賽門(mén)鐵克公司日前公布了《移動(dòng)設(shè)備安全初探：針對(duì)蘋(píng)果iOS和谷歌Android(安卓)平臺(tái)安全應(yīng)用的檢測(cè)》白皮書(shū)。這份白皮書(shū)對(duì)目前兩款主流移動(dòng)設(shè)備操作系統(tǒng)——蘋(píng)果iOS系統(tǒng)和谷歌Android(安卓)系統(tǒng)進(jìn)行了深入的技術(shù)評(píng)估，從而幫助企業(yè)了解在公司內(nèi)部使用含有該操作平臺(tái)的移動(dòng)設(shè)備所面臨的安全隱患。

　　在所有分析結(jié)果中最重要的發(fā)現(xiàn)是，雖然當(dāng)前這些最受歡迎的移動(dòng)設(shè)備操作系統(tǒng)在設(shè)計(jì)之初都將安全因素納入考慮范圍，但它們?cè)诒Ｗo(hù)定期傳入移動(dòng)設(shè)備中的企業(yè)敏感資產(chǎn)這一方面仍然做得不夠。更為復(fù)雜的是，現(xiàn)在越來(lái)越多的移動(dòng)設(shè)備可以隨心所欲地與第三方基于云及桌面的服務(wù)生態(tài)系統(tǒng)進(jìn)行同步連接，而這些均不受企業(yè)控制，并且很有可能讓企業(yè)的重要資產(chǎn)面臨更大的風(fēng)險(xiǎn)。

　　這份報(bào)告對(duì)蘋(píng)果iOS和谷歌Android(安卓)操作平臺(tái)的安全模式進(jìn)行了詳細(xì)分析，并根據(jù)當(dāng)前主要安全威脅對(duì)每款產(chǎn)品的安全性進(jìn)行了評(píng)估。當(dāng)前網(wǎng)絡(luò)的主要安全威脅包括： 基于網(wǎng)站和網(wǎng)絡(luò)的攻擊、惡意軟件、社會(huì)工程學(xué)攻擊、網(wǎng)絡(luò)可用資源和服務(wù)濫用、惡意和無(wú)意的數(shù)據(jù)丟失和對(duì)設(shè)備數(shù)據(jù)完整性的攻擊。

　　這份分析報(bào)告最后得出了一些重要結(jié)論：

　　第一，與傳統(tǒng)桌面操作系統(tǒng)相比，盡管iOS和Android(安卓)移動(dòng)設(shè)備操作系統(tǒng)在安全性方面有所改進(jìn)，但仍比較脆弱，無(wú)法抵御現(xiàn)有的很多類型攻擊。

　　第二，iOS所用的安全模式能有力地抵御傳統(tǒng)惡意軟件的攻擊，這主要得益于蘋(píng)果公司擁有嚴(yán)格的應(yīng)用程序認(rèn)證程序及軟件開(kāi)發(fā)者認(rèn)證程序，通過(guò)這些認(rèn)證，每款軟件的作者都有相應(yīng)身份記錄，有利于杜絕惡意攻擊軟件。

　　第三，谷歌的認(rèn)證程序則沒(méi)有那么嚴(yán)格，它允許任何軟件開(kāi)發(fā)者在匿名狀態(tài)下創(chuàng)建和發(fā)布應(yīng)用程序，而無(wú)須接受檢測(cè)。缺乏認(rèn)證是導(dǎo)致現(xiàn)在針對(duì)Android(安卓)的惡意軟件越來(lái)越多的原因。

　　第四，Android(安卓)和iOS用戶經(jīng)常將其移動(dòng)設(shè)備與第三方云服務(wù)(如Web日歷)和家用臺(tái)式電腦同步連接。這有可能在缺乏企業(yè)監(jiān)管的情況下，使儲(chǔ)存在這些移動(dòng)設(shè)備上的企業(yè)敏感數(shù)據(jù)存在外泄風(fēng)險(xiǎn)。

　　第五，所謂的“越獄”設(shè)備，或者安全性能被禁用的設(shè)備，它們的安全性與傳統(tǒng)電腦一樣脆弱，從而常常成為惡意軟件攻擊的目標(biāo)。

　　賽門(mén)鐵克安全技術(shù)與響應(yīng)中心研究員及首席架構(gòu)師凱利·納成貝格(Carey Nachenberg)表示：“當(dāng)前的移動(dòng)設(shè)備在安全性方面可以說(shuō)是魚(yú)龍混雜。雖然在安全性方面，這些移動(dòng)操作平臺(tái)比傳統(tǒng)電腦要強(qiáng)一些，但面對(duì)許多傳統(tǒng)的惡意攻擊時(shí)，它們?nèi)匀缓艽嗳酢４送?，越?lái)越多的企業(yè)員工在使用未受管理的個(gè)人移動(dòng)設(shè)備訪問(wèn)企業(yè)敏感資源之后，又去訪問(wèn)未受企業(yè)治理的第三方服務(wù)，這就使企業(yè)的重要資產(chǎn)面臨被攻擊的風(fēng)險(xiǎn)。”