赛门铁克公司日前公布了《移动设备安全初探:针对苹果iOS和谷歌Android(安卓)平台安全应用的检测》白皮书。这份白皮书对目前两款主流移动设备操作系统——苹果iOS系统和谷歌Android(安卓)系统进行了深入的技术评估,从而帮助企业了解在公司内部使用含有该操作平台的移动设备所面临的安全隐患。
在所有分析结果中最重要的发现是,虽然当前这些最受欢迎的移动设备操作系统在设计之初都将安全因素纳入考虑范围,但它们在保护定期传入移动设备中的企业敏感资产这一方面仍然做得不够。更为复杂的是,现在越来越多的移动设备可以随心所欲地与第三方基于云及桌面的服务生态系统进行同步连接,而这些均不受企业控制,并且很有可能让企业的重要资产面临更大的风险。
这份报告对苹果iOS和谷歌Android(安卓)操作平台的安全模式进行了详细分析,并根据当前主要安全威胁对每款产品的安全性进行了评估。当前网络的主要安全威胁包括: 基于网站和网络的攻击、恶意软件、社会工程学攻击、网络可用资源和服务滥用、恶意和无意的数据丢失和对设备数据完整性的攻击。
这份分析报告最后得出了一些重要结论:
第一,与传统桌面操作系统相比,尽管iOS和Android(安卓)移动设备操作系统在安全性方面有所改进,但仍比较脆弱,无法抵御现有的很多类型攻击。
第二,iOS所用的安全模式能有力地抵御传统恶意软件的攻击,这主要得益于苹果公司拥有严格的应用程序认证程序及软件开发者认证程序,通过这些认证,每款软件的作者都有相应身份记录,有利于杜绝恶意攻击软件。
第三,谷歌的认证程序则没有那么严格,它允许任何软件开发者在匿名状态下创建和发布应用程序,而无须接受检测。缺乏认证是导致现在针对Android(安卓)的恶意软件越来越多的原因。
第四,Android(安卓)和iOS用户经常将其移动设备与第三方云服务(如Web日历)和家用台式电脑同步连接。这有可能在缺乏企业监管的情况下,使储存在这些移动设备上的企业敏感数据存在外泄风险。
第五,所谓的“越狱”设备,或者安全性能被禁用的设备,它们的安全性与传统电脑一样脆弱,从而常常成为恶意软件攻击的目标。
赛门铁克安全技术与响应中心研究员及首席架构师凯利·纳成贝格(Carey Nachenberg)表示:“当前的移动设备在安全性方面可以说是鱼龙混杂。虽然在安全性方面,这些移动操作平台比传统电脑要强一些,但面对许多传统的恶意攻击时,它们仍然很脆弱。此外,越来越多的企业员工在使用未受管理的个人移动设备访问企业敏感资源之后,又去访问未受企业治理的第三方服务,这就使企业的重要资产面临被攻击的风险。”