移動設備的安全設想成功了嗎？

賽門鐵克安全技術與響應中心副總裁兼研究員 | Carey Nachenberg

移動設備的安全設想成功了嗎？

賽門鐵克安全技術與響應中心副總裁兼研究員 | Carey Nachenberg

一些移動操作平臺在設計之初就注重安全性，但這些設備畢竟屬于消費品，有時候為了保證產(chǎn)品的可用性，其安全性會打折。

隨著種類繁多的消費類設備不斷進入工作場所，首席信息官以及首席信息安全官正面臨著一場嚴峻的信息安全考驗。現(xiàn)在，越來越多的用戶使用移動設備訪問企業(yè)服務，查看企業(yè)數(shù)據(jù)，進行業(yè)務操作。此外，很多設備不受管理員的控制，這就意味著企業(yè)敏感數(shù)據(jù)沒有受到企業(yè)現(xiàn)有遵從、安全及數(shù)據(jù)丟失防護（DLP）等政策的約束。

更為復雜的是，當今的移動設備并不是信息孤島——它們可以與一個支持云服務和電腦服務的生態(tài)系統(tǒng)相連接。一款典型的智能手機至少可以與一個公有云服務同步連接而不受管理員的控制。同時，很多用戶也會直接將移動設備跟家用電腦連接，對重要的設置或數(shù)據(jù)進行備份。就上述兩種情況而言，企業(yè)的重要資產(chǎn)很有可能儲存在某個不受企業(yè)直接管理、無安全保障的地方。

當今移動設備在安全方面可以說是魚龍混雜。此類移動操作平臺在設計之初就注重安全性，但這些設備畢竟屬于消費品，有時候為了保證產(chǎn)品的可用性，其安全性會打折。這樣的折中也使得此類平臺廣受歡迎，但在辦公場所使用這類設備所引發(fā)的安全風險便會有所增加。

目前，最受人們青睞的移動設備操作系統(tǒng)有兩款，即谷歌Android與蘋果iOS。談及安全方面，這兩款主流移動平臺與傳統(tǒng)的桌面及服務器操作系統(tǒng)所采用的安全模式不盡相同。雖然兩種平臺都是在現(xiàn)有操作系統(tǒng)（iOS基于蘋果OSX操作系統(tǒng)，Android基于Linux操作系統(tǒng)）的基礎上開發(fā)而來，但每款移動平臺都針對自身的核心應用設計更為精密的安全模式，其目標是使移動平臺自身就具備良好的安全性，從而擺脫對第三方安全軟件的依賴。

那么，蘋果和谷歌對創(chuàng)建安全移動平臺的探索成功了嗎？為了找到答案，我們將分別對兩款軟件的安全模式以及應用實施進行分析，從而判斷它們能否抵御當今主要的網(wǎng)絡安全威脅。

例1：iOS操作系統(tǒng)

截至本文撰寫之時，安全研究人員已發(fā)現(xiàn)，從iOS操作系統(tǒng)發(fā)行之初到現(xiàn)在，該系統(tǒng)的所有版本存在大約200種不同的漏洞，但大部分的漏洞問題并不是很嚴重。攻擊者可以利用其中絕大部分的漏洞實現(xiàn)對某個程序的控制，如Safari程序，但他們要實現(xiàn)對設備的管理員級控制卻絕非易事。不過其中一部分漏洞導致的問題則非常嚴重，如果這些漏洞被利用，攻擊者可以實現(xiàn)對設備的管理員級控制，這樣一來前者就可以獲取設備中幾乎所有的數(shù)據(jù)和服務。這類更為嚴重的漏洞被歸類為權限提升型漏洞，因為攻擊者可以利用這些漏洞提高自身權限并實現(xiàn)對設備的完全控制。

根據(jù)我們統(tǒng)計的數(shù)據(jù)，截至本文撰寫之時，蘋果公司平均每12天就要對新發(fā)現(xiàn)的漏洞進行修復。

在我們看來，iOS操作系統(tǒng)的安全模式設計良好，并且實踐證明它可以抵御多種攻擊。總體而言，有以下幾方面。

● iOS加密系統(tǒng)能很好地保護郵件及郵件附件，同時也讓設備得到清理，但卻無法有效防范蓄意攻擊者對物理設備進行的攻擊。

● iOS系統(tǒng)原理可以確保蘋果公司對每款公開應用程序進行檢測，但這種檢測方式也并不是萬無一失，而且?guī)缀蹩梢钥隙ǖ氖牵鼙灰恍┬钜夤粽呃@開。到現(xiàn)在為止，還遠不能證明這種方式能很好地防范惡意軟件攻擊、數(shù)據(jù)丟失型攻擊、數(shù)據(jù)完整性攻擊，以及拒絕服務式攻擊。

