最近幾周，美國知名泄密網(wǎng)站“維基解密”披露9萬多份美軍機(jī)密文件，美軍襲擊伊平民視頻、關(guān)塔那摩監(jiān)獄管理指導(dǎo)手冊、基督教科學(xué)會內(nèi)部教義、氣候?qū)W家擅自更改數(shù)據(jù)、佩林私人郵件賬號以及50萬條9?11短信等眾多鮮為人知的阿富汗戰(zhàn)爭內(nèi)幕泄漏在互聯(lián)網(wǎng)上，一時間，“維基解密”網(wǎng)站成為網(wǎng)民關(guān)注的重點對象。很多網(wǎng)友認(rèn)為發(fā)生在太平洋彼岸的維基解密事件與其沒有太大關(guān)系，但是越來越多的員工正在使用Android、iPhone等智能手機(jī)，這給企業(yè)管理人員帶來的壓力將越來越嚴(yán)重。

Android、iPhone等智能手機(jī)泄密個人隱私

隨著企業(yè)信息化水平的提高，信息安全已成為企業(yè)發(fā)展中一項必不可或缺的話題。在企業(yè)中，看到這篇文章的每一位讀者都扮演著不同身份的角色，我們既是一名普通的員工，也是一名普通的消費者。而作為一名普通的消費者，對智能手機(jī)功能和售價的考慮往往多過對安全性能的考慮。而對于企業(yè)而言，智能手機(jī)的操作系統(tǒng)和手機(jī)應(yīng)用的安全都至關(guān)重要。谷歌最新推出的手機(jī)操作系統(tǒng)Android 2.2就是要打消企業(yè)安管人員對手機(jī)操作系統(tǒng)的安全顧慮，使之放心訪問公司數(shù)據(jù)。在這里，我們將對Android操作系統(tǒng)的優(yōu)缺點進(jìn)行評估，還要列出一些使用指南，幫助大家更好地保護(hù)移動手機(jī)數(shù)據(jù)。

對于初使用者而言，微軟Exchange管理員現(xiàn)在可以在設(shè)備中強(qiáng)制執(zhí)行密碼策略。他們還可以通過遠(yuǎn)程方式另外設(shè)置一個Android手機(jī)，使其以默認(rèn)狀態(tài)保護(hù)數(shù)據(jù)安全，以防手機(jī)丟失帶來的數(shù)據(jù)安全隱患。不過，攝像頭和藍(lán)牙功能無法通過遠(yuǎn)程控制來禁用，所以可能增加數(shù)據(jù)泄漏的風(fēng)險。

圖片說明：維基解密電報都從哪里來？維基解密數(shù)據(jù)并非該時期內(nèi)美方所有電文，但也并非一般的篩選。這張圖展示出此次泄密電文的大致分布：

某些企業(yè)還可能存在服從性的問題，如Outlook同步聯(lián)系以及Android手機(jī)和電腦之間的信息需要用戶首先與谷歌的云服務(wù)進(jìn)行同步。大量PIN碼和文數(shù)字結(jié)合的密碼可以用來解鎖設(shè)備，只是其短暫而部署欠妥的解鎖期讓人使用起來無法得心應(yīng)手。

智能手機(jī)安全將面臨嚴(yán)峻挑戰(zhàn)

現(xiàn)在還沒有有效的數(shù)字加密技術(shù)，當(dāng)iPhone的芯片已經(jīng)實現(xiàn)加密的時候，Android設(shè)備仍不得不依賴于javax.crypto 軟件包。這意味著，它們信任那些正確使用加密軟件包的程序員：而這又是一個新的威脅。據(jù)說iPhone和黑莓的加密方式已經(jīng)被破解，如果Android想要成功打開企業(yè)級市場，其產(chǎn)品應(yīng)該在安全性能上比對手更勝一籌。

盡管如此，該系統(tǒng)允許用戶將應(yīng)用下載到智能手機(jī)上的功能對很多網(wǎng)絡(luò)犯罪分子而言極具吸引力，而這樣也使其成為企業(yè)網(wǎng)絡(luò)的潛在威脅。Android依靠基于Linux的操作系統(tǒng)將安全級別定義在應(yīng)用和系統(tǒng)之間，以防止破壞波及整個系統(tǒng)。但是有發(fā)現(xiàn)指出，Android應(yīng)用會向用戶發(fā)送私人信息，包括在用戶毫不知情的情況下，向遠(yuǎn)程服務(wù)器發(fā)送定位數(shù)據(jù)。

