手机应用的数据传输存在哪些安全风险？

Question

智能手机应用程序通过提供商的数据网络(如果启用了wifi )传输各种类型的数据。在这种转移中存在哪些安全风险，如何减轻这些风险？我说的不是一般的手机安全，特别是手机和其他来源之间通过手机或无线网络进行数据传输的领域。

编辑:对不起，我会尽量缩小范围。我特别想知道用于数据传输的通道(无论是提供商的无线网络还是wifi热点)。在这些网络上提供了什么加密(如果有的话)，除了通道本身提供的加密之外，应用程序对数据进行加密的情况有多普遍？例如，Facebook应用程序在公共wifi网络上使用什么加密？在提供商的数据网络上的银行应用程序呢？那Gmail在WPA保护的无线网络上呢？等。

Answer 1

就安全性而言，最直接的问题可能是未加密数据的传输。例如，假设你使用的是facebook应用程序，而不是wifi。但是，您不是网关(即路由器)的所有者，或者您的网关被破坏了。如果您的数据在这种情况下没有加密，那么您的用户名/密码、您的个人信息甚至是其他人的个人信息都将由网络嗅探者摆布。

当然，Facebook可以被视为一种低安全风险，但智能手机上的网上银行业务已经成为可能，而且应用程序不一定对数据进行加密。

另一个问题是承运人本身。很多运营商仍在使用GSM。GSM的密码学标准已有20多年的历史。GSM网络不仅可以被黑客入侵，而且实际上可以成为人质。GSM (也称为2G)的新实现已经开发出来(UMTS/3G)，但这些实现最近也被黑客入侵。您可以阅读更多关于这个这里的内容。

Answer 2

你的问题有点含糊。

智能手机传输的数据是什么？

那得看情况。你可以相当肯定的数据将包括电话交谈，短信/彩信信息，和电子邮件。

智能手机上存储着什么数据？

• 通话记录(远程电话号码、通话开始时间/日期、通话持续时间、通话方向进出港、潜在的远程通话方名称)
• 短信/彩信数据(照片照片中人物的时间、日期、地点、可能的姓名)
• 位置数据(时间/延迟经度日期)
• 照片(见SMS/MMS )
• 电子邮件(收件人、时间/日期、pop3服务器、smtp服务器)
• 网站使用情况( URL、表单数据、cookie、上次访问的时间日期)
• 联系人(电话号码，电子邮件，物理地址，人际关系)
• 音乐(喜好、听频率等)

存储在智能手机上的任何数据都有可能被传输。

您希望这些数据中的任何一个是保密的吗？

如果是这样的话，那么涉及这些数据的传输就需要受到保护，通常是通过加密来完成的。这种情况下的安全风险将是机密数据的暴露。减少暴露是对数据进行加密，并配置访问控制以限制对数据的访问。

要保护这些数据中的任何一个不受修改吗？

数据传输期间使用的协议具有修改或删除数据的能力。在这种情况下，安全风险将是数据完整性的丧失(它会被更改)，或者数据的可用性丢失(它会被删除)。减少完整性损失的方法是使用加密散列(这将指示您的数据是否已输入)。额外的缓解可能是纠错代码，允许您恢复被更改的数据。减少可用性损失的方法是数据备份和适当配置的访问控制。如果数据被破坏，备份可以恢复数据的可用性，访问控制可以限制谁可以删除哪些数据。

Answer 3

智能手机的一个特殊问题，虽然不是唯一的问题，就是连接本身的可用性。如果您有来自移动网络运营商的有上限的带宽分配，应用程序就可以通过消耗整个分配来轻松地DoS整个设备。

一个相关的问题是，与wi连接相比，MNO数据服务更有可能在使用点收取费用，而且收费要高得多。用户不太可能喜欢为僵尸网络或间谍软件应用程序使用的数据收费。