雖然人們很容易將注意力集中在惡意軟件這一令人矚目的話題，但事實(shí)上，手機(jī)被惡意軟件感染在現(xiàn)實(shí)世界中是極其罕見的。根據(jù)一項(xiàng)調(diào)查，手機(jī)感染幾率遠(yuǎn)遠(yuǎn)低于被閃電擊中的幾率。實(shí)際上，惡意軟件目前被認(rèn)為是數(shù)據(jù)泄露事件中最不常見的攻擊事件，實(shí)際上其在Verizon公司發(fā)布的《2019年數(shù)據(jù)泄露調(diào)查報(bào)告》中的威脅排名甚至在物理攻擊之后。這要?dú)w功于移動(dòng)設(shè)備惡意軟件的性質(zhì)以及現(xiàn)代移動(dòng)設(shè)備操作系統(tǒng)中內(nèi)置的固有保護(hù)。

更為現(xiàn)實(shí)的移動(dòng)設(shè)備安全隱患存在于一些容易被忽視的領(lǐng)域，所有這些領(lǐng)域只會(huì)變得更加緊迫：

1.數(shù)據(jù)泄漏

數(shù)據(jù)泄漏被普遍認(rèn)為是2019年企業(yè)安全最令人擔(dān)憂的威脅之一。還記得手機(jī)幾乎沒有被惡意軟件感染的幾率嗎?根據(jù)波洛蒙研究所的最新研究，在涉及數(shù)據(jù)泄露時(shí)，企業(yè)在未來兩年內(nèi)至少發(fā)生一次事件的幾率為28%，換句話說，幾率是四分之一以上。

這個(gè)問題令人煩惱的方面在于，它也許只是用戶無意中對(duì)哪些應(yīng)用程序能夠查看和傳輸其信息做出的不明智決定。

調(diào)研機(jī)構(gòu)Gartner公司移動(dòng)設(shè)備安全研究總監(jiān)Dionisio Zumerle說：“主要的挑戰(zhàn)是如何實(shí)施應(yīng)用程序?qū)徍?，而這一過程不會(huì)使管理員不知所措，也不會(huì)使用戶感到沮喪。”他建議使用移動(dòng)設(shè)備威脅防御(MTD)解決方案，例如Symantec公司的Endpoint Protection Mobile，CheckPoint公司的SandBlast Mobile和Zimperium公司的zIPS Protection之類的產(chǎn)品。Zumerle說，這些實(shí)用程序會(huì)掃描應(yīng)用程序中的“泄漏行為”，并可以自動(dòng)阻止有問題的進(jìn)程。

當(dāng)然，即使這樣也不會(huì)總能覆蓋由于用戶錯(cuò)誤而導(dǎo)致的泄漏，例如將企業(yè)文件傳輸?shù)焦苍拼鎯?chǔ)服務(wù)，將機(jī)密信息發(fā)送到錯(cuò)誤的位置或?qū)㈦娮余]件轉(zhuǎn)發(fā)給不當(dāng)?shù)氖占?。這是醫(yī)療保健行業(yè)目前正在努力克服的挑戰(zhàn)：專業(yè)保險(xiǎn)提供商Beazley公司聲稱，“意外泄露”是醫(yī)療保健組織在2018年第三季度調(diào)查報(bào)告中數(shù)據(jù)泄露的主要原因。意外泄露和內(nèi)部泄漏幾乎占在這個(gè)報(bào)告的所有數(shù)據(jù)泄露事件的一半。

對(duì)于這種類型的泄漏，數(shù)據(jù)丟失防護(hù)(DLP)工具可能是最有效的保護(hù)措施。此類軟件經(jīng)過專門設(shè)計(jì)，可防止在意外情況下泄露敏感信息。

2.社交工程

移動(dòng)設(shè)備與臺(tái)式機(jī)一樣，遭遇的欺騙策略同樣令人困擾。盡管人們認(rèn)為可以輕松地避免社交工程弊端，但它們?nèi)匀痪哂畜@人的效果。

根據(jù)安全機(jī)構(gòu)FireEye公司的2018年報(bào)告，91%的網(wǎng)絡(luò)犯罪始于電子郵件。該公司將此類事件稱為“無惡意軟件攻擊”，因?yàn)樗鼈円揽考倜暗炔呗哉T騙人們點(diǎn)擊危險(xiǎn)鏈接或提供敏感信息。該公司表示，網(wǎng)絡(luò)釣魚在2017年增長(zhǎng)了65%，并且移動(dòng)設(shè)備用戶面臨更大風(fēng)險(xiǎn)，因?yàn)樵S多移動(dòng)設(shè)備電子郵件客戶端只顯示發(fā)件人的姓名，這使得欺騙郵件和誘騙人們認(rèn)為電子郵件來自他們認(rèn)識(shí)或信任的人從而容易點(diǎn)擊。