Android、iPhone等智能手機(jī)安全將面臨嚴(yán)峻挑戰(zhàn)

之所以會發(fā)生這種情況是因為應(yīng)用在安裝過程中被認(rèn)為是理所當(dāng)然的，這就等于賦予了應(yīng)用進(jìn)行訪問的特權(quán)。盡管如此，我們卻無法阻止應(yīng)用的功能被濫用。由于合法的應(yīng)用有可能將惡意功能以合法方式使用，所以用戶很難評估潛在風(fēng)險。

與蘋果相比，這種差異很明顯。盡管二者對所有應(yīng)用都平等對待，且這些應(yīng)用都可以訪問大量資源，但是默認(rèn)情況下，蘋果要求對應(yīng)用進(jìn)行檢測后才準(zhǔn)許使用。這些檢查的徹底程度尚不清楚，而且首先依靠人力審查似乎不比系統(tǒng)限制應(yīng)用僅使用安裝過程中所列功能來得安全。

一旦應(yīng)用獲得許可，企業(yè)需要了解應(yīng)用使用功能的方式。外界批評谷歌沒有采取有效措施禁用一些違反許可證條約的應(yīng)用，對此谷歌已經(jīng)做出回應(yīng)。直到第三方應(yīng)用出具詳細(xì)的數(shù)據(jù)使用信息后，才會提供不受信任要素。

打算使用Android設(shè)備的企業(yè)并不希望對自己的移動設(shè)備策略做出全局性調(diào)整。沒有哪個移動平臺具備完美的安全性能，因此可在使用策略規(guī)定：用戶在使用公司的設(shè)備時，只能安裝公司IT部門許可的應(yīng)用，而且在不明白文件來源的情況下，要避免使用開放型文件，郵件，SMS信息和即時通訊。（如果用戶使用自己的設(shè)備保存公司數(shù)據(jù)，這就會出現(xiàn)管理上的灰色地帶，因為我們很難將公司的策略強(qiáng)制推行到員工自己的設(shè)備上。）

無論是哪種操作系統(tǒng)，管理員都應(yīng)該遵循廠商的警告，以保持設(shè)備的安全;此外還要在手機(jī)上安裝反病毒軟件數(shù)據(jù)包。McAfee公司為Android開發(fā)的VirusScan 移動版對現(xiàn)有客戶免費，而賽門鐵克公司的諾頓智能手機(jī)安全軟件也是免費的，它能提供反盜竊和數(shù)據(jù)威脅防護(hù)功能。

年關(guān)馬上到來，如果要給今年的IT產(chǎn)品頒獎，喬幫主手中的蘋果系列算是一個不可或缺的產(chǎn)品與玩物。從時尚女人到商務(wù)男人、從總統(tǒng)先生到剛懂事的孩子……頃刻之間貌似整個人類的十指與錢包都被喬幫主的蘋果系列所控制。

樹大招風(fēng) 蘋果大了招黑客

近日，據(jù)國外媒體報道，美國投資公司W(wǎng)edge Partners分析師Brian Blair發(fā)表投資者報告稱，預(yù)計蘋果iPhone手機(jī)在2011年的出貨量將達(dá)到1億部，iPad平板電腦的出貨量將達(dá)到4800萬臺。該分析師還指出，預(yù)計明年全球手機(jī)出貨總量將達(dá)到11億部，而平板電腦市場仍屬于襁褓階段，由于擁有iPad和iPhone兩大核心產(chǎn)品，2011年蘋果將繼續(xù)在智能手機(jī)和平板電腦市場獲得高速發(fā)展。

