赛门铁克安全技术与响应中心副总裁兼研究员 | Carey Nachenberg

移动设备的安全设想成功了吗？

赛门铁克安全技术与响应中心副总裁兼研究员 | Carey Nachenberg

一些移动操作平台在设计之初就注重安全性，但这些设备毕竟属于消费品，有时候为了保证产品的可用性，其安全性会打折。

随着种类繁多的消费类设备不断进入工作场所，首席信息官以及首席信息安全官正面临着一场严峻的信息安全考验。现在，越来越多的用户使用移动设备访问企业服务，查看企业数据，进行业务操作。此外，很多设备不受管理员的控制，这就意味着企业敏感数据没有受到企业现有遵从、安全及数据丢失防护（DLP）等政策的约束。

更为复杂的是，当今的移动设备并不是信息孤岛——它们可以与一个支持云服务和电脑服务的生态系统相连接。一款典型的智能手机至少可以与一个公有云服务同步连接而不受管理员的控制。同时，很多用户也会直接将移动设备跟家用电脑连接，对重要的设置或数据进行备份。就上述两种情况而言，企业的重要资产很有可能储存在某个不受企业直接管理、无安全保障的地方。

当今移动设备在安全方面可以说是鱼龙混杂。此类移动操作平台在设计之初就注重安全性，但这些设备毕竟属于消费品，有时候为了保证产品的可用性，其安全性会打折。这样的折中也使得此类平台广受欢迎，但在办公场所使用这类设备所引发的安全风险便会有所增加。

目前，最受人们青睐的移动设备操作系统有两款，即谷歌Android与苹果iOS。谈及安全方面，这两款主流移动平台与传统的桌面及服务器操作系统所采用的安全模式不尽相同。虽然两种平台都是在现有操作系统（iOS基于苹果OSX操作系统，Android基于Linux操作系统）的基础上开发而来，但每款移动平台都针对自身的核心应用设计更为精密的安全模式，其目标是使移动平台自身就具备良好的安全性，从而摆脱对第三方安全软件的依赖。

那么，苹果和谷歌对创建安全移动平台的探索成功了吗？为了找到答案，我们将分别对两款软件的安全模式以及应用实施进行分析，从而判断它们能否抵御当今主要的网络安全威胁。

例1：iOS操作系统

截至本文撰写之时，安全研究人员已发现，从iOS操作系统发行之初到现在，该系统的所有版本存在大约200种不同的漏洞，但大部分的漏洞问题并不是很严重。攻击者可以利用其中绝大部分的漏洞实现对某个程序的控制，如Safari程序，但他们要实现对设备的管理员级控制却绝非易事。不过其中一部分漏洞导致的问题则非常严重，如果这些漏洞被利用，攻击者可以实现对设备的管理员级控制，这样一来前者就可以获取设备中几乎所有的数据和服务。这类更为严重的漏洞被归类为权限提升型漏洞，因为攻击者可以利用这些漏洞提高自身权限并实现对设备的完全控制。

根据我们统计的数据，截至本文撰写之时，苹果公司平均每12天就要对新发现的漏洞进行修复。

在我们看来，iOS操作系统的安全模式设计良好，并且实践证明它可以抵御多种攻击。总体而言，有以下几方面。

● iOS加密系统能很好地保护邮件及邮件附件，同时也让设备得到清理，但却无法有效防范蓄意攻击者对物理设备进行的攻击。

● iOS系统原理可以确保苹果公司对每款公开应用程序进行检测，但这种检测方式也并不是万无一失，而且几乎可以肯定的是，它能被一些蓄意攻击者绕开。到现在为止，还远不能证明这种方式能很好地防范恶意软件攻击、数据丢失型攻击、数据完整性攻击，以及拒绝服务式攻击。

● iOS隔离模式能够完全防范传统的电脑病毒、蠕虫病毒，还能最大限度地防范数据被间谍软件窃取。同时，它还能防止绝大多数的基于网络的攻击，如避免设备被控制。但是，它无法防范所有类型的攻击，如数据丢失型攻击、资源滥用型攻击或数据完整性攻击。

● iOS权限模式可确保在未得到设备所有者同意的情况下，应用程序无法获取设备位置，无法利用设备发送短信或进行通话等。

● 没有任何一种iOS安全保护技术可以防范如网络钓鱼或垃圾邮件这样的社会工程学攻击。

例2：Android操作系统

截至本文撰写之时，安全研究人员发现，自Android操作系统发行之初到现在，该系统所有版本存在18种不同漏洞，但绝大部分的漏洞问题并不大。此类漏洞若被利用，攻击者也只能够控制单个的程序——如网络浏览器程序，但无法实现对设备的管理员级控制。而少数漏洞存在的问题却非常严重，如果被利用，攻击者可以实现对设备的根级别控制，几乎能访问设备内的所有数据。

根据我们的统计数据，截至本文撰写之时，谷歌每8天就要对其新发现的系统漏洞进行修复。

总体而言，相对于传统桌面操作系统及服务器操作系统所使用的安全模式来说，Android的安全模式已有了很大的改进，但同时它也存在两大缺陷。首先，它的源系统可以让攻击者在匿名状态下创建和散布恶意软件；其次，其权限系统虽然功能极其强大，但最终却需要用户作出重要的安全决策，然而绝大多数的用户技术能力有限，无法作出此类决策，这个问题已经引发了针对Android操作系统的社会工程学攻击。总体而言，有以下几方面。

● Android系统原理确保只有附带数字签名的应用程序才能在附带Android操作平台的设备当中安装。但是，攻击者在未得到谷歌认证的情况下，可以利用匿名的数字证书注册其恶意程序并散布到网络当中。攻击者还可以轻易地通过新的匿名证书使用“木马”或植入恶意代码，进而通过互联网进行二次传播。从积极的一面来看，谷歌确实要求那些想通过Android官方应用平台传播其程序的作者付费并在谷歌进行注册（与谷歌共享程序开发者的数字签名）。就像苹果公司的注册方法一样，这种做法可以有效抵御缺乏组织的攻击者。

● Android默认隔离策略能有效地在应用程序之间形成隔离，同时也让设备当中安装的绝大多数系统之间形成隔离，包括Android操作系统内核。但也会有一些例外情况，如应用程序可以不受限制地读取SD卡上存储的所有数据。

● Android系统权限模式确保应用程序独立于设备中几乎所有的主要系统，除非这些应用程序明确要访问这些系统。但不尽如人意的是，Android操作系统最终需要用户自己决定是否允许某种程序运行，这样一来，这个系统就有可能遭受社会工程学攻击。因为绝大部分用户技术水平有限，无法作出此类关于安全性的决策，恶意软件以及恶意软件二次攻击（如Dos攻击、数据丢失型攻击等）也就有了可乘之机。

● 目前，Android系统没有提供内置、默认的加密功能，而是依赖上述隔离方式和权限模式来确保数据安全。因此，只要让Android手机进行“越狱”或盗取手机SD卡就可能导致大量数据的丢失。

● 跟iOS操作系统一样，Android操作系统对于社会工程学攻击如网络钓鱼或其它基于网络（不针对设备本身）进行诈骗的方式也束手无策。