10个最常见的移动设备安全问题及解决办法
本周美国政府问责局(Government Accountability Office,GAO)向美国国会提交了关于移动设备安全状态的报告,报告的结论是:当涉及安全性时,大多问问通数移动设备都是等待被攻击的目标。
移动设备缺乏安全性,并且它们已经成为网络攻击者的目标,可见,当前移动设备面临着严峻的态势。
GAO指出,在不到一年的时间内,针对移动设备的恶意软件变体数量已经从1.4万上升到4万,或者说185%的增长。
“移动设备面临着各种威胁,攻击者往往利用这些设备中很多常见的漏洞来发动攻击。
这些漏洞可能是技术控制不足的结果,也可能源自消费者糟糕的安全做法,”GAO指出,“私有企业和相关联邦机构已经采取措施来提高移动设备的安全性,包括为消费者提供某些安全控制以供他们使用,以及问问通向消费者推荐移动安全最佳做法。
然而,安全控制很少真正被部署到移动设备上,并且,我们也不清楚消费者是否意识到在其设备上启用安全控制以及部署最佳安全做法的重要性。
”
GAO报告中列出了所有移动平台都存在的最常见问题,并且提供了一些解决方法:
•移动设备往往没有启用密码。
移动设备没有设置密码来验证用户以及控制对存储在设备上数据的访问。
很多设备能够支持密码、个人识别码(PIN)或者身份验证式的屏幕解锁,一些移动设备还包含一个生物识别读卡器,可以扫描指纹来验证身份。
然而,根据报告指出,消费者很少使用这些验证机制。
此外,即使用户使用密码或者PIN来验证身份,他们往往会选择很容易被破解的密码,例如1234或者0000。
如果没有使用密码或PIN来锁定设备,被盗或丢失手机上的信息可能被未经授权用户查看。
•当在移动设备上进行敏感交易时,并没有总是使用双因素身份验证。
根据研究显示,在使用移动设备进行敏感交易时,消费者通常使用静态密码,而非双因素身份验证。
使用静态密码进行身份验证存在安全缺陷:密码可能被猜出、忘记、写下来或者丢失,甚至窃听。
与传统的密码或者PIN相比,双因素身份验证能够提供更高水平的安全性,这种安全性对于敏感交易非常重要。
双因素身份验证指的是用户需要使用至少两种不同的“因素”—你知道的东西、你拥有的东西或者你本身,来进行身份验证。
在某些双因素身份验证中,移动设备可以作为问问通第二个因素。
移动设备可以产生代码,或者代码可以通过短信发送到手机。
如果没有双因素身份验证,未经授权用户可能获取移动设备中的敏感信息,并滥用移动设备。
• 无线传输通常没有加密。
移动设备发出的信息(例如电子邮件)在传输中通常没有进行加密。
此外,很多应用程序不会加密它们传输和接收的数据,这样数据很容易被拦截。
例如,如果应用程序通过未加密的无线网络使用http(而不是安全的http)来传输数据,数据很容易被拦截。
• 移动设备可能包含恶意软件。
消费者可能会下载包含恶意软件的应用程序,例如,这些应用程序会伪装成游戏、安全补丁、实用工具等。
用户很难区别合法应用程序和恶意程序。
例如,应用程序可能被攻击者加入恶意软件并进行重新封装,而消费者可能不小心将其下载到移动设备中,这样数据就很容易被拦截。
• 移动设备通常不使用安全软件。
很多移动设备没有预先安装的安全软件来抵御恶意程序、间谍软件和恶意软件。
此外,用户也很少会安装安全软件。
这些安全软件往往会减慢操作和影响电池寿命,但如果不安装这些软件,攻击者可能通过病毒、木马、间谍软件问问通和垃圾邮件来诱使用户透露密码或其他机密信息。
• 操作系统没有被更新。
针对移动设备操作系统的安全补丁或修复程序并没有及时被安装在移动设备上,可能需要几周到几个月。
基于漏洞的性质,修复程序可能很复杂,并涉及多方。
例如,谷歌发布了补丁来修复Android操作系统中的安全漏洞,但这需要设备制造商来生成针对设备的补丁来修复,这可能需要一段时间。
