移动设备的安全性分析
本周,政府问责办公室(GAO)在向美国国会提交了对移动设备的安全状态报告。报告的结论是,当涉及到安全问题时,大多数移动设备都在等待攻击。移动设备缺乏安全性,成为网络攻击的对象。可以看出,移动设备正面临着严峻的situation.gao指出,在不到一年,移动设备的恶意软件变种的数量从1万4000上升到4万,或185%。
Ldquo;移动设备面临的各种威胁,攻击者经常使用这些设备中的许多常见的漏洞发动攻击。这些漏洞可以控制技术的不足,也可以自能安全的做法,消费者坏高指出,民营企业和相关的联邦机构已经采取了提高移动设备的安全措施,包括向消费者提供其使用一定的安全控制,并建议消费者最好的移动安全实践。然而,安全控制是很少部署到移动设备。我们不知道消费者是否意识到启用安全控制和在他们的设备上部署最佳安全实践的重要性。
GAO报告列出了所有移动平台最常见的问题,并提供了一些解决方案:
移动设备通常不启用密码。移动设备不设置密码来验证用户和控制对设备上存储的数据的访问。许多设备可以支持密码、个人识别号码(PIN)或基于身份验证的屏幕解锁。一些移动设备还包含一个生物识别读卡器,它可以扫描指纹验证身份。然而,据报道,这些验证机制是很少使用的消费者。此外,即使用户使用密码或PIN验证他们的身份,他们往往选择的密码很容易破解,如1234或0000。如果密码或PIN不是用来锁定装置,对被盗或丢失的手机的信息可能被未经授权的用户查看。
公牛;没有双因素身份认证时总是使用一个敏感的交易是在移动设备上进行的。根据研究,消费者通常使用静态密码,而不是双因素身份验证时,使用移动设备的敏感的交易。在静态口令认证的安全缺陷:密码可能猜到了,忘记了,写下来,或丢失,甚至窃听。与传统的密码或PIN相比,双因素身份认证提供了一个更高级别的安全性,这对于敏感的交易是非常重要的。双因素认证方式,用户需要使用至少两种不同的因子mdash;你知道什么,你还是你自己,我的认证。在一些双因素认证中,移动设备可以作为第二个因素,移动设备可以生成代码,或者代码可以通过短信发送到手机,没有双因素认证,未经授权的用户可能会在移动设备中获得敏感信息,并滥用移动设备。
公牛;无线传输通常是不加密的,通过移动设备发送信息(电子邮件,例如)通常是不加密的传输过程。此外,许多应用程序不发送数据加密和接收,使数据容易被截获。例如,如果一个应用程序使用未加密的无线网络网络使用HTTP(而不是一个安全的HTTP)来传输数据,数据容易被截获。
公牛;移动设备可能包含恶意软件,消费者可以下载应用包含恶意软件,例如,这些应用程序会伪装成游戏,安全补丁、公用事业等是用户区分合法的应用程序和恶意程序之间的困难。例如,一个应用程序可能被攻击者将恶意软件和发送它,消费者可能会不小心下载到移动设备,使数据可以很容易地封锁。
公牛;移动设备通常不使用安全软件,许多移动设备没有预先安装的安全软件抵御恶意程序、间谍软件和恶意软件。此外,用户很少会安装安全软件,这些安全软件往往会减慢运行,影响电池的寿命,但是如果不安装这些软件,攻击者可能会诱导用户透露密码或其他机密信息通过病毒,木马,间谍软件和垃圾邮件。
公牛;操作系统不更新安全补丁或修复的移动设备操作系统没有安装在移动设备上的时间,并可能需要几个星期到几个月。基于脆弱性的本质,修复程序可能会很复杂,涉及多个方面。例如,谷歌发布了一个补丁在Android操作系统的安全漏洞修复,但它需要设备厂商设备产生的修复补丁,这可能需要一段时间。当制造商生成补丁,需要各运营商测试它们并将它们传输到消费者的设备。运营商可能需要测试补丁是否会干扰设备上的其他软件,这会延迟更新时间。
