主题：【原创】要命的手机 -- forsake

冯小刚导演的《手机》，绝对是一部现实主义巨作。电影散场，看到老婆似笑非笑，若有所思的表情后，不知道有多少人会脊骨发凉，多少人会做自己手机内容曝光的恶梦？而巨作之所以是巨作，不仅仅在于刻画现实，还在于预测未来：8年后的今天，手机的要命程度，绝对是有增无减。我们要保护的，除了暧昧短信以外，还多了私密的照片视频、公司机密、上网记录等等。若是手机钱包和手机银行普及，一旦口袋里的那个小祖宗有个什么三长两短，我们的下场可能不仅仅是众叛亲离，甚至连辛辛苦苦攒下来的那点家当都保不住。

悲哀的是，尽管手机功能越来越强，存储量越来越大，界面越来越漂亮，安全问题却越来越多。我们要时刻警惕的对手，除了街上横行的小偷，公司里的同事，甚至家里的那口子以外，还多了两幅新面孔：

一、木马病毒。既然智能手机本质上就是一台电脑，那么PC常有的问题，手机也跑不了。现在大家玩手机，早就不是打打电话发发短信而已，更多的是看电子书、上网、玩游戏。虽然时髦的说法，管这些玩意儿叫应用（apps），不叫软件程序，但风险可没什么区别。就拿流行的两款手机系统来说吧：Android的宗旨就在于开放，鱼龙混杂自然难免。Google办的菜市场，也只是事后审查，而非事先预防。更何况，不通过菜市场，仍然可以安装软件。iOS呢？苹果不近人情的事前审查制度，确实安全了不少——但你要是越狱安装破解软件的话，风险可就大多了。就算老老实实不越狱，现在Apple Store上的应用已经超过了四十万，再加上每个应用前后的更新版本，这么庞大的群体，苹果真的能保证毫无问题吗？

二、通讯窃听。手机使用的各种无线网络，风险天然就比有线连接来的大。解决办法也只有通过加密传输，而加密自然就可能被解密。当然，一个好的加密算法，可能窃听者要花上几十年的时间来解密——对破解者来说并不划算。但问题是：实际应用中的加密算法，真的完美么？就拿手机最常用的GSM网络来说，其中的算法漏洞就被人诟病多时。最近的2010年12月，一个叫Karsten Nohl的家伙还展示了自己的破解过程——不用几十年，20秒就可以了。所需设备也不贵：一台上点档次的电脑，再加三千美元左右的无线设备而已。不过，好在这哥们是个善良的研究员，破解只是兴趣，不会真的拿来实用。但要指望所有的破解者都是小白兔而不是大灰狼，恐怕不太靠谱。

问题有了，怎么防范？木马病毒么，还就是计算机上的老一套：装个杀毒兼防木马的的软件会有些用。但道高一尺魔高一丈，更重要的还是安全第一：不轻易尝鲜，不要从来历不明的地方下载，至于越狱破解——您就看着办吧。通讯窃听？这事儿就难一些。我们能做的，主要是防范危险网络——首当其冲的就是那些不加密的 WIFI。在家里别嫌麻烦，一定要给无线网设密码；出门别贪便宜，见到开放的WIFI就往上冲——万一有姜太公，您岂不就是那条鱼？除了防范以外，我们能做的也就不多了。剩下的，主要还是靠手机服务商完善加密协议，警察叔叔打击犯罪分子，来保障我们的通讯安全。

说到警察叔叔，人家最头疼的恐怕不是这些高科技犯罪。真正麻烦的，还是手机失窃问题。确实，丢手机实在是太普遍了。解决办法也只能从两方面下手：事前预防和事后处理。

事前预防。什么把手机藏好掖好眼观四路耳听八方之类的咱就先不说。一个有趣的高科技，是利用感应芯片的原理，把一块很小的芯片贴在你的钥匙链、纽扣或是其他随身携带的东西上，另一块安在手机里。这样，一旦手机离开你设定的范围，就能自动发出警报——这还是很有震慑力的。当然，实用起来，总会有各种麻烦，比如一旦误报会很吓人，尤其是你在开会或花前月下的时候。

手机丢了又该怎么办？当然你可以报警，但找到的概率……你懂的。其他办法呢？大概出不了锁死、定位以及删除信息这几样，提供者要么是手机网络服务商，要么是软件开发商，要么是手机生产商。

网络服务商的问题是功能有限制。无论什么锁死定位的花样，基本上都是要通过SIM卡来实现，对现在的智能手机，SIM卡早已不是存储信息的地方，小偷只要扔掉原来的SIM卡，运营商们也就没辙了。

防盗软件会好一些。无论有没有SIM卡，只要被激活，锁死报警的功能都有，实在不行还能把所有信息通通删除，SIM，SD，甚至硬盘一个不漏。但软件的问题在于……它只是软件而已。小偷如果不开机甚至拿掉电池，把SD卡或硬盘拆下来，再放到电脑上读取和破解——你的爱机和秘密，也就只能任人鱼肉了。

