问:我最近读到这样一则消息,安全研究人员已经发现一些恶意软件被预装在智能手机上。在过去,智能手机安全威胁专家就曾提到过这一问题,而现在似乎这已经成为了现实,那么各个公司应如何确保所安装(或者是允许接入公司网络)的移动设备平台是没有恶意软件的呢?
答:智能手机和其他移动设备被预装恶意软件的问题给许多不同的产品线都造成了威胁,并且这种威胁也越来越大。比如在欧洲,送到超市(包括沃尔玛旗下的英国连锁超市Asda)的许多收银台读卡器上就被预装了嗅探器。这些读卡器在生产过程中就已被植入额外的硬件,这样信用卡和借记卡的数据通过移动电话网络传输给巴基斯坦的犯罪分子。根本想不到这些人会从外部进行破坏,因为窃听设备都有三到四盎司重,一些商店最后不得不通过称一下读卡器来检查它们是否被植入窃听设备。
另一个相关的问题是,外国情报机构人员在交易会和展览会上以送“礼物”为由接近商人。这些礼物(如,相机和记忆棒等),已经被发现含有电子木马漏洞,它们可以对用户的计算机进行远程访问。和上述的收银台读卡器的攻击方式一样,我们很难判断该设备是否已经被改装过。
如果产品在被购买之前就已被感染病毒的话,有可能迅速导致消费者对产品和供应商的不信任。任何一家生产或代工IT设备的公司,都必须确保这些设备从生产一直到运输和安装的过程中都是绝对安全的。公司还需要采取防止改装的安全措施,或者对产品进行调整以确保产品的完整性。据我所知,有些公司只允许员工使用黑莓手机,因为黑莓手机完全是在墨西哥或加拿大进行生产的,很多人都认为黑莓手机的供应链有着比iPhone更严格的控制,因为iPhone的零部件来自世界各地。
如果公司里员工有使用移动设备的需求,你可能要考虑使用美国国家安全局的安全移动环境便携式电子设备(SME PED)程序对移动设备进行认证,如Sectéra Edge。通过此认证的移动设备,会将无线语音通信列为“最高机密”,并将电子邮件和网站访问列为“秘密”的方式,从而对这些服务进行保护。
除非你正在使用一种专门的设备或软件,否则我一直都认为语音呼叫不安全,因此和传真、电子邮件一样,任何时候都不能在移动电话上讨论保密的或敏感的问题。购买移动设备前,我建议你进行一次测试,看看它是否会试图通过任何可用的网络协议进行异常的连接;你还需要对网络流量进行检查,以确保数据不会被无意地从手机中发送出去。值得庆幸的是,在智能手机和掌上电脑上基于软件进行攻击的数量相对较低,而在智能手机操作系统中所发现的极少数漏洞往往也能迅速得到修复。这可能是由于企业市场中各供应商之间的紧张气氛有所缓和,而设备安全性以及避免受到智能手机恶意软件的攻击目前正逐渐成为人们关注的重点。
【编辑推荐】