网络通信 频道

手机安全危机:苹果操作系统与安卓比较

  近年来,苹果公司已经销售了使用iOS操作系统的近100万部iPhone手机和iPad平板电脑等设备。截至2011年6月,谷歌报告,每天超过50万的基于安卓系统的设备被激活。所有这些智能手机和平板电脑的用户使用它们做更多不仅仅是打电话和记笔记的功能,许多这些小玩意儿也来来回回游走于企业网络端点。这让我思考这些设备可能危及企业安全的风险。

  赛门铁克已经思考到了这个同样的问题,并且给出了一些很好的解决方案。你可以阅读安全厂商的白皮书“通向移动设备安全的窗口”。本文提供了一个苹果iOS和谷歌的安卓平台所采用的安全模型的详细分析。如果你想了解在企业中部署这些设备的安全风险,这将是一个重要的信息来源,赛门铁克已经陈述了每一个平台为了捍卫自己免除当今所面临的威胁而所采取的有效措施。包括滥用基于Web的资源可用服务,恶意和无意的数据丢失,以及对设备的数据完整性的攻击。

  虽然这些手机的操作系统是明确的安全考虑而设计的,iOS操作系统和Android设备面对多种攻击都是很脆弱的,尽管我们我们可以调用设备的电话,他们是真正强大的计算机,但是和任何其他计算机上一样都面临同样的问题,例如,你有没有考虑到你的智能手机可能会成为一个可以用来发送垃圾邮件的僵尸网络的一个节点?或者是参与到DDoS攻击之中?是的,这样的事情是会发生的。

  赛门铁克告诉我们,iOS安全的模型提供了强大针对传统的恶意软件的保护程序,主要是由于苹果的Web服务中的沙箱以及供应商的严格应用和程序开发人员认证过程。即使超过30万部iPhone的应用程序和6万个 iPad应用程序,苹果试图在审批每个软件作者的身份从而淘汰恶意编码。另一方面,谷歌,已经选择了一个不太严格的验证模型,允许任何软件开发人员匿名创建和发布应用程序而不检验的。这就可以解释,这种缺乏验证会引起安卓特定的恶意软件的迅速扩散。(见“恶意软件作家搜寻谷歌安卓”)

  那么已经从内置操作系统的保护中“越狱”出来的设备怎么样呢?自然地,他们也进一步加剧了安全性和风险问题,因为它可能获得途径进入这些设备,使攻击者对他们更有兴趣。

  即使这些移动操作系统到他们的基础架构时时安全的,当个人拥有的这些设备被用于购物或者是企业目的的时候,上面所提到的风险就会更加严重,赛门铁克安全响应中心研究和开发经理Marc Fossi指出,现在的移动设备越来越多地连接到并且同步于第三方云系统以及基于桌面的服务器(如应用程序商店),这就超出了公司所能控制的范围。这种这种通过电话公开企业的资产的行为增加了企业的危险,例如,通过邮件信息表的地址会不断地收到垃圾邮件。

  再多的自带安全措施也不能够防御社交系统的攻击,如网络钓鱼,设备的用户通过使用自己的智能手机在网络上获取很多的信息,从发邮件到社交网络,人们通过便携的设备参与网路活动和通过他们的笔记本或是台式电脑上网是一样的,都很脆弱,容易受到攻击。所有它需要的是用户由于判断失误而登录他们的网站泄露了自己的敏感信息。或者是点击了暗含木马程序的链接。这可以让黑客可以对设备进行访问,当这个设备是家庭和企业计算机网络同步使用时,黑客就可能通向更广泛的企业网络。

  网络钓鱼不但影响消费者而且影响企业用户。在这两种情况下,防止这些攻击的意识是必不可少的。就像赛门铁克的Fossi指出,“你可以不打补丁防止网络钓鱼的。” (见“不要打开该电子邮件!如何减少网络仿冒的风险”以及“一个增强员工关于网络钓鱼意识的聪明方法”)

  Fossi表示,更好的移动安全要归结到政策的强制保护。在可能范围内,组织需要对这些智能设备扩展其企业网络的政策。有些公司选择完全锁定的设备,就像他们将一台笔记本电脑或台式设备。其他公司则没有这么严格的,对于个人用途和公司用途的的只能手机允许灵活使用。下周回来我将介绍一些政策强制保护的选项。

  很明显,对于这些面向消费者的设备有一个平衡行为。真正的挑战是公司有能有的对于这些设备的可用性以及在保证安全的同时这些设备所能为公司带来的生产力。

0
相关文章