面對蘋果如此大的出貨量，不管是蘋果的投資商還是銷售上來說都是一條悅耳的消息，曾經(jīng)不起眼的蘋果產(chǎn)品，在黑客眼中，蘋果不只是水果，更成為一頓不錯的美餐。蘋果曾經(jīng)借助較小的市場份額而免受安全問題困擾的日子一去不復(fù)返，中國黑客尋找蘋果軟件漏洞，盈利已超25萬美元，美國《福布斯》雜志網(wǎng)絡(luò)版在2010年7月撰文稱，中國安全研究員吳石發(fā)現(xiàn)的瀏覽器漏洞中，有半數(shù)都來自蘋果Safari瀏覽器。

微軟十年來一直在與網(wǎng)絡(luò)攻擊做斗爭，也因此而變得堅固。例如“紅色代碼”蠕蟲病毒曾于2001年感染了數(shù)萬臺電腦，還有很多網(wǎng)站因此被黑，并被掛上了“Hacked By Chinese!”（被中國人黑了）的標(biāo)語。而蘋果則因為多年以來一直被網(wǎng)絡(luò)犯罪分子忽略而變得有些自滿。在吳石看來，這種安逸的狀況不會延續(xù)下去。隨著有針對性的攻擊越來越多，蘋果無法再因為市場份額較小而免受安全問題的困擾。他說：“iPhone和Mac OS比Windows 7更容易攻擊。我認(rèn)為，未來將有很多針對蘋果軟件的攻擊?！?p#

蘋果iOS新漏洞 黑客可控制iPad和iPhone

2010年08月，根據(jù)賽門鐵克以及私營企業(yè)Lookout和Vupen這三家安全公司稱，蘋果iPad、iPhone和iPod touch等產(chǎn)品中使用的iOS操作系統(tǒng)軟件中發(fā)現(xiàn)一個新安全漏洞，這個安全漏洞能夠讓黑客完全控制這些設(shè)備。

蘋果iOS操作系統(tǒng)中的安全漏洞是在蘋果移動設(shè)備中發(fā)現(xiàn)的一系列安全漏洞中比較新的安全漏洞。在今年的黑客大會上，安全專家發(fā)現(xiàn)在谷歌用于手機(jī)和平板電腦的Android移動操作系統(tǒng)中就存在一些安全漏洞。移動設(shè)備越來越容易受到攻擊，因為在移動設(shè)備上運行的軟件在過去的幾年來越來越復(fù)雜，給移動設(shè)備提供了許多類似于PC的能力。

蘋果iPhone漏洞百出

移動安全公司Lookout的首席技術(shù)官Kevin Mahaffey稱，“我們在非常復(fù)雜的軟件中發(fā)現(xiàn)安全漏洞不應(yīng)該感到意外。在感染iPad平板電腦或者iPhone手機(jī)之前，攻擊者需要欺騙用戶訪問一個植入被感染PDF文件的網(wǎng)站?！盡ahaffey并不知道犯罪分子利用這個安全漏洞控制蘋果設(shè)備的事件。但是，電子廠商要提供一個補(bǔ)救措施防止這種攻擊。

黑客越獄蘋果iOS4.1系統(tǒng) 自由讀取信息

在蘋果iOS4.1系統(tǒng)發(fā)布幾個小時后，著名黑客團(tuán)隊pod2g表示，他們已經(jīng)發(fā)現(xiàn)了ios4.1的漏洞，利用此漏洞可“越獄”運行iphone手機(jī)。黑客們說，由于修補(bǔ)此漏洞需要對操作系統(tǒng)的底層代碼做出重大改變，蘋果公司將難以修補(bǔ)此漏洞。

黑客們建議使用“越獄”iphone的用戶不要更新iOS，這有可能會使那些越獄運行的軟件失效。而蘋果公司表示，越獄會使iPhone的保修失效。蘋果iOS4.1新增的功能包括Game Center游戲中心，HDR高動態(tài)范圍拍照，iTunes商店電視劇集出租、Ping社交網(wǎng)絡(luò)和高清視頻上傳等。

目前，一款新的iPhone漏洞剛剛被黑客Bernd Marienfeldt和Jim Herbeck發(fā)現(xiàn)。它可以讓入侵者自由讀取iPhone手機(jī)內(nèi)記載的信息，并且最新固件3.1.3也受影響，用PIN來鎖定電話在這個漏洞面前失效。

這種漏洞很有可能導(dǎo)致iPhone iRickRoll'd蠕蟲等病毒再度爆發(fā)，特別是后臺運行SSH，卻沒有修改默認(rèn)密碼的用戶尤其容易受到影響。