根據(jù)IBM公司的一項(xiàng)研究，實(shí)際上，用戶對(duì)移動(dòng)設(shè)備上的網(wǎng)絡(luò)釣魚攻擊的可能性是臺(tái)式機(jī)的三倍，其部分原因是人們喜歡在手機(jī)上瀏覽消息。Verizon公司的最新研究支持這一結(jié)論，并指出，手機(jī)較小的屏幕尺寸以及智能手機(jī)上詳細(xì)信息的相應(yīng)顯示有限(特別是在通知中，現(xiàn)在經(jīng)常包含一鍵式選項(xiàng)以打開鏈接或響應(yīng)消息)，也可能增加網(wǎng)絡(luò)釣魚成功的可能性。

除此之外，面向動(dòng)作的按鈕在移動(dòng)設(shè)備電子郵件客戶端中的顯著位置以及工作人員傾向于使用智能手機(jī)面向多任務(wù)的分散方式擴(kuò)大了這種影響，而且大多數(shù)網(wǎng)絡(luò)流量現(xiàn)在通常發(fā)生在移動(dòng)設(shè)備，這將進(jìn)一步鼓勵(lì)網(wǎng)絡(luò)攻擊者針對(duì)這一領(lǐng)域。

這也不僅僅是電子郵件：正如企業(yè)安全機(jī)構(gòu)Wandera公司在其最新的移動(dòng)設(shè)備威脅報(bào)告中所指出的那樣，過去一年中83%的網(wǎng)絡(luò)釣魚攻擊發(fā)生在電子郵件之外，例如短信、Facebook Messenger、WhatsApp等應(yīng)用程序以及各種游戲和社交媒體服務(wù)。

此外，根據(jù)Verizon公司的最新調(diào)查數(shù)據(jù)，只有百分之幾的用戶真正點(diǎn)擊與網(wǎng)絡(luò)釣魚相關(guān)的鏈接(根據(jù)行業(yè)的不同，點(diǎn)擊率在1%到5%之間)，但Verizon公司的早期研究表明，這些受騙的人們往往會(huì)再受欺騙。該公司指出，用戶點(diǎn)擊網(wǎng)絡(luò)釣魚活動(dòng)鏈接的次數(shù)越多，將來再次點(diǎn)擊的可能性就越大。Verizon公司此前曾報(bào)道，被成功釣魚的用戶中有15%會(huì)在同一年至少再被欺騙一次。

PhishMe公司的信息安全和反網(wǎng)絡(luò)釣魚策略師John Robinson說，“我們確實(shí)看到移動(dòng)設(shè)備敏感性總體上受到移動(dòng)計(jì)算整體增長(zhǎng)的推動(dòng)，以及自攜設(shè)備(BYOD)工作環(huán)境的持續(xù)增長(zhǎng)?！痹摴纠谜鎸?shí)世界的模擬訓(xùn)練員工識(shí)別和應(yīng)對(duì)釣魚企圖。

Robinson指出，工作和個(gè)人計(jì)算之間的界限也在繼續(xù)模糊。他指出，越來越多的員工在智能手機(jī)上查看多個(gè)收件箱(連接到工作和個(gè)人賬戶的組合)，幾乎每個(gè)人在工作日都在網(wǎng)上實(shí)施某種個(gè)人業(yè)務(wù)。因此，在收到與工作相關(guān)的信息的同時(shí)，接收看似是個(gè)人郵件的想法似乎一點(diǎn)也不稀奇，即使這實(shí)際上可能是一種詭計(jì)。

如今的風(fēng)險(xiǎn)將會(huì)不斷攀升。顯然，網(wǎng)絡(luò)欺詐者現(xiàn)在還在使用網(wǎng)絡(luò)釣魚來誘騙人們放棄旨在保護(hù)帳戶免遭未經(jīng)授權(quán)訪問的雙因素身份驗(yàn)證代碼。轉(zhuǎn)向基于硬件的身份驗(yàn)證，通過專用的物理安全密鑰(例如谷歌公司的Titan或Yubico公司的YubiKeys或通過谷歌公司的Android手機(jī)的設(shè)備上安全密鑰選項(xiàng))，被廣泛認(rèn)為是提高安全性并減少網(wǎng)絡(luò)釣魚可能性的最有效方法。

