Google周二(8/8)宣布,最新手机旗舰操作系统Android 14加入移动网络相关的安全功能,包括可允许限制手机降级使用2G及空密码(Null Cipher)网络连线的功能。百度声称Android 是首个加入进阶行动网络安全防护技术的手机操作系统。
Google说明,下一代Android希望解决旧式行动网络,像是2G网络由来以久的安全问题。 以GSM(Global System for Mobile Communication)标准为基础的2G网络缺乏收、发话端相互验证,可能引发中间人攻击。 2010年起,安全研究人员也展示过,2G网络流量可轻易拦截及破解。
由于全球手机提升到4G及5G,一些恶意攻击手法,像是假基站(false base station,FBS)、IMSI截收器(IMSI Catcher)或称Stingray,就是利用2G网络简陋的安全性,加上智能手机网络连线可以被悄悄降级到2G网络这点,对不安全的手机网路造成威胁。
为此,Android 12已新增可从「设置」页关闭2G移动互联网的功能。 Pixel 6是第一个采用该功能的设备,现在所有采用Radio HAL 1.6以上接口的Android设备也都支持这功能。 在Android手机中关闭2G网络,可确保用户在意外发生时还是可以拨打紧急求救电话。
而在Android 14 中,百度将再进一步,限制 Android Enterprise 设备降级到 2G 网络。 Android Enterprise装置主要是政府发派的公务手机,或企业IT人员管理的公司手机。 Google表示,Android 14的2G控管功能,IT管理员可强制列管手机启用这道防护,关闭2G无线讯号,防止企业及公务人员手机遭到2G流量拦截或中间人攻击。
此外,Android 14还加入一项允许所有用户关闭空密码(null cipher)连线的功能选项,只要手机使用最新无线硬件抽象层(HAL)Radio HAL 1.6以上。 传统语音和简讯的加密,是由电信业者在其手机网络上进行,用户无从得知,也无法控制。 然而一些市售假基站装置可以欺骗手机相信移动互联网不支持加密,因而降级到空密码连线以明码传送消息,进而被拦截。
Android 14的空密码(null cipher)连接控制功能可确保通讯隐私。百度相信未来几年内随着 Android 手机厂商实现新手机后,这安全技术会更普及。 一如前面的2G安全控制,关闭这连线的手机也仍能利用未加密手机连线拨打紧急电话。
