移動設備的安全設想成功了嗎？

賽門鐵克安全技術與響應中心副總裁兼研究員 | Carey Nachenberg

移動設備的安全設想成功了嗎？

賽門鐵克安全技術與響應中心副總裁兼研究員 | Carey Nachenberg

一些移動操作平臺在設計之初就注重安全性，但這些設備畢竟屬于消費品，有時候為了保證產品的可用性，其安全性會打折。

隨著種類繁多的消費類設備不斷進入工作場所，首席信息官以及首席信息安全官正面臨著一場嚴峻的信息安全考驗。現在，越來越多的用戶使用移動設備訪問企業服務，查看企業數據，進行業務操作。此外，很多設備不受管理員的控制，這就意味著企業敏感數據沒有受到企業現有遵從、安全及數據丟失防護（DLP）等政策的約束。

更為復雜的是，當今的移動設備并不是信息孤島——它們可以與一個支持云服務和電腦服務的生態系統相連接。一款典型的智能手機至少可以與一個公有云服務同步連接而不受管理員的控制。同時，很多用戶也會直接將移動設備跟家用電腦連接，對重要的設置或數據進行備份。就上述兩種情況而言，企業的重要資產很有可能儲存在某個不受企業直接管理、無安全保障的地方。

當今移動設備在安全方面可以說是魚龍混雜。此類移動操作平臺在設計之初就注重安全性，但這些設備畢竟屬于消費品，有時候為了保證產品的可用性，其安全性會打折。這樣的折中也使得此類平臺廣受歡迎，但在辦公場所使用這類設備所引發的安全風險便會有所增加。

目前，最受人們青睞的移動設備操作系統有兩款，即谷歌Android與蘋果iOS。談及安全方面，這兩款主流移動平臺與傳統的桌面及服務器操作系統所采用的安全模式不盡相同。雖然兩種平臺都是在現有操作系統（iOS基于蘋果OSX操作系統，Android基于Linux操作系統）的基礎上開發而來，但每款移動平臺都針對自身的核心應用設計更為精密的安全模式，其目標是使移動平臺自身就具備良好的安全性，從而擺脫對第三方安全軟件的依賴。

那么，蘋果和谷歌對創建安全移動平臺的探索成功了嗎？為了找到答案，我們將分別對兩款軟件的安全模式以及應用實施進行分析，從而判斷它們能否抵御當今主要的網絡安全威脅。

例1：iOS操作系統

截至本文撰寫之時，安全研究人員已發現，從iOS操作系統發行之初到現在，該系統的所有版本存在大約200種不同的漏洞，但大部分的漏洞問題并不是很嚴重。攻擊者可以利用其中絕大部分的漏洞實現對某個程序的控制，如Safari程序，但他們要實現對設備的管理員級控制卻絕非易事。不過其中一部分漏洞導致的問題則非常嚴重，如果這些漏洞被利用，攻擊者可以實現對設備的管理員級控制，這樣一來前者就可以獲取設備中幾乎所有的數據和服務。這類更為嚴重的漏洞被歸類為權限提升型漏洞，因為攻擊者可以利用這些漏洞提高自身權限并實現對設備的完全控制。

根據我們統計的數據，截至本文撰寫之時，蘋果公司平均每12天就要對新發現的漏洞進行修復。

在我們看來，iOS操作系統的安全模式設計良好，并且實踐證明它可以抵御多種攻擊。總體而言，有以下幾方面。

● iOS加密系統能很好地保護郵件及郵件附件，同時也讓設備得到清理，但卻無法有效防范蓄意攻擊者對物理設備進行的攻擊。

● iOS系統原理可以確保蘋果公司對每款公開應用程序進行檢測，但這種檢測方式也并不是萬無一失，而且幾乎可以肯定的是，它能被一些蓄意攻擊者繞開。到現在為止，還遠不能證明這種方式能很好地防范惡意軟件攻擊、數據丟失型攻擊、數據完整性攻擊，以及拒絕服務式攻擊。

● iOS隔離模式能夠完全防范傳統的電腦病毒、蠕蟲病毒，還能最大限度地防范數據被間諜軟件竊取。同時，它還能防止絕大多數的基于網絡的攻擊，如避免設備被控制。但是，它無法防范所有類型的攻擊，如數據丟失型攻擊、資源濫用型攻擊或數據完整性攻擊。

● iOS權限模式可確保在未得到設備所有者同意的情況下，應用程序無法獲取設備位置，無法利用設備發送短信或進行通話等。

● 沒有任何一種iOS安全保護技術可以防范如網絡釣魚或垃圾郵件這樣的社會工程學攻擊。

例2：Android操作系統

截至本文撰寫之時，安全研究人員發現，自Android操作系統發行之初到現在，該系統所有版本存在18種不同漏洞，但絕大部分的漏洞問題并不大。此類漏洞若被利用，攻擊者也只能夠控制單個的程序——如網絡瀏覽器程序，但無法實現對設備的管理員級控制。而少數漏洞存在的問題卻非常嚴重，如果被利用，攻擊者可以實現對設備的根級別控制，幾乎能訪問設備內的所有數據。

根據我們的統計數據，截至本文撰寫之時，谷歌每8天就要對其新發現的系統漏洞進行修復。

總體而言，相對于傳統桌面操作系統及服務器操作系統所使用的安全模式來說，Android的安全模式已有了很大的改進，但同時它也存在兩大缺陷。首先，它的源系統可以讓攻擊者在匿名狀態下創建和散布惡意軟件；其次，其權限系統雖然功能極其強大，但最終卻需要用戶作出重要的安全決策，然而絕大多數的用戶技術能力有限，無法作出此類決策，這個問題已經引發了針對Android操作系統的社會工程學攻擊。總體而言，有以下幾方面。

● Android系統原理確保只有附帶數字簽名的應用程序才能在附帶Android操作平臺的設備當中安裝。但是，攻擊者在未得到谷歌認證的情況下，可以利用匿名的數字證書注冊其惡意程序并散布到網絡當中。攻擊者還可以輕易地通過新的匿名證書使用“木馬”或植入惡意代碼，進而通過互聯網進行二次傳播。從積極的一面來看，谷歌確實要求那些想通過Android官方應用平臺傳播其程序的作者付費并在谷歌進行注冊（與谷歌共享程序開發者的數字簽名）。就像蘋果公司的注冊方法一樣，這種做法可以有效抵御缺乏組織的攻擊者。

● Android默認隔離策略能有效地在應用程序之間形成隔離，同時也讓設備當中安裝的絕大多數系統之間形成隔離，包括Android操作系統內核。但也會有一些例外情況，如應用程序可以不受限制地讀取SD卡上存儲的所有數據。

● Android系統權限模式確保應用程序獨立于設備中幾乎所有的主要系統，除非這些應用程序明確要訪問這些系統。但不盡如人意的是，Android操作系統最終需要用戶自己決定是否允許某種程序運行，這樣一來，這個系統就有可能遭受社會工程學攻擊。因為絕大部分用戶技術水平有限，無法作出此類關于安全性的決策，惡意軟件以及惡意軟件二次攻擊（如Dos攻擊、數據丟失型攻擊等）也就有了可乘之機。

● 目前，Android系統沒有提供內置、默認的加密功能，而是依賴上述隔離方式和權限模式來確保數據安全。因此，只要讓Android手機進行“越獄”或盜取手機SD卡就可能導致大量數據的丟失。

● 跟iOS操作系統一樣，Android操作系統對于社會工程學攻擊如網絡釣魚或其它基于網絡（不針對設備本身）進行詐騙的方式也束手無策。