風(fēng)險對于企業(yè)來說是不可回避的,高層管理者們需要保持足夠的警惕和重視。在本文中我們將著眼于與企業(yè)移動設(shè)備相關(guān)的主要風(fēng)險,包括對于設(shè)備本身以及這些設(shè)備中運(yùn)行的應(yīng)用程序存在的風(fēng)險,企業(yè)在確定適當(dāng)?shù)膶Σ咧皩︼L(fēng)險有一個清楚的了解是必要的。
影響移動設(shè)備的安全風(fēng)險分為兩類:
設(shè)備風(fēng)險:這是建立在今天的智能手機(jī)和平板電腦其實(shí)是一種新型的擁有本地和云端存儲功能的高效能計算機(jī)這一事實(shí)基礎(chǔ)上的,而且比起較為傳統(tǒng)的、容易理解的臺式電腦和筆記本電腦,當(dāng)今的企業(yè)組織較少能夠控制這些移動設(shè)備。
應(yīng)用程序風(fēng)險:這種風(fēng)險源于最終用戶安裝的第三方應(yīng)用程序,這些應(yīng)用程序通常可以訪問到公司的數(shù)據(jù),將數(shù)據(jù)存儲到設(shè)備上,并上傳到公司周邊之外的地方。
設(shè)備風(fēng)險
由于智能手機(jī)和平板電腦在本質(zhì)上基本可以算作計算機(jī),它們很容易受到跟電腦同樣的威脅。這些威脅可以利用底層操作系統(tǒng)的漏洞導(dǎo)致數(shù)據(jù)丟失和被盜,對設(shè)置進(jìn)行更改,阻斷服務(wù),入侵受保護(hù)的內(nèi)部網(wǎng)絡(luò),諸如此類。
就像感染電腦一樣,惡意軟件同樣可以感染智能手機(jī)和平板電腦。惡意軟件可以形成一個平臺,在這個平臺上攻擊者可以實(shí)施網(wǎng)絡(luò)入侵和數(shù)據(jù)盜竊。一臺受損的移動設(shè)備可以作為進(jìn)入網(wǎng)絡(luò)并竊取數(shù)據(jù)的一個很好的工具,特別是如果在一個組織內(nèi)沒有把它視為一種重大威脅的話,那么因此,它就不會像計算機(jī)工作站一樣受到很好的保護(hù)。
以下部分討論了對設(shè)備來說存在的其他威脅。
數(shù)據(jù)存儲風(fēng)險
現(xiàn)代智能手機(jī)、相機(jī)和平板電腦含有大量的閃存并且可以通過USB接口使用,這就允許了數(shù)據(jù)小偷可以悄悄地復(fù)制文件。移動設(shè)備有如此多的存儲容量,以至于他們可以被用于竊取許多組織中的所有數(shù)據(jù)。在移動設(shè)備上的數(shù)據(jù)存儲可以輕松地批量下載大量數(shù)據(jù)——就像用一個巨大的網(wǎng)來釣魚一樣——數(shù)據(jù)竊賊肯定會在他們收集的文件中找到寶貴的知識。這些設(shè)備會對組織的數(shù)據(jù)構(gòu)成嚴(yán)重威脅,因?yàn)橄啾绕鹩脖P或記憶棒他們不太”明顯”,導(dǎo)致很難檢測到任何隱藏在他們里面的被盜數(shù)據(jù)。移動設(shè)備上的板載內(nèi)存存儲通常允許他們作為存儲設(shè)備安裝在任何計算機(jī)上。這意味著它們可以用來復(fù)制數(shù)據(jù),于是導(dǎo)致數(shù)據(jù)被盜或被濫用。一旦移動設(shè)備獲取了數(shù)據(jù),對于組織來說則更加難以控制。數(shù)據(jù)也可以通過電子郵件附件和其他應(yīng)用程序的方式被盜或者被濫用。
弱密碼風(fēng)險
考慮到計算平臺基本都對外提供數(shù)據(jù)與資源服務(wù),假如平臺支持終端用戶使用密碼進(jìn)行驗(yàn)證連接,那么攻擊者通過猜測或者截取可以獲得用戶密碼,這種情況下,移動設(shè)備成為攻擊計算平臺上用戶數(shù)據(jù)和資源的入口。這對于電子郵件來說是特別重要的,因?yàn)槿绻阌忻艽a(或者PIN),進(jìn)入一個智能手機(jī)或平板電腦閱讀電子郵件是比較容易的。
WI-FI劫持風(fēng)險
類似于中間人攻擊(Man-in-the-Middle), WI-FI劫持是惡意攻擊者通過使用在公共場所設(shè)立的免費(fèi)WI-FI熱點(diǎn)而實(shí)施的,而用戶一般希望在這些地方能找到免費(fèi)的無線——機(jī)場、咖啡廳、公園以及市中心地區(qū)。然而這些熱點(diǎn),經(jīng)常受到期待收獲個人信息、財務(wù)數(shù)據(jù)和密碼的攻擊者的監(jiān)控。
熱點(diǎn)風(fēng)險
