最近有消息顯示，諸如蘋(píng)果iPhone和谷歌Android等許多智能手機(jī)一直在收集與位置相關(guān)的數(shù)據(jù)，Android甚至每小時(shí)就把這些數(shù)據(jù)發(fā)送回Google幾次。

這不僅引起了關(guān)于廠(chǎng)商道德和隱私的擔(dān)憂(yōu)，人們還擔(dān)心其它敏感數(shù)據(jù)是否也在自己不知情或者沒(méi)同意的情況下進(jìn)行了傳送。企業(yè)可以做些什么來(lái)減輕移動(dòng)定位服務(wù)技術(shù)的所帶來(lái)的安全風(fēng)險(xiǎn)，特別是當(dāng)它涉及到智能手機(jī)應(yīng)用時(shí)？這就是我們將在這篇文章中討論的主題。

目前，還沒(méi)有成熟的聯(lián)邦法律可以防止移動(dòng)設(shè)備上的數(shù)據(jù)（包括位置數(shù)據(jù)）被共享或者出售給商業(yè)伙伴。聯(lián)邦政府或許會(huì)嘗試介入并保護(hù)移動(dòng)用戶(hù)的隱私，但是任何法律想要對(duì)供應(yīng)商如何收集來(lái)自手機(jī)和應(yīng)用程序的數(shù)據(jù)產(chǎn)生影響還有一個(gè)漫長(zhǎng)的過(guò)程，而且肯定不能指望它們（法律）來(lái)保證許多企業(yè)所需的安全等級(jí)。

Google已經(jīng)禁用了幾個(gè)違反其許可協(xié)議的應(yīng)用程序，但是關(guān)于應(yīng)用程序如何使用和共享數(shù)據(jù)的詳細(xì)信息的普遍缺失、以及安裝時(shí)含糊不清的點(diǎn)擊通過(guò)協(xié)議，意味著那些允許訪(fǎng)問(wèn)通訊信道的應(yīng)用程序都有可能對(duì)企業(yè)的遵從規(guī)則和數(shù)據(jù)安全造成風(fēng)險(xiǎn)。

企業(yè)可以選用的一個(gè)解決方案是禁止使用定位服務(wù)。蘋(píng)果、微軟以及黑莓制造商RIM公司默認(rèn)開(kāi)啟位置服務(wù)，但是它們都提供了關(guān)閉這些服務(wù)的選項(xiàng)。但位置數(shù)據(jù)使手機(jī)網(wǎng)絡(luò)路由呼叫更快、更有效，同時(shí)員工將會(huì)發(fā)現(xiàn)，在失去位置服務(wù)后，許多有用的工具忽然變得不再那么有用了。收集位置數(shù)據(jù)除了會(huì)引起道德問(wèn)題外，大多數(shù)用戶(hù)并不太可能會(huì)因?yàn)檫@類(lèi)信息而處于真正的風(fēng)險(xiǎn)之中。但是，如果其它信息從智能手機(jī)上被傳送出去呢？

華爾街日?qǐng)?bào)的研究發(fā)現(xiàn)，在101個(gè)最流行的智能手機(jī)應(yīng)用程序中，有47個(gè)會(huì)發(fā)送位置信息給其它公司，并且有5個(gè)會(huì)發(fā)送年齡、性別以及其它信息。其中一個(gè)被測(cè)試的應(yīng)用程序是Pandora，它會(huì)傳送位置信息給7個(gè)不同的公司，發(fā)送獨(dú)特的手機(jī)識(shí)別碼給三個(gè)公司并將人口統(tǒng)計(jì)數(shù)據(jù)發(fā)給兩個(gè)公司。來(lái)自美國(guó)賓夕法尼亞州立大學(xué)和英特爾實(shí)驗(yàn)室的研究人員調(diào)查了30個(gè)流行的Android應(yīng)用程序的行為，發(fā)現(xiàn)其中三分之二都顯示出研究人員所稱(chēng)的敏感數(shù)據(jù)的“可疑處理（suspicious handling）”。其它的應(yīng)用程序會(huì)在沒(méi)有任何明確許可的情況下發(fā)送手機(jī)號(hào)或者SIM卡序列號(hào)。因此，Google應(yīng)用程序研發(fā)者以及它們的分支機(jī)構(gòu)能夠收集到的信息包括用戶(hù)下載了什么應(yīng)用程序，以及他們觀(guān)看、閱讀和購(gòu)買(mǎi)了什么東西。

