1 概念
移动商务面临的挑战之一就是安全问题,计算机网络安全防护手段不完全适用于无线设备,因为无线设备仍然缺乏足够的内存和运算能力来运行大多数病毒扫描程序。最典型的例子是,目前还没有一款有效对抗手机病毒的防病毒软件。
一般用脚本语言来编写手机和PDA程序。但是,也可用同样的语言来编写病毒以攻击手机和PDA。例如,黑客通过用脚本语言写的病毒程序,可以拨打电话簿里的每个人,从而将病毒传播到那些电话中。
2 案例
(1).2000年6月,一个名为Timofoniac的蠕虫通过电子邮件快速蔓延,并进入西班牙的蜂窝电话网络,拨打恶作剧电话并在电话上留下文本消息。这个蠕虫并没有造成严重的损害,也没有感染手机,但是专家预测未来会有更多的病毒和蠕虫蔓延到手机。
(2).2000年8月出现了第一个在PDA设备上广泛流传的病毒。Palm掌上电脑用户以为自己正在接收一个名为Liberty的程序,该程序宣称可在Palm掌上电脑上运行任天堂GameBoy。他们接收的程序宣称可将免费的、进行了功能限制的Liberty GameBoy共享版本转换成完全注册版本。但谁都没想到的是,用户下载的是Liberty特洛伊木马,它能从Palm掌上电脑上删除所有数据。还有一个名叫Phage的病毒将攻击目标设定为Palm OS,它首度爆发时间是在2000年9月。用户使用红外线在设备之间传输程序和信息时,这个病毒也会悄悄地传输。Phage会改写Palm掌上电脑上存储的应用程序的代码,并将设备的文件长度减小一半。Phage是第一例专门攻击Palm掌上电脑操作系统的病毒,这会导致所有程序均告破坏。如有可能,Phage还会尝试禁用并删除设备上的所有数据。
3 分析
无线通信标准由于安全性不高,使得攻击成为可能。例如,1987年建成的GSM是欧洲和世界其他许多地区占主导地位的无线通信标准。使用GSM手机进行无线通信时,就很容易遭受黑客攻击。因出口管制而造成的一个GSM安全缺陷导致了大量加密设备的问世。
GSM手机如采用默认设置,是不包括加密功能的,因为联合国不允许将加密技术出口到被制裁的国家。但在非制裁国家,GSM手机却配备了语音和数据加密技术。另外,GSM基站不要求进行身份验证,这就为GSM通信带来了安全方面的隐患。黑客完全能自己建立一个假冒的基站,以便拦截来自合法基站的通信。例如,一旦假冒的基站拦截到一个用户呼叫,这个基站就可将一个信号发送给被攻击者的手机,伪称电话基于一个被制裁的国家。结果就是,整个通信将采用明文形式进行。未加密的消息可被任意修改,从而破坏了消息的完整性和保密性。这种类型的攻击称为“中间人攻击”,无论无线设备还是真正的基站,都注意不到它们之间还有一个假冒的基站。虽然建立假冒基站会花费可观的时间,而且要求非常高的技术水平,但基站缺乏身份验证以及缺乏统一加密标准的现实,确实对GSM通信的安全性产生了严重的影响。
4 解决
无线设备仍然缺乏足够的内存和运算能力来运行大多数病毒扫描程序。许多防病毒软件都安装在PC上,要想对无线设备进行查毒,必须使无线设备与PC同步。这样并不能完全保护无线设备,因为用户在载入软件之前,通常并没有事先进行病毒扫描。
传统的计算机防病毒厂商在设计无线设备的安全防护软件时一定要考虑无线通信的特点和限制,不能照搬传统桌面电脑的经验和技术。无线领域的安全防护之路还有很长的一段探索阶段,这必将影响移动商务应用的展开和普及。随着3G和WLAN新无线标准中集成了无线安全协议和机制,我们有理由期待移动商务的美好未来。
七、移动商务与个人隐私
制定移动商务战略和开展应用时,必须考虑到用户的个人隐私问题,人们不愿意冒着泄露个人信息的风险从事电子商务应用,更何况是在全新的无线移动环境下。
1 来源
无线通信的主要优势是能够提供基于地理位置的服务。定位技术能使无线运营商为紧急救援人员和其他团体提供非常精确的用户位置信息。这类信息使出现紧急情况的个人、无线广告客户和消费者受益匪浅,但同样引发了人们对隐私问题的关心。这是因为,无线位置跟踪技术能使他人知道用户的活动,包括他们什么时候要去什么地方,在目的地停留多长时间等。时间一长,就能通过收集到的这些信息分析出用户的习惯。电子商务便通过这类信息来定制产品、服务、网站或员工交互的方式。有了消费者档案,商家就能通过电子邮件向他们进行具有针对性的营销。此类定制对个人隐私究竟有多大影响,是很难预测的。
2 技术
这种收集和使用数据的方式称为数字化排除(digital redlining),是指公司根据个人过去的行为来向他发送广告。这种方式可能会限制消费者选择其他产品的能力。
目前,用于收集用户信息的协议称为可选策略(opt-in policy),也就是用户同意他人收集自己的个人信息以收取对方发送的特定内容。有时,商家会安装一个双选策略(double opt-in policy)。双选策略要求用户先申请信息,然后回复电子邮件进行确认。从理论上讲,这种方式能更好的保护用户的隐私。此外,撤选策略(opt-out policy)能使一个公司向消费者发送营销信息,直到某个消费者要求删除为止。
3 解决
迄今为止,还没有具体的法规规范无线定位技术的用法。行业领先者和政府担心相关法规会减慢无线行业的发展。但综合各方面的因素,业者显然迫切需要制定严谨的安全度量标准来防止定位技术的滥用。为解决隐私问题,移动通信及互联网协会(CTIA)制定了一套保护消费者隐私的指导方针:
(1)商家在确定消费者位置时,应该提醒他们;
(2)可选策略应作为标准,表示商家应告知用户通过提供个人信息来换取服务,并允许用户自行选择;
(3)消费者应能访问他们自己的信息;
(4)所有消费者应享有同样的隐私保护,不管运营商是谁,以及消费者使用的是什么设备。