2016年世界移动通信大会：谈”安全”色变

“智能手机”是世界移动通信大会（MWC）永恒不变的主题。但如果撇开”智能手机”不谈，换个角度观察本届大会的话—你将能发现许多不一样的东西。我们正是带着这一目的–以不同的角度观察本届大会–可惜最终的发现不禁让我们背后丝丝凉意。下面就让我们为您解释其中的缘由。

手机支付：过度便利带来的安全隐患

如今，许多公司似乎开始”沉迷于”开发手机支付功能—本届大会上就有不少公司纷纷表示正致力于该项功能的开发。但从中我们得到的消息是，提升便利性依然是他们首要考虑事项，至于如何提高安全性却被选择性忽略或根本只字未提。

例如，三星公司就宣布即将在巴西、英国、加拿大、中国和西班牙等国家推出Samsung Pay。尽管我们有理由相信Samsung Pay拥有出色的安全性（但我们仍推荐使用Apple Pay），但值得注意的是最近LoopPay被一黑客小组成功攻破。而该支付系统在1年前就已被三星公司收购，Samsung Pay可以说是这一系统的”升级版”。

#SamsungPay: An Early Examination of Security: https://t.co/PTWVfwi7wl #Samsung #mobilepayments pic.twitter.com/Tx0J56ZsI8

— Kaspersky Lab (@kaspersky) March 13, 2015

尽管三星公司宣称这些网络黑客只是为了窃取系统相关技术来创建一个类似的支付系统，但完全有可能这些黑客已掌握了足够的数据进而能盗取Samsung Pay的用户账号。

The Internet of Us is here. Would you get a microchip implanted under your skin? #ifa15 Full @wired article kas.pr/biochip (article in German). #internetofus

A photo posted by Kaspersky Lab (@kasperskylab) on Sep 3, 2015 at 12:12pm PDT

在MWC大会开幕的前几天，高通公司和腾讯联合宣布：基于高通技术的手机将全部能支持微信支付的生物指纹识别功能。尽管高通公司再三强调该支付系统由于采用了高通的Heaven架构，因此绝对安全，但众所周知指纹扫描器的安全性总是存在这样或那样的问题。因此我们只能寄希望于高通和腾讯真能如其所言，推出真正安全的支付系统。但许多网络黑客却早已虎视眈眈，必将努力找出攻破安全防御的方法—新推出的支付系统往往最容易遭受”猛烈攻击”。

同样潜心开发手机支付功能的VISA每一步都走得异常小心。尽管作为全球两大信用卡公司之一的VISA对免触支付（例如：VISA PayWave）”独有情钟”，但VISA的工程师们则显得较为谨慎，对该技术不断反复检查以确保万无一失—这对我们实在是个好消息。尽管虹膜识别理念已在公司内部得到通过，但在MWC展会上VISA却只展示了一项指纹识别系统。好在该系统还只是处在测试阶段，VISA工程师们甚至还考虑同时使用指纹和虹膜识别，进而创建一种双因素认证系统。

Great piece from our #MWC16 panel hosts @kaspersky on #cybersecurity and the #tokenisation approach: https://t.co/7cqd8gerhj

— Visa Europe News (@VisaEuropeNews) February 25, 2016

为此，我们专门询问了VISA展台的工作人员，想听听他对于VISA将同时采用虹膜和指纹识别的看法，但可惜他对此传闻并不知晓否。但他同时表示如果这一消息属实的话，那他可以肯定VISA研究专家们一定会想出一些其它的安全保护措施—例如，监视人体静脉血流，因为世界上没有一个人的血流纹路是完全一样。

VISA的主要竞争对手万事达卡因在本次展会上推出”刷脸”支付（selfie-payment）而抢尽风头。你没看错，就是”刷脸”支付。这意味着用”刷脸”代替密码支付—同时万事达卡宣称这一新的支付方式将极大增强安全性，因为传统密码常常在实际使用中”适得其反”：有些人喜欢将密码记在纸上，这样很容易丢失；还有些人倾向于对许多账号设置同一个密码。