此外,移动设备的使用超过两年可能无法获得安全更新,因为制造商可能不再支持这些设备。许多制造商已经停止支持智能手机在12至18个月。这些设备可能面临更大的安全风险。
公牛;移动设备上的软件可能无法及时更新。第三方应用程序的安全补丁并不总是开发和发布的时间。此外,移动第三方应用程序(包括Web浏览器)总是不通知消费者当更新发生时,不同于传统的Web浏览器,手机浏览器很少更新过时的软件的使用增加了攻击者的风险来利用这些设备的漏洞。
公牛;移动设备通常不限于互联网连接。许多移动设备没有防火墙限制连接。当一个设备连接到广域网络,它使用一个通信端口与其它设备连接和互联网。攻击者可以通过未受保护的端口访问移动设备。防火墙可以保护这些端口,允许用户选择他们想要的连接。没有防火墙,移动设备更容易受到攻击。
公牛;移动设备可能面临非法的修改。消费者通常修改移动设备的设置使其增加新的功能(称为越狱或;,这可能会增加生根)安全风险。越狱允许用户访问访问设备的操作系统,允许未经授权的软件和应用程序的安装,和/或不被绑定到特定的无线运营商,一些用户可能会安装安全增强功能,如防火墙,通过越狱和生根,而其他用户可能会寻找更便宜或更简单的方法来安装所需的应用。在后一种情况下,用户都面临着更大的安全风险,因为他们绕过了厂家的审批程序,和M无意中安装恶意软件。此外,越狱设备可能无法接收安全更新的通知。
公牛;通信信道的保护不好。通信信道(如蓝牙)设置为开或;;;;模式(这使得该装置将具有蓝牙功能的,其他的设备)可能允许攻击者通过这个连接安装恶意软件,或暗中激活麦克风或摄像机窃听用户。此外,一个不安全的公共无线网络或WiFi使用点可能允许攻击者连接到设备和查看敏感信息。
GAO报告说连接到不安全的无线网络可能允许攻击者访问设备上的个人信息,让用户面临身份被盗的风险。一个攻击使用WiFi网络被称为中间人攻击的类型,和攻击者是摆在交通流中的信息,然后是偷来的。
那么,我们如何保护移动设备呢GAO报告提供了以下解决方案:
启用用户身份验证:配置设备需要密码或PIN以便访问。此外,密码字段可以屏蔽以防止曝光,并且设备可以激活空闲时间屏幕锁定以防止未经授权的访问。
启用双因素身份验证:在移动设备上进行敏感事务时,应使用双因素身份验证。
公牛;验证:验证真伪的下载器的下载数字签名来确定自己有没有被篡改。
安装反恶意软件功能:反恶意软件保护可以抵抗恶意程序、病毒、间谍软件、受感染的安全数字卡和恶意攻击。此外,该功能还可以防止不必要的(垃圾邮件)语音邮件、短信和电子邮件附件。
安装防火墙:个人防火墙可以拦截传入和传出连接尝试,防止或允许基于规则表的这些连接,从而防止未经授权的连接。
安装安全更新:软件更新可以自动从制造商或运营商转移到移动设备。用户可以安装程序,以确保这些更新及时安装。
公牛;远程禁用丢失或被盗设备
在设备或内存卡上加密数据:使用该设备构建内置加密函数或商用加密工具。
打开白名单:白名单是一个只允许已知安全应用程序执行命令的软件控件。
建立移动设备安全策略:安全策略定义了企业对待移动设备的规则、原则和实践。政策应该包括角色和职责、基础设施安全、设备安全和安全评估。
为移动设备提供安全培训
开发一个部署计划:遵循一个好的部署计划可以帮助确保实现安全目标
风险评估:风险分析可以识别脆弱性和威胁,列出潜在的供应量,评估其成功率,并估计对移动设备成功供应的潜在损害。
执行配置控制和管理:配置管理可以确保移动设备不受不当修改的影响。