● iOS隔離模式能夠完全防范傳統(tǒng)的電腦病毒、蠕蟲病毒，還能最大限度地防范數(shù)據(jù)被間諜軟件竊取。同時，它還能防止絕大多數(shù)的基于網(wǎng)絡的攻擊，如避免設備被控制。但是，它無法防范所有類型的攻擊，如數(shù)據(jù)丟失型攻擊、資源濫用型攻擊或數(shù)據(jù)完整性攻擊。

● iOS權限模式可確保在未得到設備所有者同意的情況下，應用程序無法獲取設備位置，無法利用設備發(fā)送短信或進行通話等。

● 沒有任何一種iOS安全保護技術可以防范如網(wǎng)絡釣魚或垃圾郵件這樣的社會工程學攻擊。

例2：Android操作系統(tǒng)

截至本文撰寫之時，安全研究人員發(fā)現(xiàn)，自Android操作系統(tǒng)發(fā)行之初到現(xiàn)在，該系統(tǒng)所有版本存在18種不同漏洞，但絕大部分的漏洞問題并不大。此類漏洞若被利用，攻擊者也只能夠控制單個的程序——如網(wǎng)絡瀏覽器程序，但無法實現(xiàn)對設備的管理員級控制。而少數(shù)漏洞存在的問題卻非常嚴重，如果被利用，攻擊者可以實現(xiàn)對設備的根級別控制，幾乎能訪問設備內(nèi)的所有數(shù)據(jù)。

根據(jù)我們的統(tǒng)計數(shù)據(jù)，截至本文撰寫之時，谷歌每8天就要對其新發(fā)現(xiàn)的系統(tǒng)漏洞進行修復。

總體而言，相對于傳統(tǒng)桌面操作系統(tǒng)及服務器操作系統(tǒng)所使用的安全模式來說，Android的安全模式已有了很大的改進，但同時它也存在兩大缺陷。首先，它的源系統(tǒng)可以讓攻擊者在匿名狀態(tài)下創(chuàng)建和散布惡意軟件；其次，其權限系統(tǒng)雖然功能極其強大，但最終卻需要用戶作出重要的安全決策，然而絕大多數(shù)的用戶技術能力有限，無法作出此類決策，這個問題已經(jīng)引發(fā)了針對Android操作系統(tǒng)的社會工程學攻擊。總體而言，有以下幾方面。

● Android系統(tǒng)原理確保只有附帶數(shù)字簽名的應用程序才能在附帶Android操作平臺的設備當中安裝。但是，攻擊者在未得到谷歌認證的情況下，可以利用匿名的數(shù)字證書注冊其惡意程序并散布到網(wǎng)絡當中。攻擊者還可以輕易地通過新的匿名證書使用“木馬”或植入惡意代碼，進而通過互聯(lián)網(wǎng)進行二次傳播。從積極的一面來看，谷歌確實要求那些想通過Android官方應用平臺傳播其程序的作者付費并在谷歌進行注冊（與谷歌共享程序開發(fā)者的數(shù)字簽名）。就像蘋果公司的注冊方法一樣，這種做法可以有效抵御缺乏組織的攻擊者。

● Android默認隔離策略能有效地在應用程序之間形成隔離，同時也讓設備當中安裝的絕大多數(shù)系統(tǒng)之間形成隔離，包括Android操作系統(tǒng)內(nèi)核。但也會有一些例外情況，如應用程序可以不受限制地讀取SD卡上存儲的所有數(shù)據(jù)。

● Android系統(tǒng)權限模式確保應用程序獨立于設備中幾乎所有的主要系統(tǒng)，除非這些應用程序明確要訪問這些系統(tǒng)。但不盡如人意的是，Android操作系統(tǒng)最終需要用戶自己決定是否允許某種程序運行，這樣一來，這個系統(tǒng)就有可能遭受社會工程學攻擊。因為絕大部分用戶技術水平有限，無法作出此類關于安全性的決策，惡意軟件以及惡意軟件二次攻擊（如Dos攻擊、數(shù)據(jù)丟失型攻擊等）也就有了可乘之機。

● 目前，Android系統(tǒng)沒有提供內(nèi)置、默認的加密功能，而是依賴上述隔離方式和權限模式來確保數(shù)據(jù)安全。因此，只要讓Android手機進行“越獄”或盜取手機SD卡就可能導致大量數(shù)據(jù)的丟失。

● 跟iOS操作系統(tǒng)一樣，Android操作系統(tǒng)對于社會工程學攻擊如網(wǎng)絡釣魚或其它基于網(wǎng)絡（不針對設備本身）進行詐騙的方式也束手無策。