移動設(shè)備可以用來束縛計算機(jī)或者以其他方式作為一個無線網(wǎng)絡(luò),使它們周圍的計算機(jī)可以使用該無線網(wǎng)接入到互聯(lián)網(wǎng),就像一個普通的WI-FI或者藍(lán)牙接入點(diǎn)。附近攻擊者還可以連接到這些移動設(shè)備為終端用戶的個人使用所創(chuàng)建的熱點(diǎn),在用戶不知情的情況下,他們可以對本地網(wǎng)絡(luò)及其設(shè)備發(fā)動攻擊。
基帶竊聽風(fēng)險
由于智能手機(jī)包含網(wǎng)絡(luò)和語音功能,網(wǎng)絡(luò)可以用于危害語音功能。行動電話可以被那些危害智能手機(jī)的網(wǎng)絡(luò)攻擊者攔截。這些攻擊可能利用智能手機(jī)底層硬件里的漏洞,如iPhone和Android設(shè)備所使用的硬件和固件。 諸如這些之類的攻擊利用智能手機(jī)的基帶處理器,顛覆它使之變成竊聽器,允許入侵者通過使用內(nèi)置的麥克風(fēng)竊聽談話,甚至在沒通話的時候。
藍(lán)牙竊聽和模糊測試
大多數(shù)最終用戶把他們的藍(lán)牙設(shè)備的PIN密碼設(shè)置為默認(rèn)的PIN密碼(他們幾乎總是設(shè)置為0000或1234)。即使先進(jìn)的技術(shù)專家對于這一塊都沒有太多研究,他們可能都不知道如何更改這些代碼。因此,攻擊者可以輕松匹配手機(jī)或設(shè)備并使用該連接來偷竊或截取數(shù)據(jù)(或竊聽電話)。此外,一種稱為”模糊測試”的攻擊可以通過藍(lán)牙配對執(zhí)行。模糊測試攻擊利用藍(lán)牙設(shè)備固有的軟件漏洞發(fā)送無效數(shù)據(jù)從而引發(fā)異常行為,如崩潰、特權(quán)擴(kuò)大和可以植入惡意軟件的入侵行為。
應(yīng)用風(fēng)險
移動設(shè)備的第三方應(yīng)用程序是由你不認(rèn)識的人在你無法控制到的環(huán)境寫的,并且你看不到他們寫的過程,開發(fā)生命周期,或者對于質(zhì)量的控制。幾乎任何人都可以上傳應(yīng)用程序到應(yīng)用商店。這些應(yīng)用程序可能是惡意的,也可以有意或無意地”繞開”在您的組織內(nèi)建立的安全策略和安全標(biāo)準(zhǔn)。
以下分別討論與這些應(yīng)用程序相關(guān)的風(fēng)險。
木馬程序
與個人計算機(jī)一樣,看似有用的應(yīng)用程序可以被惡意軟件感染到。他們可以是逼真的應(yīng)用程序,可以直接危及到移動設(shè)備,或是包含隱藏代碼的實(shí)際應(yīng)用程序,可能在稍后的時間感染到電話機(jī)。早在2011年3月,一個涉及到“Droid Dream”木馬的惡意軟件爆發(fā),由于該木馬隱藏在很多應(yīng)用程序中,其中一些應(yīng)用程序是合法的、富有成效的和在授權(quán)的Android市場里可用的(現(xiàn)在稱為谷歌應(yīng)用市場)。
隱藏惡意鏈接
縮短鏈接或重定向鏈接是一種針對包括郵件鏈接或網(wǎng)頁鏈接常用的方法,這種方法取代了用復(fù)雜的位置信息來填充屏幕的方法。這使得用戶看不到最終位置,直到用戶單擊該鏈接來找到它。此外,在屏幕上顯示的鏈接文本可能不同于嵌入到網(wǎng)頁代碼的實(shí)際鏈接,尤其是對電子郵件來說。 攻擊者可以使用此項(xiàng)技術(shù)把用戶引入到惡意網(wǎng)站。在移動設(shè)備上,在訪問這些惡意網(wǎng)站之前去驗(yàn)證鏈接對于用戶來說是非常困難的,不同于計算機(jī)上鼠標(biāo)指針懸停在鏈接文本處就可以顯示出實(shí)際的鏈接位置。
網(wǎng)絡(luò)釣魚
網(wǎng)絡(luò)釣魚在移動設(shè)備與計算機(jī)上表現(xiàn)出完全相同的風(fēng)險。網(wǎng)絡(luò)釣魚使用一貫技術(shù),發(fā)送包含惡意附件的電子郵件或網(wǎng)絡(luò)鏈接,用一些假的,但是看起來逼真的信息來欺騙終端用戶打開這些附件或鏈接。 此項(xiàng)技術(shù)用于竊取個人信息,如銀行帳號、信用卡號碼或用戶名和密碼。
短信詐騙
類似于網(wǎng)絡(luò)釣魚,短信詐騙使用短信引誘毫無戒備的最終用戶撥打一個聲音電話從而套出個人信息。這些短信包含了一個看起來真實(shí)(而且緊急)的要求,可以是因安全原因需要來要求確認(rèn)詳細(xì)信息或是要求確認(rèn)購買、退款,或付款。
遠(yuǎn)程設(shè)備操控
現(xiàn)代汽車已經(jīng)變得計算機(jī)化、網(wǎng)絡(luò)化、相互關(guān)聯(lián)的以及和智能手機(jī)可互操作的。因此,攻擊智能手機(jī)使得攻擊者能夠遠(yuǎn)程啟動、開鎖、追蹤或操作和受控制的智能手機(jī)連接的車輛
京公網(wǎng)安備 11010502049343號