从上面的视频可以看到，”刷脸”系统不仅需要将脸正对摄像头，还要求用户眨一下眼，因此单单利用用户照片将很难骗过系统。可以肯定，这将成为全球众多网络黑客必须面对的一个难题。或许只有人物视频才可能骗过系统。

How easy is it for hackers to steal your face? https://t.co/SGtYtE1y63 #digitalidentity pic.twitter.com/Cz85TxEkYt

— Kaspersky Lab (@kaspersky) October 28, 2015

指纹传感器：停滞不前，缺乏新意

生物特征识别功能如今已相当普遍，指纹识别器不仅出现在不少主流智能手机中，同时许多低端手机也纷纷开始装备此项功能。华为公司就在其全新的MateBook（采用Windows操作系统的二合一笔记本/平板电脑）集成入了指纹识别器。

#Mobile fingerprint sensors: more or less secure? https://t.co/m3eqgNRcrI #security pic.twitter.com/Asx52xPiao

— Kaspersky Lab (@kaspersky) January 21, 2016

在MWC展会上，我们特地找到了两家指纹识别器生产商的代表进行交谈。Synaptics宣布即将推出的全新识别器安全性极佳：不仅对数据进行了加密，同时Synaptics还强烈建议手机厂商使用特殊的ARM Trustzone安全环境来处理这些数据。

与此同时，另一家指纹识别器厂商NEXT则推出两种类型的识别器，其中一种并未对数据加密。NEXT也未强调必须对生物识别数据使用安全沙盒，但却努力在降低其产品定价。由于许多厂商并未将安全性放在首要考虑位置，因此许多手机将会装配这些价格低廉但极不安全的NEXT指纹识别器，最终将导致上述免触支付的安全性大大降低。

联网汽车

有一点可以肯定，无论是联网汽车还是自动驾驶汽车未来都将走入寻常百姓家庭。但就目前而言，各大汽车厂商都将大量资金投入到车辆的道路行驶性能以及车辆本身安全性上，对于网络安全却投入甚少。但研究专家们却表示网络安全对于所有联网汽车均至关重要。

#BlackHat 2015: The full story of how that Jeep was hacked https://t.co/y0d6k8UE4n #bhUSA pic.twitter.com/SWulPz4Et7

— Kaspersky Lab (@kaspersky) August 7, 2015

三星和索尼均推出了’为自己汽车实现联网’的套件，甚至还适用于那些老款汽车。索尼推出的套件可以通过USB接口和蓝牙让汽车实现联网，看起来就像手机导航应用的控制器。网络黑客即使成功入侵，最多也只能改变汽车行驶目的地、正在听的音乐以及更改这些内容的方式。事实上并没有什么可害怕的。

而三星推出的套件则更加复杂一些。其中一项功能是分析汽车的重要参数，而另一项功能则可作为车内Wi-Fi热点使用。这意味着该款套件能同时连接车内OBD II端口和LTE网络。众所周知，网络黑客可以利用OBD II远程入侵受害人驾驶的汽车，而三星公司则让这一切变得更加容易，将其直接与互联网相连接。

#Progressive #Snapshot Exposes Drivers to Car Hacking: https://t.co/c8I8lc1zu0

— Kaspersky Lab (@kaspersky) January 27, 2015

即使车辆的自身安全性极佳并在碰撞试验中达到最高安全级别，但如果不法分子能很轻易地干扰汽车正常行驶并远程控制汽车发动机—那在特定情况下车辆的一切安全性都会变得毫无意义。

在2016年MWC展会上，并非都是一片”悲观”的形势—还是有很多有趣的新产品推出，当然好消息也有不少。但总的来说，在今年世界移动通信大会展出的所有新产品几乎都拥有联网功能，而我们都清楚一个道理，连接互联网的东西越多，不法分子就越有可乘之机进行黑客入侵。我们希望下一届MWC展会将能更多关注所有这些联网设备的安全性问题。但我们已经可以预计，新一届的黑帽大会必定会讨论如何黑客入侵所有这些新的联网设备的方法。