而在制造商生成补丁后,还需要每个运营商对其进行测试,并传输到消费者的设备,而运营商可能需要测试补丁是否会干扰设备上的其他软件,这将延迟更新时间。
此外,使用超过两年的移动设备可能无法接收安全更新,因为制造商可能不再支持这些设备。
很多制造商会在12到18个月内停止对智能手机的支持。
这些设备可能面临更大的安全风险。
• 移动设备上的软件可能没有及时更新。
针对第三方应用程序的安全补丁并没有总是及时地开发和发布。
此外,当出现更新程序时,移动第三方应用程序(包括web浏览器)并不总会通知消费者。
与传统Web浏览器不同,移动浏览器很少得到更新。
使用过时的软件增加了攻击者利用这些设备存在的漏洞的风险。
• 移动设备通常不限制互联网连接。
很多移动设备没有防火墙来限制连接。
当设备被连接到广域网络时,它使用通信端口与其他设备以及互联网连接。
攻击者可以通过不受保护的端口来访问移动设备。
防火墙能够保护这些端口,并允许用户选择其想要的连接。
没有防火墙的话,移动设备更容易受到攻击。
• 移动设备可能面临未经授权的修改。
消费者通常会修改移动设备设置以让他们添加新功能(称为“越狱”或“生根”),而这可能增加安全风险。
越狱允许用户获取对设备操作系统的访问权限,以允许未经授权软件和应用程序
的安装,和/或不被绑定到特定无线运营商。
有些用户可能通过越狱或生根的方式,来安装安全增强功能,例如防火墙,而其他用户可能只是寻求更便宜或更简单的方式来安装所需的应用程序。
在后一种情况中,用户面临更大的安全风险,因为他们绕过了制造商建立的审批程序,可能无意中安装恶意软件。
此外,越狱设备可能无法接收安全更新的通知。
• 通信通道没有受到很好的保护。
将通信通道(例如蓝牙)设置为“打开”或“发现”模式(即允许设备被其他具有蓝牙功能的设备发现),可能让攻击者通过这个连接安装恶意软件,或者暗中激活麦克风或摄像头窃听用户。
此外,使用不安全的公共无线互联网或WiFi点可能允许攻击者连接到该设备,并查看敏感信息。
GAO报告称,连接到不安全WiFi网络可能让攻击者访问设备上的个人信息,让用户面临身份盗窃的风险。
其中一种利用WiFi网络的攻击类型被称为中间人攻击,攻击者置身于通信流的中间,然后窃取信息。
那么,我们应该如何保护移动设备呢?GAO报告提供了以下解决办法:
• 启用用户身份验证:将设备配置为需要密码或PIN进行访问。
此外,密码字段可以进行屏蔽,以防止被暴露,并且设备可以激活空闲时间屏幕锁定,以防止未经授权访问。
• 启用双因素身份验证:当在移动设备上进行敏感交易时,应使用双因素身份验证。
• 验证下载程序的真伪:对下载程序的数字签名进行验证以确定它们没有被篡改过。
• 安装反恶意软件功能:反恶意软件保护可以抵御恶意程序、病毒、间谍软件、被感染安全数码卡以及恶意攻击。
此外,这种功能还可以防止不必要的(垃圾邮件)语音邮件、文本消息和电子邮件附件。
• 安装防火墙:个人防火墙可以拦截传入和传出连接尝试,基于规则表来阻止或允许这些连接,从而防止未经授权的连接。
• 安装安全更新:软件更新可以自动从制造商或运营商直接传送到移动设备。
用户可以安装程序来确保这些更新的及时安装。
• 远程禁用丢失或被盗设备
• 对设备或内存卡上的数据进行加密:使用设备内置加密功能或者市售的加密工具。
• 启用白名单:白名单是一种软件控制,只允许已知的安全应用程序来执行命令。
• 建立一个移动设备安全政策:安全政策定义了企业对待移动设备的规则、原则和做法等。
政策应该涵盖角色和职责、基础设施安全、设备安全和安全评估等。
• 提供移动设备安全培训
• 制定部署计划:遵循良好的部署计划可以帮助确保安全目标的实现
• 进行风险评估:风险分析能够识别问问通漏洞和威胁、列举潜在供给、评估其成功率,以及估计成功供给对移动设备的潜在损害。
• 执行配置控制和管理:配置管理能够确保移动设备免受不当的修改。