仔細(xì)閱讀任何應(yīng)用程序或者插件的終端用戶(hù)許可協(xié)議是評(píng)估它是否適合企業(yè)使用的第一步。當(dāng)?shù)弥@些應(yīng)用程序能夠訪(fǎng)問(wèn)用戶(hù)的計(jì)算機(jī)上所有瀏覽歷史、網(wǎng)站數(shù)據(jù)以及書(shū)簽之后，谷歌從其Chrome網(wǎng)絡(luò)商店里刪除了至少兩個(gè)游戲。一個(gè)博主發(fā)現(xiàn)了隱藏在某種應(yīng)用程序終端許可協(xié)議里的一頁(yè)，上面這樣寫(xiě)到，“這個(gè)項(xiàng)目可以讀取你訪(fǎng)問(wèn)過(guò)的每個(gè)頁(yè)面。......除了看見(jiàn)你的所有頁(yè)面，這個(gè)項(xiàng)目還可以使用你的憑證（cookies）來(lái)從網(wǎng)站上請(qǐng)求數(shù)據(jù)。”且這些難以置信的寬泛權(quán)限居然是默認(rèn)開(kāi)啟的。

即使一個(gè)終端用戶(hù)許可協(xié)議看起來(lái)是可以接受的，但是企業(yè)不能盲目地信任應(yīng)用程序來(lái)處理它們可以訪(fǎng)問(wèn)或者收集的信息。考慮到為了真正地減輕由于智能手機(jī)應(yīng)用程序把數(shù)據(jù)發(fā)送給第三方而造成的風(fēng)險(xiǎn)，必須對(duì)可以訪(fǎng)問(wèn)企業(yè)網(wǎng)絡(luò)的手機(jī)上所使用的任何應(yīng)用程序執(zhí)行一個(gè)全面的風(fēng)險(xiǎn)評(píng)估。這將使用諸如Wireshark或者Ethereal的網(wǎng)絡(luò)協(xié)議分析工具來(lái)捕獲和瀏覽應(yīng)用程序所產(chǎn)生的流量。如果這樣的測(cè)試顯示正在發(fā)送的數(shù)據(jù)違反了安全策略，那么這個(gè)應(yīng)用程序就不應(yīng)該被批準(zhǔn)。

考慮到需要連接回相應(yīng)供應(yīng)商服務(wù)器的程序數(shù)目，因此這類(lèi)測(cè)試也應(yīng)該在普通桌面應(yīng)用程序上執(zhí)行。雖然大多數(shù)程序會(huì)檢查是否有更新需要安裝，但即使是這樣，也可能會(huì)捕獲并發(fā)送那些不應(yīng)該被企業(yè)外部共享的運(yùn)行環(huán)境數(shù)據(jù)。

這種與數(shù)據(jù)丟失保護(hù)（DLP）技術(shù)相結(jié)合的流量分析，有助于檢測(cè)和防止由于安裝應(yīng)用程序而引起的未授權(quán)使用和機(jī)密信息的傳輸。但是，由于企業(yè)網(wǎng)絡(luò)周邊之外的安全性始終是較弱的，所以智能手機(jī)能夠訪(fǎng)問(wèn)的數(shù)據(jù)應(yīng)該始終受到控制，并且智能手機(jī)也應(yīng)該被視為不可信任的。