也许对于移动电话来说,最大的安全问题在于,很容易丢失或者被盗。除非丢失或者被盗的手机已经由其拥有者设置了保护以禁止未经授权的使用,理论上来说,任何得到手机的人都能够与手机所有者一样任意地查看手机信息。但是,当手机没有丢失或者被盗的时候,可能出现怎样的安全问题呢?本文将以苹果公司的iPhone作为代表来探讨移动手机安全问题。
2008年夏天,苹果公司推出了3G版iPhone以及新版本的iPhone软件(2.x),虽然新软件包括很多商业功能,其中存在的最潜在的安全问题就是iPhone用户可以从苹果公司的iTunes下载新的应用程序。iPhone手机就像小型的个人电脑,用户可以购买第三方供应商开发的应用程序,到2009年4月,用户已经成功下载了超过10亿以上的应用程序。
这些应用程序涵盖了各个领域的程序,包括医疗、公共事业、社会网络、旅游、天气、新闻等,用户可以直接通过数据连接器下载到iPhone上或者通过使用安装在电脑上的iTunes程序来下载。
由于在个人计算机上运行第三方应用程序可能导致很多安全隐患问题,IT管理员们也开始担心员工电话上安装的恶意iPhone软件可能对企业造成安全威胁。这些装置可能带来的安全威胁包括:很多工作人员使用企业的受保护无线网络将iPhone连接到互联网;或者员工可能将企业关键信息(联系人、数据文件等)保存在iPhone上。理论上来说,恶意软件可能获取或者修改敏感信息,甚至直接将敏感信息发送给未经授权的接收者。
除了少数情况外,一般情况下,iPhone拥有者只能通过苹果的iTunes来获取iPhone应用程序,并且只有在电脑上安装了iTunes时才能访问iTunes库。通常,用户不能从其他任何来源下载应用程序,或者与其他iPhone拥有者分享他们的应用程序,即使是免费的程序。这种垄断模式使苹果公司可以审查iPhone用户安装在其手机上的每一个应用程序,在紧急情况下,苹果公司还可以远程删除或者禁用被安装在iPhone上的恶意程序。
根据笔者的个人观察与分析,iPhone操作系统的主要安全限制包括以下几点:
· 没有应用程序可以访问iPhone操作系统文件
·没有应用程序可以访问其他应用程序文件(除少数例外),应用程序创建的任何文件都必须保持在本地位置,例如,用于编辑Java文件的应用程序只能边际该应用程序创建的Java文件,或者下载至该程序的文件。主要例外情况包括:第三方应用程序可能访问和修改存储的照片和电话联络簿。
· 没有任何应用程序可以修改系统设置
· 如果一个应用程序崩溃,并且只有该程序崩溃,操作系统是不会受到影响的。在实际操作中,崩溃的程序可能导致系统需要重启。
·iPhone应用程序可能会与电脑程序同步来交换或者更新程序的数据,但是同步又必须通过无线局域网络连接来实现,而不能使用有线连接iPhone与电脑。
·应用程序允许通过使用iPhone的网络连接与互联网进行连接,因此,理论上讲,应用程序内的任何数据文件都可以在不让iPhone拥有者知情的情况下被发送到未经授权的目的地,这种就可能是木马程序,虽然这种程序能够逃脱苹果公司的初步审查,而实际上木马程序作者不知道其实是通过iTunes来传输的。
换言之,应用程序都是相互独立的个体,虽然恶意软件编写者可能使用移动电话帮助盗取或者发布机密信息,但是这种可能性远远小于iPhone拥有者使用下载应用程序带来的安全风险。正如上文所说,移动电话的主要安全风险在于丢失或者被盗。当员工的手机丢失或者被盗时,企业就需要为潜在的数据泄漏事故做好各种准备,除非该员工的手机装了机密软件。除了使用密码或者个人识别码(PIN)保护手机本身不受未经授权访问外,还有几个实用的加密和数据保护应用程序可供手机使用:
· SplashID
· 1Password
· My Eyes Only
· Verisign Identity Protection (VIP)
· Jaadu VNC
对于智能手机用户而言,只有部署了适当的防范措施,企业安全管理人员才可以不再为手机安全而担忧。
【编辑推荐】