惡意移動(dòng)應(yīng)用旨在竊取敏感數(shù)據(jù)、獲得大量媒體關(guān)注，一位專家表示，合法應(yīng)用可能會(huì)給企業(yè)帶來(lái)更大的威脅。

總部位于舊金山的Appthority公司的聯(lián)合創(chuàng)始人兼總裁Domingo Guerra說(shuō)道，這是因?yàn)橐苿?dòng)應(yīng)用很容易下載并可以利用各種數(shù)據(jù)源，可能會(huì)泄露敏感信息。

Guerra參加2012年黑帽大會(huì)時(shí)表示，通常企業(yè)首席信息安全官在設(shè)置移動(dòng)策略時(shí)沒有考慮到合法的移動(dòng)商務(wù)應(yīng)用所帶來(lái)的風(fēng)險(xiǎn)。Guerra的公司因其平臺(tái)贏得最具創(chuàng)新的供應(yīng)商獎(jiǎng)項(xiàng)而在2012年RSA大會(huì)上獲得關(guān)注，該平臺(tái)旨在對(duì)移動(dòng)應(yīng)用進(jìn)行靜態(tài)和動(dòng)態(tài)分析。它還基于信譽(yù)和應(yīng)用收集、分發(fā)數(shù)據(jù)的風(fēng)險(xiǎn)為應(yīng)用評(píng)分。

“開發(fā)商想要賺錢，消費(fèi)者想要免費(fèi)軟件，而廣告網(wǎng)絡(luò)將支付開發(fā)者費(fèi)用以獲取更有價(jià)值的數(shù)據(jù)，”Guerra對(duì)SearchSecurity.com這樣說(shuō)道。“合法的應(yīng)用從用戶那里獲取信息，這些信息通常都與企業(yè)信息有關(guān)。”

Guerra說(shuō)，應(yīng)用利用企業(yè)日歷、地址簿和關(guān)鍵管理人員的位置跟蹤。如果將信息共享給錯(cuò)誤的人，可能使得一些企業(yè)在競(jìng)爭(zhēng)中處于劣勢(shì)。其他移動(dòng)應(yīng)用不通過(guò)加密就發(fā)送數(shù)據(jù)，錯(cuò)誤地存儲(chǔ)用戶名和密碼，然后通過(guò)廣告網(wǎng)絡(luò)向分析公司共享數(shù)據(jù)。

另一個(gè)被日益關(guān)注的移動(dòng)應(yīng)用安全領(lǐng)域，是移動(dòng)應(yīng)用開發(fā)人員的特殊性，Guerra補(bǔ)充道，這一問(wèn)題使得了解應(yīng)用來(lái)源的可靠性和聲譽(yù)越來(lái)越難。本周公布的一項(xiàng)由Appthority進(jìn)行的分析顯示，蘋果iTunes App Store排名前50位的免費(fèi)應(yīng)用中，92%的是由獨(dú)立開發(fā)人員編寫的。“如今，軟件的來(lái)源沒有限制，”Guerra說(shuō)道，“它們是不可信的，未被審查的。任何一個(gè)擁有電腦的人都可以開發(fā)一個(gè)應(yīng)用。”

分析還發(fā)現(xiàn)，蘋果iOS應(yīng)用訪問(wèn)數(shù)據(jù)源的程度超過(guò)了谷歌Android設(shè)備的應(yīng)用。大多數(shù)的iOS應(yīng)用（88%）可以訪問(wèn)廣告網(wǎng)絡(luò)和分析數(shù)據(jù)、設(shè)備位置（70%），以及用戶的聯(lián)系人列表（52%）。

在iOS應(yīng)用中，22%的可以訪問(wèn)以上所有四種信息。有趣的是，根據(jù)Appthority，在Android排名前50的應(yīng)用中，沒有利用以上四種信息的應(yīng)用，這一點(diǎn)是非常值得注意的。因?yàn)榘踩珜＜移毡檎J(rèn)為，比起iOS，Android平臺(tái)帶來(lái)的安全風(fēng)險(xiǎn)更大。

移動(dòng)惡意軟件、木馬應(yīng)用是未來(lái)關(guān)注焦點(diǎn)

專家普遍認(rèn)為，與移動(dòng)惡意軟件相比，數(shù)據(jù)隱私將是一個(gè)更大的擔(dān)憂?，F(xiàn)在，網(wǎng)絡(luò)犯罪分子都將觸角伸向個(gè)人電腦，因?yàn)檫@是最容易賺錢的，Sourcefire公司的云技術(shù)部門的首席設(shè)計(jì)師Adam O'Donnell這樣說(shuō)道。

“網(wǎng)絡(luò)犯罪分子將轉(zhuǎn)到任何他們可以立足并賺錢的地方，他們可以隨時(shí)隨地去賺錢，現(xiàn)在它針對(duì)的仍是個(gè)人電腦。”O'Donnell說(shuō)，網(wǎng)絡(luò)犯罪分子已經(jīng)變得非常具有商業(yè)頭腦，通過(guò)惡意活動(dòng)來(lái)尋求最低的進(jìn)入成本和最高的回報(bào)。自動(dòng)化工具包和利潤(rùn)分享計(jì)劃兩項(xiàng)主要的措施使得網(wǎng)絡(luò)攻擊不斷在桌面出現(xiàn)。

如果一個(gè)攻擊者想出了一個(gè)可以高效發(fā)布惡意軟件去破壞移動(dòng)設(shè)備的方法，那么你會(huì)看到惡意軟件轉(zhuǎn)移到手機(jī)端，如果每個(gè)人都不再使用電腦，而使用移動(dòng)設(shè)備，那么犯罪分子要么攻擊移動(dòng)設(shè)備，要么攻擊他們溝通的服務(wù)器。”

Appthority的Guerra表示，惡意軟件在未來(lái)將成為日益嚴(yán)重的威脅。但隨著威脅的出現(xiàn)，研究人員也將更好的了解企業(yè)移動(dòng)風(fēng)險(xiǎn)。當(dāng)談到保護(hù)移動(dòng)設(shè)備和審核批準(zhǔn)應(yīng)用時(shí)，企業(yè)IT安全團(tuán)隊(duì)正在慢慢成為“守門人”。大多數(shù)企業(yè)需要自問(wèn)，‘我們可以接受多大的風(fēng)險(xiǎn)？’現(xiàn)在，應(yīng)用正在做業(yè)務(wù)線（lineofbusiness）功能，IT會(huì)開始要求開發(fā)者實(shí)現(xiàn)更好的安全性和隱私。”