深度分析 | 3·15信息安全实验室曝光问题的技术剖析与安全建议
如晚会的曝光,对陈女士诈骗,成功的关键点在于利用陈女士的信任心理和紧急心理,使其做出错误的决策,从而达到欺骗的目的,诈骗分子冒充合法ETC机构,制造利用ETC停用的社会现象制造紧急情况,以诱骗受害者提供个人信息、转账汇款等行为,从而实现了成功诈骗。
因此,防范同类型电信诈骗一方面在于提高用户自身的安全意识,保持警惕,不轻信陌生人的信息,特别是涉及个人信息和财务交易的内容。但同时,手机厂商、运营商还可以进一步优化安全提示,给用户更多参考,以下安全建议供参考:
如图,这条诈骗信息其实可以从来电号码看出一些端倪,“00855”开头的电话是一个境外柬埔寨的电话号码,境外电话号码发送而来的通知、快递、推广等信息大概率是诈骗信息,手机厂家可以对来电、来信号码进行来源地标注,让用户能够进一步地去评估接收信息的真实性。
如上图所示,图中的“ETC”与常见的字体和字号有所区别,这是诈骗分子常用的避开短信过滤机制,躲避短信监管的一种技术手段。常见的异体字符还有:
手机厂家可以在得到用户充分授权的前提下,通过技术手段在本地对短信内容进行异体字筛查,发现异体字后进行警惕标注,提醒用户进一步地去核实信息的真实性。
3·15信息安全实验室一共做了4个删除恢复实验,具体解析如下。
从视频中可以看出,手机恢复的并非照片的原始文件,是恢复了一个删除照片的缩略图或者备份文件。部分手机或照片管理类App或美图类App会在功能需要的情况下,将原始照片文件进行缩略图保存或者进行备份保存,并且这些缩略图和备份文件一般是无法直接通过相册查看到的。技术人员就是利用了这个“漏洞”,恢复了删除的照片。
给手机厂家和App的建议是,一、尽量不要缓存用户的照片等敏感信息;二、如果需要保存照片的缩略图或备份,为了保护用户的隐私务必进行加密存储。
如技术人员的演示,恢复出厂设置后图片还存在的根本原因是用户未勾选“格式化手机存储”这个选项,而且,手机恢复出厂设置以后重新开机,是需要进行一系列设置操作才能进一步进入手机操作系统,才能查看照片是否删除干净了,这务必也给用户确定手机中的数据是否删除干净了增加了一道门槛。
给手机厂家的一个建议,在恢复出厂设置的第一步已经说清楚了“清除所有数据”,那就取消勾选“格式化手机存储”选项,默认删除手机中的所有照片、视频、短信、通讯录等数据。
3·15信息安全实验室的技术人员为什么能将清空回收站后的数据恢复出来了?删除文件时,文件系统会将文件的记录从文件目录中删除,并将文件数据所在的存储空间标记为可用,以便以后将其用于存储新的数据。但实际上,这些数据并没有立即从硬盘上删除。相反,硬盘上的文件数据仍然存在,只是在文件系统中被标记为删除。
当您删除文件后,数据恢复工具可以扫描硬盘上的未分配空间,找到这些被删除但仍然存在的文件数据,并尝试将其恢复出来。数据恢复工具可以读取未分配空间,即那些已经标记为可用但还没有被覆盖写入新数据的存储空间,以找到被删除文件的数据。
因此,这就是即使您已经清空了回收站,技术人员使用恢复软件仍然可以在硬盘上找到并恢复被删除的文件数据。
这就要从硬盘快速格式的过程讲起。格式化是一种在磁盘上创建新文件系统的过程,它会在磁盘上创建新的文件系统元数据结构,这些元数据结构包括文件名、目录结构、访问权限等信息。格式化过程通常包括两个步骤:清除磁盘上的文件系统元数据和设置新的文件系统结构。
在快速格式化中,只执行了第一步。也就是说,它只清除了磁盘上的文件系统元数据,但没有实际删除数据。因此,文件数据仍然存在于磁盘上,只是文件系统不再知道如何找到这些数据。
因此,数据恢复软件可以通过扫描磁盘上未被新文件系统覆盖的区域,找到原始数据,并将其恢复为原始文件。这是因为在快速格式化过程中,只是清除了文件系统元数据,但没有实际删除数据。
从上述快速格式化原理来看,做到以下两点删除的文件就无法被恢复了,一、使用新文件覆盖原元数据区域,常用的操作方法是,使用大文件进行元区域覆盖;二、使用数据擦除软件,对原区域进行数据擦除。这样可以更有效地确保数据无法被恢复。
晚会曝光了多款破解版App中嵌入了多种第三方SDK违规超范围收集个人信息的情况。破解版的App通常是通过对正版App进行破解和修改而得到的。具体来说,破解版App的制作过程一般包括以下步骤:
1、反编译:破解版App的制作者首先需要获取正版App的安装包文件,然后使用专业的反编译软件对该安装包进行反编译,获取App的源代码和资源文件。
2、修改代码:制作者在获取到App的源代码之后,可以根据需要修改和篡改代码,报道中的其他的第三方SDK就是在这个环节加入的。
3、去除验证:为了让破解版App可以免费使用,破解者需要去除App中的验证机制,例如去除应用程序的验证流程,这就让原本需要收费的内容免费了。这种非法破解也严重侵犯了知识产权,让更多的内容创作者失去了创作的动力。
4、签名打包:制作者需要对新生成的安装包进行签名打包,以便用户可以正常安装和使用。
通过这4步一个破解版的App就生产出来了。这里面,对用户存在巨大风险是“修改代码”步骤,破解者可以将偷拍、吸费、盗密等恶意代码植入到破解版中,利用你对正版软件的信任和免费使用的心态,窃取你的个人信息、验证码等,对你进行跟踪和偷拍等。所以,使用破解版的App不只是信息丢失的问题,还存在钱财损失的巨大风险。
目前,用户对破解版App的获取渠道太简单和方便了,在任何地方均能搜到,并且,从下载到安装都比较顺畅,几乎没有阻力。3·15晚会播出以后,有关部门也快速响应立即查处曝光的破解版App。如要达到长期防范破解版App危害移动互联网应用程序生态,可以从以下角度入手开展相关治理工作:
1、搜索、下载渠道方面:对相关渠道进行清查,确保用户无法通过简单搜索等方式就能找到破解版App;
2、手机安全提示方面:手机厂家加强自身App安全识别能力,对已知存在风险App的安装要进行阻断,对未知风险的App要进行对用户的强提醒,让用户进一步核实App的安全性;
3、App运营者方面:App运营者进一步强化 App 的安全机制可以从两方面来加强自我保护:一、加强App代码保护能力,提升对App的加固、加壳的技术能力,让破解者无法进行反编译;二、加强 App 异常使用的发现能力,并通过监测预警方式压缩破解 App 的生存空间。
(本文作者:北京汉华飞天信安科技有限公司 彭根)