賽門鐵克公司日前公布了《移動設備安全初探：針對蘋果iOS和谷歌Android(安卓)平臺安全應用的檢測》白皮書。這份白皮書對目前兩款主流移動設備操作系統(tǒng)——蘋果iOS系統(tǒng)和谷歌Android(安卓)系統(tǒng)進行了深入的技術評估，從而幫助企業(yè)了解在公司內部使用含有該操作平臺的移動設備所面臨的安全隱患。

　　在所有分析結果中最重要的發(fā)現(xiàn)是，雖然當前這些最受歡迎的移動設備操作系統(tǒng)在設計之初都將安全因素納入考慮范圍，但它們在保護定期傳入移動設備中的企業(yè)敏感資產這一方面仍然做得不夠。更為復雜的是，現(xiàn)在越來越多的移動設備可以隨心所欲地與第三方基于云及桌面的服務生態(tài)系統(tǒng)進行同步連接，而這些均不受企業(yè)控制，并且很有可能讓企業(yè)的重要資產面臨更大的風險。

　　這份報告對蘋果iOS和谷歌Android(安卓)操作平臺的安全模式進行了詳細分析，并根據當前主要安全威脅對每款產品的安全性進行了評估。當前網絡的主要安全威脅包括： 基于網站和網絡的攻擊、惡意軟件、社會工程學攻擊、網絡可用資源和服務濫用、惡意和無意的數據丟失和對設備數據完整性的攻擊。

　　這份分析報告最后得出了一些重要結論：

　　第一，與傳統(tǒng)桌面操作系統(tǒng)相比，盡管iOS和Android(安卓)移動設備操作系統(tǒng)在安全性方面有所改進，但仍比較脆弱，無法抵御現(xiàn)有的很多類型攻擊。

　　第二，iOS所用的安全模式能有力地抵御傳統(tǒng)惡意軟件的攻擊，這主要得益于蘋果公司擁有嚴格的應用程序認證程序及軟件開發(fā)者認證程序，通過這些認證，每款軟件的作者都有相應身份記錄，有利于杜絕惡意攻擊軟件。

　　第三，谷歌的認證程序則沒有那么嚴格，它允許任何軟件開發(fā)者在匿名狀態(tài)下創(chuàng)建和發(fā)布應用程序，而無須接受檢測。缺乏認證是導致現(xiàn)在針對Android(安卓)的惡意軟件越來越多的原因。

　　第四，Android(安卓)和iOS用戶經常將其移動設備與第三方云服務(如Web日歷)和家用臺式電腦同步連接。這有可能在缺乏企業(yè)監(jiān)管的情況下，使儲存在這些移動設備上的企業(yè)敏感數據存在外泄風險。

　　第五，所謂的“越獄”設備，或者安全性能被禁用的設備，它們的安全性與傳統(tǒng)電腦一樣脆弱，從而常常成為惡意軟件攻擊的目標。

　　賽門鐵克安全技術與響應中心研究員及首席架構師凱利·納成貝格(Carey Nachenberg)表示：“當前的移動設備在安全性方面可以說是魚龍混雜。雖然在安全性方面，這些移動操作平臺比傳統(tǒng)電腦要強一些，但面對許多傳統(tǒng)的惡意攻擊時，它們仍然很脆弱。此外，越來越多的企業(yè)員工在使用未受管理的個人移動設備訪問企業(yè)敏感資源之后，又去訪問未受企業(yè)治理的第三方服務，這就使企業(yè)的重要資產面臨被攻擊的風險。”