賽門鐵克公司日前公布了《移動設(shè)備安全初探:針對蘋果iOS和谷歌Android(安卓)平臺安全應(yīng)用的檢測》白皮書。這份白皮書對目前兩款主流移動設(shè)備操作系統(tǒng)——蘋果iOS系統(tǒng)和谷歌Android(安卓)系統(tǒng)進行了深入的技術(shù)評估,從而幫助企業(yè)了解在公司內(nèi)部使用含有該操作平臺的移動設(shè)備所面臨的安全隱患。
在所有分析結(jié)果中最重要的發(fā)現(xiàn)是,雖然當(dāng)前這些最受歡迎的移動設(shè)備操作系統(tǒng)在設(shè)計之初都將安全因素納入考慮范圍,但它們在保護定期傳入移動設(shè)備中的企業(yè)敏感資產(chǎn)這一方面仍然做得不夠。更為復(fù)雜的是,現(xiàn)在越來越多的移動設(shè)備可以隨心所欲地與第三方基于云及桌面的服務(wù)生態(tài)系統(tǒng)進行同步連接,而這些均不受企業(yè)控制,并且很有可能讓企業(yè)的重要資產(chǎn)面臨更大的風(fēng)險。
這份報告對蘋果iOS和谷歌Android(安卓)操作平臺的安全模式進行了詳細(xì)分析,并根據(jù)當(dāng)前主要安全威脅對每款產(chǎn)品的安全性進行了評估。當(dāng)前網(wǎng)絡(luò)的主要安全威脅包括: 基于網(wǎng)站和網(wǎng)絡(luò)的攻擊、惡意軟件、社會工程學(xué)攻擊、網(wǎng)絡(luò)可用資源和服務(wù)濫用、惡意和無意的數(shù)據(jù)丟失和對設(shè)備數(shù)據(jù)完整性的攻擊。
這份分析報告最后得出了一些重要結(jié)論:
第一,與傳統(tǒng)桌面操作系統(tǒng)相比,盡管iOS和Android(安卓)移動設(shè)備操作系統(tǒng)在安全性方面有所改進,但仍比較脆弱,無法抵御現(xiàn)有的很多類型攻擊。
第二,iOS所用的安全模式能有力地抵御傳統(tǒng)惡意軟件的攻擊,這主要得益于蘋果公司擁有嚴(yán)格的應(yīng)用程序認(rèn)證程序及軟件開發(fā)者認(rèn)證程序,通過這些認(rèn)證,每款軟件的作者都有相應(yīng)身份記錄,有利于杜絕惡意攻擊軟件。
第三,谷歌的認(rèn)證程序則沒有那么嚴(yán)格,它允許任何軟件開發(fā)者在匿名狀態(tài)下創(chuàng)建和發(fā)布應(yīng)用程序,而無須接受檢測。缺乏認(rèn)證是導(dǎo)致現(xiàn)在針對Android(安卓)的惡意軟件越來越多的原因。
第四,Android(安卓)和iOS用戶經(jīng)常將其移動設(shè)備與第三方云服務(wù)(如Web日歷)和家用臺式電腦同步連接。這有可能在缺乏企業(yè)監(jiān)管的情況下,使儲存在這些移動設(shè)備上的企業(yè)敏感數(shù)據(jù)存在外泄風(fēng)險。
第五,所謂的“越獄”設(shè)備,或者安全性能被禁用的設(shè)備,它們的安全性與傳統(tǒng)電腦一樣脆弱,從而常常成為惡意軟件攻擊的目標(biāo)。
賽門鐵克安全技術(shù)與響應(yīng)中心研究員及首席架構(gòu)師凱利·納成貝格(Carey Nachenberg)表示:“當(dāng)前的移動設(shè)備在安全性方面可以說是魚龍混雜。雖然在安全性方面,這些移動操作平臺比傳統(tǒng)電腦要強一些,但面對許多傳統(tǒng)的惡意攻擊時,它們?nèi)匀缓艽嗳酢4送?,越來越多的企業(yè)員工在使用未受管理的個人移動設(shè)備訪問企業(yè)敏感資源之后,又去訪問未受企業(yè)治理的第三方服務(wù),這就使企業(yè)的重要資產(chǎn)面臨被攻擊的風(fēng)險。”