手指敲密碼動作可被視覺新技術破譯、淘寶上竟可買到偷iPhone隱私的充電器、移動支付成安全攻防的新戰場……在9月24日至25日召開的2014中國互聯網安全大會(ISC2014)上，移動安全分論壇格外引人關注：移動安全問題日益緊迫，已成為可怕的“黑洞”。

　　敲密碼動作可被視覺新技術破譯

　　近期被曝光的蘋果“后門”事件，令移動安全問題成為公眾關注的焦點。在移動安全分論壇上，美國馬薩諸塞大學羅威爾分校付新文教授做了題為《無數雙“眼睛”都看到你的密碼啦!》的演講。付新文表示，“智能設備在我們的生活中無所不在，很大一部分智能設備都配有相機，但這些相機可能會被惡意使用，窺覷我們的隱私。”

　　在演講時，付新文通過手機攝像頭，采用識別觸摸幀、獲取Homography矩陣、定位觸摸指尖、估計觸摸區域、識別觸摸鍵等7個步驟獲取賬號密碼等關鍵信息。令人震驚的是，這種通過攝像頭發起的攻擊方式成功率相當高。付新文半開玩笑地說，“用iPhone向iPad發起攻擊，獲取賬號密碼的成功率是100%，可見iPhone的攝像頭還是很不錯的。”

　　由于這種攻擊方式非常隱蔽，而且成功率比較高，因此民眾應當具備一定的防護措施。付新文表示，智能隱私提升鍵盤(PEK)就是一種可行性比較高的防護方式。這種鍵盤只有在輸密碼時彈出隨機鍵盤，這樣可干擾黑客對觸摸鍵盤位置的判斷，極大降低安全隱患。

　　可偷iPhone隱私的充電器

　　360移動安全研究員高雪峰在演講中向大家揭秘了一個更令人震驚的消息，淘寶上可以買到偷iPhone隱私的充電器。高雪峰介紹說，iPhone手機特別是越獄手機的通話記錄、照片、賬戶密碼等都可被輕松獲取，而這種利用蘋果后門的充電器造價十分低廉。

　　高雪峰提醒，通過蘋果最近被曝光的后門，可以制作出一款“邪惡”的充電器。用這種充電器給手機充電時，僅需從燈亮到燈滅的短短十幾分鐘時間，手機中的數據就通過一些底層通訊軟件被竊取到“充電器”中。嚴重的是，手機還會被隱秘安裝軟件，無需經過使用者的允許。

　　演講最后，高雪峰還展示了一款可以安全充電的充電器，據介紹，這款充電器將USB數據線中交換數據功能的線去掉，只保留一條充電線，這樣手機用戶在公共場合使用充電樁時也不用擔心隱私內容通過蘋果后門被不法分子偷走了。

　　移動支付成安全攻防的新戰場

　　移動支付的出現優化了人們的生活質量，隨著物聯網普及、移動互聯網應用和商業模式的不斷發展，移動支付的需求形式也變得多種多樣，但移動支付安全問題也給公眾帶來了很大的困擾。

　　為什么要格外重視移動支付安全?中國嵌入式系統產業聯盟秘書長助理申子熹認為，由于犯罪成本的低廉以及網站安全漏洞等，移動支付已經成為安全攻防的新戰場。

　　“移動支付與網上支付的區別在于支付的形式發生了變化，但支付邏輯與驗證邏輯并沒有發生質的飛躍。移動支付在腳本框架、業務邏輯、社會工程以及傳輸驗證方面都存在不同的安全風險。”申子熹指出，“但支付行業信息安全法律尚不健全，安全事件無法可依。”