研究者發(fā)現(xiàn)，當(dāng)智能手機用戶上傳文件至基于云的服務(wù)后，即便數(shù)據(jù)注定會只存儲在云上，文件的殘余部分還是經(jīng)常留在了用戶們的手持設(shè)備上。

文件殘留導(dǎo)致的后果就是黑客可以使用大安卓設(shè)備、蘋果手機或者其他智能手機上殘留的數(shù)據(jù)，偷偷地訪問云上的文件或者獲取云賬戶。

“智能手機可以本質(zhì)上記住已經(jīng)被刪除的信息，為企業(yè)機構(gòu)帶來巨大額風(fēng)險，智能手機使企業(yè)及雇員清楚明白地使用個人設(shè)備用于與工作相關(guān)的計算”，云加密軟件制造商CipherCloud創(chuàng)始人兼CEO Pravin Kothari說道。

智能手機上的殘留數(shù)據(jù)痕跡不是供外行使用的，Kothari強調(diào)，但這些個人信息可以在類似于現(xiàn)代的垃圾箱潛水設(shè)備上查看到。

格拉斯哥大學(xué)的研究人員運作了大量不同測試以得到最終結(jié)論，測試的手機型號包括安卓2.1版本的HTC渴望系列，以及運行iOS3版本的蘋果iPhone3S。此外，研究人員還測試了基于云的文件存儲系統(tǒng)Box、Dropbox和SugarSync。

研究人員首先對被測試的手機進行重新調(diào)整歸零，然后將20項文件安裝至手機上，其中包含圖像、文檔、PDF文件和音樂文件等。然后，研究人員不斷地操控手機，不是突然關(guān)機，就是緩存應(yīng)用程序，或者兩項都做。作為某種控制手段，有些手機被保持在活躍狀態(tài)，不允許任何緩存。最后，研究人員把手機存儲內(nèi)容復(fù)制到U盤中，將手機“數(shù)據(jù)轉(zhuǎn)儲”，方便他們進行下一步的分析。

研究人員發(fā)現(xiàn)，在文件已經(jīng)上傳到云服務(wù)后，手機上依然留存了大量的元數(shù)據(jù)。例如，用戶的郵件地址和執(zhí)行的操作記錄即便已經(jīng)上傳到云上，依然可以在手機上看到。研究人員稱他們能輕易地將不同的元數(shù)據(jù)組合在一起，用以獲取存儲在Box云上的文件的URL地址。他們還發(fā)現(xiàn)所有注明了“離線訪問”的文件，在安卓手機和蘋果設(shè)備上都能被恢復(fù)，即便是某些已經(jīng)刪除了的文件，在安卓設(shè)備下依然可以通過SD卡追蹤。

在多數(shù)情況下，研究人員發(fā)現(xiàn)如果應(yīng)用已經(jīng)緩存過，那么恢復(fù)這些文件會更加困難，除非在iOS設(shè)備上使用Box，只要這種情形下，同樣數(shù)量的文件即使在緩存后依然能夠恢復(fù)。

“智能手機設(shè)備訪問云存儲服務(wù)，可以潛在地獲取存儲在云存儲服務(wù)商的數(shù)據(jù)的查看代理權(quán)”，研究總結(jié)到。研究還補充，訪問代理數(shù)據(jù)能導(dǎo)致更多的數(shù)據(jù)暴露。無法在智能手機上看到，但可以在用戶的云存儲賬戶上看到的文件，是不能恢復(fù)的文件。盡管在某些情況下，一張極小的JPEG圖片，雖然不能在手機上顯示，但還是可以看到。

研究人員表示，許多不同工具都能用于獲取來自智能手機上的數(shù)據(jù)，其中包括來自以色列私營企業(yè)Cellebrite的產(chǎn)品，這家公司生產(chǎn)了便攜式通用手機取證設(shè)備(UFED)。瑞典科研公司MicroSystemation推出的安卓強行解鎖工具XPY，用于對數(shù)據(jù)進行刪除取證。

與之相應(yīng)的，Box公司一名發(fā)言人指出研究人員使用的是企業(yè)移動應(yīng)用(安卓版本1.6.7;蘋果iOS版本2.7.1)的過時版本，兩種版本都已經(jīng)接近1年了。在這兩版本之后，Box已經(jīng)開始對所有供離線使用的已保存文件進行加密，現(xiàn)有的安卓應(yīng)用自動加密，蘋果版本則提供可加密的屬性。Box同時補充到，文件預(yù)覽也同樣進行了加密。

研究者坦承需要更多測試來確定更新型的設(shè)備、運營系統(tǒng)和云平臺到底有多脆弱。

來自CipherCloud的Kothari稱，IT管理人員可以采取一些相應(yīng)措施，幫助在智能手機上運行的企業(yè)數(shù)據(jù)抵御黑客的攻擊。其中一款來自CipherCloud的加密工具還可以用于增加或替代云服務(wù)提供商提供的其他任何安全措施：數(shù)據(jù)丟失阻止(DLP)與審核監(jiān)測服務(wù)都可以用于確保雇員不會在智能手機上訪問敏感信息，同時確保絕不會第一時間獲取在智能手機上的信息，從而絕不允許黑客稍后恢復(fù)數(shù)據(jù)。