因此，理论上最完美的防盗方案，应该是由生产商出面，整合了软件、操作系统以及硬件的全方位服务。其中，软件负责报警，操作系统负责锁定和数据加密，硬件负责身份识别。设想这样一部手机：开关机或解锁需要指纹识别；不当操作会引发警报或锁死；数据是以加密的形式存储，即使被拷贝到其他电脑上，破解也需时日……这怎么听起来像某家山寨手机的广告？别说，山寨手机商们还真摸准了客户的安全需求。但可惜的是，由于研发能力的欠缺，导致山寨机们的实际功能根本达不到宣传：指纹识别系统不独立，容易被破解或直接跳过；数据加密不完整；更悲剧的是，由于操作系统被改动，导致手机不稳定，死机频繁。

研究能力不足，对操作系统缺乏控制力，其实不只是山寨商的悲剧，众多大名鼎鼎的手机商也有同样的问题，只是程度不同而已。一个小小的防盗功能，看起来简单，需要的可能是软硬件级别的全新架构，以及操作系统良好的整合能力。黑莓自然会搞，可惜人家主要是面对商业用户的。而大众市场里，能独立完成这项任务的，也只有苹果。它为什么不做？至少从目前来看，iPhone更注重于用户的体验：界面、功能和速度。当然，乔布斯也有自己的想法。去年，苹果就静悄悄的申请了几项专利，其中包括根据声音、长相甚至脉搏来辨认用户身份，根据手机振动频率来判断行为模式等等有趣的功能。目的是什么，不言而喻。不过，这些技术什么时候可以实际出现在我们的手机上，就只有天知道了。

还好，可以聊以自慰的是，就算没有苹果，一个完善的手机安全系统也迟早会出台：它背后的市场太大了。独立完不成，就会有联盟出现。作为用户，我只能祈求各位厂商大佬：在手机越来越要命的今天，您动作能再快点儿吗？

我的互联网日记系列：

索引地址

• 【整理】我的互联网日记索引

引子：我这个人一直没多大理想。搞这个日记也是前几天脑袋一拍的结果，目标是尽量做到一日一记，对当下IT界新闻发些议论和牢骚。我自己实际研究的领域（在线信誉系统）其实很窄，这意味着绝大部分的话题我都是外行看热闹。疏漏是难免的，错误是必然的，能得到指正和探讨，我会非常感激。

好了，闲话少说，上索引：

【2011-1-26】电驴请走好

【2011-1-27】地上有神马，天上有浮云计算

【2011-1-28】不上市，上物流

【2011-1-29】搜索还有未来么？

【2011-1-30】一个数字演员的修养

【2011-1-31】我们到底有多懒

【2011-2-2】智能手机：浪花淘尽英雄（上）

【2011-2-3】智能手机：浪花淘尽英雄（下）

【2011-2-4】IPv4，您终于老了？

【2011-2-5】手机银行：你的手机，银行的牵挂

【2011-2-7】报纸：在线还是不在线？

【2011-2-8】要命的手机

【2011-2-9】八百美金的一刀

【2011-2-11】过街老鼠？

【2011-2-14】Google：重回1998？（上）

【2011-2-15】Google：重回1998？（下）

【2011-2-21】团购：简单还是不简单

【2011-2-22】挥泪斩卫哲

【2011-2-28】Twitter：为稻粱谋

【2011-3-2】Facebook的一小步（上）

【2011-3-2】Facebook的一小步（下）

【2011-3-8】网络隐私：事无不可对人言

【2011-3-24】数字版权：卖文为生？

• 【原创】Google：重回1998？（上）
• 【原创】团购：简单还是不简单
• 【原创】Google：重回1998？（下）
• 【互联网小日记2011-1-26】电驴请走好
• 【原创】网络隐私：事无不可对人言
• 【原创】挥泪斩卫哲
• 【原创】八百美金的一刀
• 【原创】数字版权：卖文为生？
• 【原创】Twitter：为稻粱谋
• 【原创】过街老鼠？
• 【原创】要命的手机
• 【原创】Facebook的一小步（上）
• 【原创】Facebook的一小步（下）

我不用信用卡，省得对账。10K以下都用现金，10K以上刷卡。

其实可以用一张不能透支的储蓄卡专用于小额支付的。

不开通网上银行手机银行电话银行。

不用QQ，MSN。找我就只有电话和EMAIL。

我没有淘宝帐号，买东西都叫别人代劳。因为很多同事卡太多刷不过来。

世界真的很清净。

不过，将来怎么办？这年头，不跟潮流，不就落后时代了吗？

大概是预先设定后，如果丢掉了，可以找到它的位置，而且可以自己选择是否删除里面的内容。具体没试过。

怎么实现上，有一点想不通：是不是在用户设定后，必需在线才能开机，否则别人找个没网络的地方开机，原主在网络再怎么设定，也控制不了丢掉的机器。

怎么样才能达到一个完美的解决方案，这个难度恐怕会很大。印象中我的WINDOWS VISTA，在并行安装了linux后，在linux下完全没有任何安全可言，所有内容都能看到，哪里管得windows的用户管理。