安全專家稱iPhone漏洞可泄露用戶信息

據(jù)國外媒體報道，安全專家Bernard Marienfeldt的最新報告顯示，蘋果iPhone存在一個安全漏洞。不法分子可以借此獲取用戶信息?，斎鸲鞣茽柋硎?，把iPhone與Windows或Mac OS X設(shè)備連接時，只會顯示DCIM文件夾。但是如果與最新版的Ubuntu Lucid Lynx系統(tǒng)連接，便可獲得iPhone的全部數(shù)據(jù)讀取權(quán)限。即使用PIN鎖定該手機(jī)也無濟(jì)于事。

要利用這一漏洞無需對iPhone進(jìn)行特別配置。為了方便數(shù)據(jù)同步，用戶無需使用任何軟件即可與電腦進(jìn)行數(shù)據(jù)交換。另外一個引發(fā)這一漏洞的問題在于，iPhone缺乏數(shù)據(jù)加密措施。

瑪瑞恩菲爾特說，通過進(jìn)一步研究，還有可能獲得iPhone的全部寫入權(quán)限。倘若果真如此，未經(jīng)授權(quán)的團(tuán)體便有可能獲取用戶的電話和短信內(nèi)容。而這也有可能導(dǎo)致企業(yè)用戶在使用iPhone時產(chǎn)生更多顧慮。

iPhone漏洞或致手機(jī)受釣魚攻擊

據(jù)國外媒體報道，蘋果iPhone在執(zhí)行思科簡單證書系統(tǒng)協(xié)議（以下簡稱為“SCEP”）時的漏洞會導(dǎo)致手機(jī)遭受黑客的釣魚攻擊。黑客將能通過提供假的移動配置文件誘使iPhone手機(jī)訪問惡意服務(wù)器。

據(jù)悉，蘋果推出iPhone OS系統(tǒng)并對思科SCEP協(xié)議提供支持，目的是增強(qiáng)使用iPhone進(jìn)行移動企業(yè)管理時的安全性。蘋果使用SCEP協(xié)議登錄證書服務(wù)器，以檢查移動配置文件是否由可信任的來源頒發(fā)，但問題是，這一過程并不總是能順利進(jìn)行。

一位不愿具名的安全專家表示，問題的根源來自于蘋果執(zhí)行SCEP協(xié)議所采用的方法，SCEP是一種用來管理封閉系統(tǒng)公鑰基礎(chǔ)結(jié)構(gòu)的協(xié)議。比如，它能用來管理企業(yè)IT部門為iPhone部署的安全證書和安全策略等。然而糟糕的是，iPhone使用Safari瀏覽器的證書授權(quán)方列表來認(rèn)證移動配置文件。具體而言就是，iPhone只要求頒發(fā)移動配置文件的證書具備簽名，而不會限制該證書只能進(jìn)行哪些操作。

一位業(yè)內(nèi)人士演示了如何用假證書攻擊iPhone。首先，他從VeriSign公司獲得了一個臨時且只有簽名的測試證書，該證書簽名為“蘋果公司”。隨后，他使用該證書創(chuàng)建了一個假的移動配置文件，看上去似乎的確是由蘋果公司提供。凡是下載了該配置文件的用戶都會相信文件來自蘋果，并進(jìn)行安裝。這正是噩夢的開始。

移動配置文件能更改iPhone上的許多設(shè)置，有些僅僅是帶來些麻煩，比如阻止iPhone訪問應(yīng)用商店或是使用移動Safari瀏覽器。有些則會產(chǎn)生嚴(yán)重后果，比如更改虛擬專用網(wǎng)VPN的設(shè)置，從而讓iPhone連接上黑客的服務(wù)器。此外，iPhone的郵件設(shè)定還有可能被更改，所有外發(fā)郵件都將通過黑客架設(shè)的惡意服務(wù)器轉(zhuǎn)發(fā)，而用戶卻一無所知。

【編輯推薦】

1. RSA發(fā)布Android版軟件式身份認(rèn)證令牌
2. 企業(yè)Android安全：移動手機(jī)數(shù)據(jù)保護(hù)建議