引子
XcodeGhost
Stagefright
http://www.theguardian.com/technology/2015/jul/28/stagefright-android-vulnerability-heartbleed-mobile
http://www.androidcentral.com/stagefright
http://www.digitaltrends.com/mobile/android-stagefright-mms-hack-news/
在彩信中插入恶意小视频,系统会自动在用户看到前触发Stagefright,中招。
利用Android 5.1.1, build LMY48I系统更新。
开发者
开发人员坚持从官方更新开发工具, 保持干净的系统,安全意识很重要
团队提供稳定的网络环境,不只有利于团队人员的技术成长,更是打造竞争力产品的需要。
老话:安全,至关重要。
用户
设备购买
购买设备时,不只比拼硬件的参数,系统的持续更新能力不止体现在更多的功能,也表示更好的系统安全保证。
iOS
系统更新是包含在购买价格中的,全球所有用户都可以处于同一安全水平。
Android
选购Android比较复杂:
- Google的Nexus首选,纯净系统与最新最快的系统更新,不只需要硬件海淘,还要有稳定的科学上网能力;
- 次选MIUI,拥有系统的持续更新能力;
- 只使用Google Play市场,Google最有动力也最有实力保证市场中应用的安全性;
- 不Root,即使刷机后要把BootLoader重新锁上;
远程锁定和数据抹除
Android和iOS都支持找回手机功能,利用原理一样,设备检测到网络即报告自己的位置信息,已经有不少新闻报道提到通过这种方式找回了丢失的手机。同样的原理,移动设备在丢失后可以远程抹除数据
密码策略
开启2步验证
主力帐户,如 Google Account, Apple ID,支付宝,微信,LastPass等开启两步验证。即使密码泄漏,还需要手机验证码才能访问帐户。
2 step verification
apple id的保护:apple id, recovery key, password有两项才可解锁帐户,使用密码登陆时使用绑定手机或设备接收4位验证码。
密码管理软件
推荐 LastPass,推荐链接
类似于自家保险柜和银行保险柜的差别,不只是只记一个密码了,密码信息保护能力有了质的提升。
一个服务一个密码
登陆帐户无所不在,配合 LastPass 实施一个帐户一个密码,也不排队有异常能力的人可以通过一定的规则来人工实现这一增强机制。
浏览器
Chrome
简单就是最好,使用Google Chrome帐户同步,基于 Chrome 的安全快速特性,不只保持浏览器网页时的安全,也将浏览数据保护起来,如果设备丢失,
检测是否能远程删除同步数据
更多
恶意网页检测API
浏览器开发者可以利用 Google 的恶意网页检测API来增强用户浏览的安全性,让你的浏览器可以拥有和 Chrome 一样的安全网页检测功能。
Andorid 和 Chrome 的漏洞报告奖励
Android Rewards
https://www.google.com.sg/about/appsecurity/android-rewards/
Chrome Rewards
https://www.google.com.sg/about/appsecurity/chrome-rewards/
案例
应用泄露用户信息,因为应用加密做的很差,公开后才引起重视
https://www.larrysalibra.com/how-chinese-tinder-clone-screws-you/
https://www.larrysalibra.com/tantan-responds-promises-encryption/