所以，真正的安全，我觉得，在某个操作系统下的文件系统，必须是没有这个操作系统你就读不了才行。如你所说，得全方位，互相依赖，这样才不至于被拆了一个东西，就能单独破解。

系统里没找到……

确实有相关的antitheft软件。当你密码连续输入错误时，就会报警或删除信息。

这种软件在iOS还只能支持单任务的时候就是鸡肋：你要开着它，就什么事儿也干不了。iOS4以后就好多了。不过还是我说的，软件就是软件，绕过去不难。

文件加密，这真就是操作系统+硬件层面支持的才行。

手机不怕偷就行了，手机将来就值几毛钱。数据全在云上，打开就算显示地址本都是通过网络传来的。这样就跟银行卡一样了，解决好本地加密访问和银行安全问题就行了。我上月钱包被偷了，后来扫地大婶根据里面的名片找到我找回来了。里面的现金公交卡都没了，但是银行卡证件全在，小偷都不要，什么时候手机成了银行卡一样的东西就行了。

只是我突然发现潮流和我没什么关系嘛。

所谓的文明世界中所谓重要事情根本就是毛都不算一个嘛。

开发过IM软件之后就不用IM了。为何？我虽不排斥用IM沟通，但IM的使用成本太低导致通过IM而来的信息垃圾居多。比如不过脑子的提问等等。用邮件至少提问的人还要过一下脑子组织一下语言。同样道理，在公司里面用内部电话和我说事情一般我也不理，会叫对方过来面谈。

大学时候大家说要学跳舞以便泡妞（91年），我拒绝跳舞也一样交女朋友啊。

毕业以后大家说要注意形象以便泡妞，我一贯猥琐也一样找老婆啊。

不用QQ并不妨碍我当年设计的一套QQ泡妞攻略广受色狼赞誉。

我的原则是有空可以了解了解，但是了解之后发现没多少东西对我有吸引力。我自己想玩的东西还玩不过来呢。

可能我是过于自恋一点了。我感觉我和大多数人的区别在于，虽然我愿意去了解别人，但是一点也不在意别人是否了解我。了解更好，不了解也无所谓。

开机后10次输对密码的机会，错了之后，机器是你的，数据是上帝的。

当然也不是牢不可破，所有的加密都是能解的，要的只是时间和金钱上的投入就是了，但一般毛贼也没那个心情玩解密再一封封看你的邮件，里面没有存个艳照啥的人家把机器一格就卖钱去也。

目前用着150元的Nokia手机。就打个电话，发几个短信。就一张信用卡。基本不消费。主要是出差用。

买过很多电子产品，HP4700, HP TC1100,E-ink的电子书，Nokia E62, HD2，Wii 什么的。但是近来反思这些东西并没有给我带来什么好处。反而是浪费了很多时间。现在感觉不是用机，而是玩机，或者被手机玩。

或许是老了。

BlackBerry可能适合你。手机本身加密存储、传输信息加密、丢失手机远程执行删除信息操作。他自身的安全性还是很强的，据说达到军方的什么密级了。奥巴马，总统，用的特制版的黑莓。

iPhone4也有远程定位和远程锁定、删除功能。

另，一般大企业部署的移动通信系统，你考虑的问题他都考虑了，目前两大服务提供商有黑莓和微软，企业级的安全解决方案。面向个人的服务只有黑莓和诺基亚提供，都是收费的。

黑莓到国内为什么月租费很昂贵，并不是通话费很昂贵，而是黑莓的个人服务很昂贵。

话说回来，您个人有什么值得别个盗用的信息？信用卡、短信、上网记录，有很多地方可以泄漏，个人电脑中个木马啥也漏了。对手机这种移动设备过分要求保密性，请您加入CIA或者FBI吧，他们保证您的所有信息都是安全的。

假设，假设，未来，一切都嵌入到人的大脑里面去了，生下来就植入一个芯片，所有认证靠脑电波直接完成，是够安全了，但是也沦为了matix里面的一个人肉电池，对不？

名字叫find my iphone,好像能实时对你的iphone进行定位。前些天新加坡警方用这个软件帮失主找回了手机。网上新闻有过报道。

Linux 用cryptsetup-luks 加密分区，挂载时输入一次密码，以后透明使用，没密码那个操作系统看到的都是乱码。

也可以安装系统时选择加密整个硬盘。

不过速度还是个问题。现在的数据量不小，大家耐心又不足，传输产生的延迟时间会让很多人无法接受。当然，将来带宽提高，问题可能会改善。

折中的办法可能是只把机密信息存在远端，大量不那么重要的还是放在本地。

安全是需要成本的。普通用户对自己的信息安全肯定没有商业用户来的重视，也就不愿意出多少钱来买安全。

不过，手机扮演的角色会越来越重要，超过个人电脑也是迟早的事。这小玩意儿又比电脑更不安全，其中的市场前景还是很有看头的。