跳到主要內容區塊

ntuccepaper2019

專題報導

手機資安威脅跡象與防護措施
  • 卷期:v0048
  • 出版日期:2019-03-20

作者:黃瀞瑩 / 臺灣大學計算機及資訊網路中心教學研究組幹事


手機已成為現代人生活中不可或缺的生活必需品,手機也如同一台小型的移動式電腦,能夠連線上網、下載應用程式、保存資料等,然而手機的便利性相對地也產生許多的資安威脅。本篇文章將針對目前民眾最常使用之智慧型手機為例,說明行動裝置可能已經遭遇資安威脅的跡象,並提供平常使用手機之防護措施建議。

 

行動裝置的資安風險

自古至今,無論是誰在出門之前,想必都會習慣性確認是否有帶著錢包跟鑰匙;而現今則還多了一樣更重要的物品不能忘記帶出門,那便是手機。由於網路科技的快速發展,現代人可以隨時隨地透過行動裝置連上網路取得各式各樣的資訊、軟體、音樂、影片等數位資源,行動裝置廣義而言包括筆記型電腦、平板電腦、手機等等。許多人以為行動裝置較不易受到資安威脅,在使用方式與習慣上也不會特別去關注相關議題。然而,事實上,只要使用者將行動裝置連結網路的那一刻開始,就便有可能遭受到各種資安威脅。


本篇文章將針對目前民眾最常使用之智慧型手機為例,說明行動裝置可能已經遭遇資安威脅的跡象,並提供平常使用手機之防護措施建議。

 

如何保護手機免於資安威脅

在瞭解手機遭受到資安威脅可能顯現出的蛛絲馬跡之後,該如何提升手機的資訊安全呢?美國聯邦通信委員會(Federal Communications Commission,簡稱FCC)則在2015年發布「保護智慧型手機安全的10個步驟」之說明文件,無論你是Android系統或是iOS系統的Apple手機,都可以依照此10個步驟完成保護手機之安全。以下便分別簡述這10個步驟之內容:

 

(1)設定密碼以及PIN碼:PIN碼指的是手機開機時需輸入的SIM卡密碼,防止手機被偷或是遺失時被他人使用。密碼則包括使用手機時需輸入的密碼以及使用相關服務,例如電子信箱、網路銀行等皆需設置。同時最好將手機設定為待機5分鐘或是更短的時間後,便得要再輸入密碼才能使用。

 

(2)避免修改手機的安全設定:手機在出廠時便都有預設安全設定,不要因為想要使用方便等原因,就隨意將手機刷機或是把Android手機拿來root、把iOS手機拿去越獄(iOS Jailbreaking)。Root或是越獄指的皆是讓使用者取得手機作業系統的超級使用者權限,便能夠修改或是刪除手機製造商原本設定在手機裡的限制或是應用程式,然而此舉將可能使得手機更容易受到資安威脅。

 

(3)備份及保護手機內的資料:將手機的資料定期備份至電腦、儲存裝置或是雲端空間。如果手機遺失、被偷或是以其他方式導致資料被刪除時,才能夠快速地將資料恢復到手機上。

 

(4)僅安裝來自於可靠來源的App應用程式:許多來自不被信任來源的App應用程式可能會包含惡意程式,只要使用者一安裝,該程式便可能會竊取手機中的資料及資訊、在手機上安裝病毒、或是自動下載程式、廣告、發送簡訊等。因此在下載App應用程式之前,最好先行研究與確認該應用程式是正常運作的、合法的程式,確認的方式包括查看評論、確認發布來源、是否為官方網站或廠商認證等。

 

(5) 需瞭解與確認應用程式所需權限是否合理:在安裝App應用程式時,在點選同意該應用程式的存取權限設定前,需逐步檢視該程式所需權限是否對應至其功能,使用者確實有必要提供方能使應用程式正常運作,而非要求多餘或是跟該應用程式無關的存取權限。

 

(6)更新與升級智慧型手機系統與應用程式:手機製造商或是應用程式提供者皆會持續更新或是補強程式漏洞或是錯誤,因此使智慧型手機系統與應用程式保持在最新版本,將能夠降低手機遭受資安威脅的風險。

 

(7)使用開放式Wi-Fi需隨時保持警覺:當讓手機連上開放式Wi-Fi時,你的手機就暴露在資安威脅之下,應盡量避免使用公共熱點,而是使用你所信任的電信供應商所提供之有受到保護的Wi-Fi或行動通訊,以降低資安風險。此外,若在使用開放式Wi-Fi的過程中被要求輸入帳戶及密碼等登錄資訊更是需要特別小心。

 

(8)使用手機免費的內置安全功能或是安裝遠距定位和清除之軟體:iOS系統手機內建有找到我的iPhone之程式;而Android系統手機則能夠上網下載可以遠距定位手機位置與刪除資料的軟體,以在手機遺失或是被盜取時,能夠快速找回或是直接刪除手機上的資訊,避免重要資料外流。

 

(9)在捐贈、轉售及回收舊手機之前,需移除手機上的資料與資訊並將手機重置為原廠初始設定,以避免個人隱私或資料外流。

 

(10)若手機遺失或是被偷,除向警察局申報之外,也需向相關的手機服務廠商告知,讓廠商能夠停止在你手機上的相關服務與功能,避免讓他人使用。

 

上述10個步驟中,包括連結網路、下載應用程式、升級軟體版本、設定密碼等,其實都跟使用電腦時的資訊安全防護措施相同,因此我們應於平時便養成良好的使用習慣,避免貪圖一時方便的行為而造成手機陷入資安危機。

 

此外,在教育部設置的全民資安素養網中有提醒手機使用者應定期針對手機進行檢視,而所需檢視的4個重點項目包括確認有關閉「允許安裝來源不明的應用程式」的設定,以防止惡意程式自動下載並安裝在手機裝置當中、定時更改重要網路服務的密碼,以防止被破解入侵、解除安裝並未在使用的App應用程式以及檢查手機內已經下載的App應用程式的授權許可,確認應用程式所要求地手機功能權限是合理的(全民資安素養網,2019)。手機除了是現代人的生活必備品之外,更可以說是許多人的隨身電腦,為避免珍貴、重要的個人資料被盜取,時常注意手機的狀態,定期進行資料的備份,方才是維持手機資訊安全的不二法則。

 

參考資料

(1)全民資安素養網 (2019) 智慧型手機安全大掃除,檢索自 https://isafe.moe.edu.tw/article/1986?user_type=4&topic=9
(2)賴婕芳(2016),行動裝置威脅與安全,行政院國家資通安全會報技術服務中心,檢索自 https://www.cc.ntust.edu.tw/ezfiles/5/1005/img/479/192252311.pdf
(3)Yahoo奇摩即時新聞(2015),5大徵兆出現,你的手機被駭了!
(4)FCC(2015). Ten Steps to Smartphone Security (Android)
(5)https://www.fcc.gov/sites/default/files/Mobile-Security-Tips-Apple.pdf