据。
据国外媒体报道,最近以色列内盖夫本·古里安大学研究员指出,三星Galaxy S4手机的安全平台出现了一个安全漏洞,恶意软件可以通过该漏洞跟踪用户的电子邮件并记录通信数据。只要Galaxy手机用户启用Knox(三星的一款基于开源Android平台的安全解决方案),黑客就可以通过这一漏洞轻松地破解用户加密数据,在最严重的情况下,黑客可以修改数据。虽然三星对此漏洞轻描淡写地加以回应和掩饰,但该漏洞却被以色列大学定义为“一级漏洞”。
Galaxy S5是近期三星重磅推出的旗舰智能手机,被寄予厚望。但让三星尴尬的是,这款旗舰机在上市后不久,其主要压轴卖点指纹传感器就被爆存在安全漏洞。这就使三星原先宣称的安全功能不攻自破,被用户戏称“其指纹传感器是出于使用便捷考虑,而非出于安全因素”。对三星而言,破解其指纹感兴器技术的主要难点在于获取用户指纹。黑客只需知道用户使用哪个手指的指纹,然后获取指纹,并且仿制指纹。安全研究所Security Research Labs演示了这种获取指纹的途径:首先对人们留在手机上的指纹进行拍照,然后通过木胶制作出假指纹。有了指纹,一切就迎刃而解,可以长驱直入了。因为目前三星智能手机软件允许在无须输入密码的情况下进入终端设备,即使在用户使用PayPal的新应用时,三星也不会要求输入密码。这样就会导致PayPal可能被盗。
比较而言,苹果设备重启时需要输入密码,所以三星手机安全系数比苹果手机还要低一个档次。
对信息安全的重视给国产品牌机会
电子商务的蓬勃发展,推动用户信息安全意识水涨船高。聪明的国产品牌在信息安全上大做文章,推动自己的产品向高端转型,发起了围剿苹果、三星的全面战争。
虽然起步较晚,但国产手机很早就注意保护用户隐私。2005年,酷派就在手机终端上推出私密和防盗功能,经过十年积累,酷派在信息安全技术研发上硕果累累,取得先机,拥有500多项安全专利,并通过了国内最严格的国家密码管理局的安全认证,是目前唯一获得该项认证的手机企业。
迄今为止,酷派共向市场推出了15款安全终端,其中酷派S6成为国内首款4G手机号段通过加密认证的安全手机。最近酷派与中国电信联手打造的新款旗舰机型“铂顿”,更是把信息安全推向一个“新里程”。铂顿是针对商务人士打造,主攻安全领域,从双系统操作、硬件加密、网络安全、应用安全四个方面重新定义手机安全,填补了国内市场空白。
在智能手机的信息安全保护领域,有两方面很重要:一是语音,一是数据。十年苦练内功,酷派建立了信息安全一体化解决方案,体系非常健全,保证用户智能手机不怕丢,不怕被监听,不怕被网络访问。
为什么酷派称其保密语音无法被破解?酷派称,普通手机传递的是明文,是PCM数据,经过标准压缩编码进行网络和手机终端传输,是标准的语音压缩算法,被监听时语音原汁原味,一听即懂。但酷派对压缩数据进行加密,使之成为伪白噪音。这样一来,即使被监听,听到的只是噪音,根本不可以识别。
至于数据传输,酷派在智能手机上设置了多道关卡,进行严防死守,让黑客无机可乘,具体做法有四。
一是对操作系统进行深层防护。为应对Android安全缺陷,酷派删除了Android后门程序,植入酷派底层安全架构(该技术获中国信息安全认证中心认证的)。市面上360卫士、QQ安全管家属于第三方软件,无法取得用户手机软件驱动层的管理权限,不能完全杜绝某些软件通过非法途径入侵软件底层的做法,无法做到真正防跟踪、开机密码保护、防窃听。二是通过云安全+加密通信手机认证的做法保护数据安全。从终端到网络再到终端,酷派对数据传输的每个环节都严格加密,不仅对第三方软件设置访问权限,而且将普通数据与加密数据分开存储,对私密照片、视频、录音全方位保护加密,通讯录、短彩信、通话记录、社交软件等旁人也无法进入。三是防个人位置被跟踪,防微信短信等个人信息被窃取,防个人电话被监听。四是在安全和加密技术上投入和积累。通俗地说,通过如此种种安全措施,即使非法者能够截获数据,但得到的都是无法破译的乱码。
除了酷派之外,目前市场上华为Mate 7十分畅销。朋友曾托笔者抢购了4个用于送人,都是在华为市价基础上加了几百元钱才弄到手。有来自华为的朋友告诉笔者,这不是什么饥饿营销,而是由于安全性能好,确实供不应求,没想到上市后销售如此火爆,远远超出他们生产计划前的预料,所以才出现了加价购买的情况。
华为Mate7采用按压指纹识别技术,解锁速度低于1秒,其算法为华为拥有专利技术的指纹识别算法,使得Mate7拥有最稳定的指纹识别度。华为在移动支付安全方面提供了芯片级的安全解决方案:指纹传感器接口和驱动程度被封装在Secure OS中,任何第三方应用都无法访问指纹传感器,无须担心指纹信息泄露;所有指纹信息都通过多道加密保存在芯片的Trust Zone区域,指纹校验程序在Trust Zone内通过独立的Secure OS运行,只对外提供经过签名的验证结果,任何第三方应用无法仿冒指纹验证结果,同时手机仅保存指纹提取信息,无法根据这些信息还原指纹图案。虽然三星也是集成到Trust Zone,但三星对外提供指纹接口(不签名),安全级别较低。
另一国产巨头中兴则推出了“十防概念”手机,即防窃听、防泄密、防跟踪、防盗失、防吸费、防诈骗、防病毒、防骚扰、防流氓、防卡慢等,可以有效保护用户隐私、维护用户权益。
据中国密码局官方网站数据,目前通过密码检测的中国电信加密手机系统语音加密终端共有22款,其中酷派17款,华为1款,海信3款,上海优快1款,酷派以77%的份额占据第一。国产品牌在信息安全上所做的努力逐渐被官方和市场认可。从2013年上海市政府加密通信业务部门配备使用酷派大观4,到2014年上海各区机关配备酷派S6,国产手机开始被规模应用到对信息安全要求较高的行业,仅在上海地区,酷派安全手机用户已经突破了10万。在其他地方,包括河北省安全厅、西藏自治区政府机关、湖南省委机要局、河南平顶山保密局都在集体使用酷派安全手机,一些对安全要求甚高的行业,如武警、工商、海军等都开始集体采购酷派安全手机。
在经过多年对峙和摸索,国产手机厂商终于从信息安全入手,找到了劈开笼罩在自己头上的外资阴霾的方法。或许这种做法在将来有望彻底改变中国智能手机高端市场的格局。