賽門鐵克：iOS與Android存重大安全隱患

　　賽門鐵克公司日前公佈了《移動設備安全初探：針對蘋果iOS和GoogleAndroid(安卓)平台安全應用的檢測》白皮書。這份白皮書對目前兩款主流移動設備作業系統——蘋果iOS系統和GoogleAndroid(安卓)系統進行了深入的技術評估，從而幫助企業瞭解在公司內部使用含有該操作平台的移動設備所面臨的安全隱患。

　　在所有分析結果中最重要的發現是，雖然當前這些最受歡迎的移動設備作業系統在設計之初都將安全因素納入考慮範圍，但它們在保護定期傳入移動設備中的企業敏感資產這一方面仍然做得不夠。更為複雜的是，現在越來越多的移動設備可以隨心所欲地與第三方基於雲及桌面的服務生態系統進行同步連接，而這些均不受企業控制，並且很有可能讓企業的重要資產面臨更大的風險。

　　這份報告對蘋果iOS和GoogleAndroid(安卓)操作平台的安全模式進行了詳細分析，並根據當前主要安全威脅對每款產品的安全性進行了評估。當前網絡的主要安全威脅包括： 基於網站和網絡的攻擊、惡意軟體、社會工程學攻擊、網絡可用資源和服務濫用、惡意和無意的數據丟失和對設備數據完整性的攻擊。

　　這份分析報告最後得出了一些重要結論：

　　第一，與傳統桌面作業系統相比，儘管iOS和Android(安卓)移動設備作業系統在安全性方面有所改進，但仍比較脆弱，無法抵禦現有的很多類型攻擊。

　　第二，iOS所用的安全模式能有力地抵禦傳統惡意軟體的攻擊，這主要得益於蘋果公司擁有嚴格的應用程式認證程式及軟體開發者認證程式，通過這些認證，每款軟體的作者都有相應身份記錄，有利於杜絕惡意攻擊軟體。

　　第三，Google的認證程式則沒有那麼嚴格，它允許任何軟體開發者在匿名狀態下創建和發佈應用程式，而無須接受檢測。缺乏認證是導致現在針對Android(安卓)的惡意軟體越來越多的原因。

　　第四，Android(安卓)和iOS用戶經常將其移動設備與第三方雲服務(如Web日曆)和家用台式電腦同步連接。這有可能在缺乏企業監管的情況下，使儲存在這些移動設備上的企業敏感數據存在外洩風險。

　　第五，所謂的「越獄」設備，或者安全性能被禁用的設備，它們的安全性與傳統電腦一樣脆弱，從而常常成為惡意軟體攻擊的目標。

　　賽門鐵克安全技術與響應中心研究員及首席架構師凱利·納成貝格(Carey Nachenberg)表示：「當前的移動設備在安全性方面可以說是魚龍混雜。雖然在安全性方面，這些移動操作平台比傳統電腦要強一些，但面對許多傳統的惡意攻擊時，它們仍然很脆弱。此外，越來越多的企業員工在使用未受管理的個人移動設備訪問企業敏感資源之後，又去訪問未受企業治理的第三方服務，這就使企業的重要資產面臨被攻擊的風險。」