浅谈手机信息安全: 与人类同在的千年虫、日常备份与紧急恢复

移动设备的数据安全一直是非常欠缺厂商普及, 在用户层面又被广泛忽视的问题. 甚至由于一些人利益导向的错误宣传, 而使普罗大众对数据备份、隐私保护和系统安全更新产生了错误认识. 

手机也不仅再是存储照片、电影、通讯录, 从基本的支付宝、微信、PayPal 等移动支付账户, 到交通卡、NFC电子工卡、FeliCa, 再到公民身份认证、电子护照, 还有记事本、Music Memos、iMovie 这些创作记录, 绝对是当下移动信息安全最关键的一环.

而说到今天引爆三星手机用户群的日期库错误导致固件崩溃的事件, 即是看似远古却始终绕不开的「人造千年虫」: 历法、时计与本地化问题. 比如说, 近邻日本就在去年经历了一次年号变更导致的信息系统维护的大考. 更平常的则是欧美国家的夏令时/冬令时转换以及时区换算的问题. 小到钟表、计算器、手机, 大到国有银行、航空航天, 都需要精准的时间换算.

这次三星手机面临问题的根本原因在于三星电子对本地化重视的不足和中国区 One UI 潜在的QA问题.  从此出发, 我们也能明白定期的数据备份和恢复对于设备安全的重要性.

日常备份: 局部迁移、全局增量备份、云备份和云安全

对于小容量的手机, 应该定期整理照片、视频和媒体文件, 这不仅是清理内部空间, 也是为这些日常重要数据做异地备份. 另外, 像照片、iTunes 曲库等元数据丰富的媒体类型, 还可以通过 iCloud 或 Mac、iPad 的本地机器学习进一步整理, 也是更好地利用了资源.

全局增量备份更是必不可少. 对于 iPhone 和 iPad 备份, 每月6元付费升级至 iCloud 60GB 容量会非常划算, 200GB每月23元, 满足 Mac Desktop 接入. iCloud 会在设备空闲、接入 Wi-Fi 且充电状态下自动备份. Android 厂商也会提供云备份服务, 包括三星的云备份. 这就需要在售前为用户尽好宣传义务, 并且在账户注册上提供更便捷的选项.

另外, Google Drive 也会为 Play Protect 设备提供额外的 Google 备份. 

而 Apple 除了 iCloud 备份, 还提供了更多安全易用的服务:

  • Health.app 支持 iCloud 加密备份, iCloud 全局备份暂不支持加密
  • 钥匙串与密码建议: 复杂密码、本机存储, iCloud 钥匙串支持AES-256.
  • Apple ID 2FA: 双重认证的动态鉴权和登录提醒.
  • 记事本笔记上锁
  • iMessage: 通信双方加密传输. 以及由此被利用的 group message junk.   

基本安全备份: 本地加密

这是你的新设备开箱至数据迁移、设置完成后要做的最后一项工作. 这个基本备份将为日后的本地手动固件更新作数据备份, 可以看作最后的安全保障.

iTunes 和 Finder 都提供 iOS 设备的加密备份, 且加密备份不可随意调取. Samsung Smart Switch 桌面端也提供本地加密备份, 对于这次事件, 可以保证你的手机从维修商取回或自己刷入新固件后快速恢复重要数据.

厂商的责任、消费者的认识与实践

实践表明, 信息安全保护度最低的群体正是对数字设备了解不足的群体, 他们中的很大一部分或许曾对计算设备抱有敌意, 或相信计算机网络会对隐私安全造成极大侵害. 这就表明了厂家在安全意识普及的必要性. 以及如何将数据安全和保护隐私做到易用、渗透到产品的各个方面.

三星手机的问题体现了本地化努力、软件质量检测和规模性/非典型测试的重要性. iOS 11.1时系统稳定性颇受诟病, 也出现了计算器的低级问题; iOS 13面对大大小小的稳定性问题也是频繁修补, 也是体现了软件更新对增强硬件安全性的重要性. 软件更新整体上仍就提升了设备性能, 同时新API也促使开发者紧跟脚步, 利大于弊.

我不否认三星手机在硬件设计上的领先, 我的 Galaxy S9+ 讲 spec 今天也不过时. 然软件性能、响应速度和设计品位削减了硬件表现. 而从众所周知的事件中, 也反映了三星售后与客户服务上的严重缺位和管理层非「人本位」的心态问题. 纵观其他 Android 厂商, 我可以理解由于硬件适配压力而导致的 Android 大版本更新延迟, 而反过来, 这也体现了 iPhone 在长期使用中的核心价值.