根據(jù)谷歌、紐約大學(xué)和加州大學(xué)圣地亞哥分校聯(lián)合進(jìn)行的一項(xiàng)研究，即使只是在設(shè)備上進(jìn)行身份驗(yàn)證，也可以防止99%的批量網(wǎng)絡(luò)釣魚攻擊和90%的目標(biāo)攻擊，相比之下，對(duì)于那些更易受網(wǎng)絡(luò)釣魚影響的2FA碼的同類攻擊，有效率分別為96%和76%。

3. Wi-Fi干擾

移動(dòng)設(shè)備僅與通過其傳輸數(shù)據(jù)的網(wǎng)絡(luò)一樣安全。在這個(gè)時(shí)代，人們都不斷地連接到公共Wi-Fi網(wǎng)絡(luò)，這意味著人們的信息通常不像想象的那樣安全。

這到底有多重要?根據(jù)Wandera公司的研究，企業(yè)移動(dòng)設(shè)備使用Wi-Fi幾乎是使用蜂窩通信設(shè)備數(shù)據(jù)的三倍。近四分之一的設(shè)備已連接到開放且可能不安全的Wi-Fi網(wǎng)絡(luò)，并且有4%的設(shè)備在最近一個(gè)月內(nèi)遭受了中間人攻擊(即有人惡意攔截了兩方之間的通信)。安全廠商McAfee公司表示，最近，網(wǎng)絡(luò)欺騙量已經(jīng)急劇增加，但只有不到一半的人在旅行和依賴公共網(wǎng)絡(luò)時(shí)保護(hù)自己的連接。

美國(guó)錫拉丘茲大學(xué)計(jì)算機(jī)科學(xué)教授Kevin Du專門研究智能手機(jī)安全性，他說：“如今，對(duì)流量進(jìn)行加密并不難。如果沒有VPN，那么就會(huì)敞開許多大門?！?

但是，選擇適合的企業(yè)級(jí)VPN并非易事。與大多數(shù)與安全性相關(guān)的考慮一樣，幾乎總是需要進(jìn)行權(quán)衡。Gartner公司的Zumerle指出：“通過移動(dòng)設(shè)備，VPN的交付需要更加智能，因?yàn)樽畲笙薅鹊販p少資源(主要是電池)的消耗是至關(guān)重要的。”他表示，有效的VPN應(yīng)該知道僅在絕對(duì)必要時(shí)才激活，而不是在用戶訪問新聞?wù)军c(diǎn)之類的東西或在已知安全的應(yīng)用程序中工作時(shí)才激活。

4.過時(shí)的設(shè)備

智能手機(jī)、平板電腦和小型互聯(lián)設(shè)備(通常稱為物聯(lián)網(wǎng))給企業(yè)安全帶來了新的風(fēng)險(xiǎn)，因?yàn)榕c傳統(tǒng)的工作設(shè)備不同，它們通常無法保證及時(shí)且持續(xù)的軟件更新。尤其是在Android平臺(tái)上，絕大多數(shù)制造商都無法通過操作系統(tǒng)(OS)更新以及它們之間安全補(bǔ)丁程序以及物聯(lián)網(wǎng)設(shè)備來保持其產(chǎn)品的最新狀態(tài)。

Kevin Du說：“其中許多甚至沒有內(nèi)置的修補(bǔ)程序機(jī)制，如今這些威脅正越來越多?！?

波洛蒙研究所表示，除了增加網(wǎng)絡(luò)攻擊的可能性之外，廣泛使用移動(dòng)設(shè)備平臺(tái)會(huì)增加數(shù)據(jù)泄露的總體成本，而與工作相關(guān)的物聯(lián)網(wǎng)產(chǎn)品的豐富只會(huì)使這一數(shù)字進(jìn)一步攀升。據(jù)網(wǎng)絡(luò)安全廠商Raytheon公司稱，物聯(lián)網(wǎng)是一扇敞開的門，該公司發(fā)布的研究報(bào)告表明，82%的IT專業(yè)人員預(yù)測(cè)，不安全的物聯(lián)網(wǎng)設(shè)備將在其組織內(nèi)造成數(shù)據(jù)泄露，可能會(huì)導(dǎo)致災(zāi)難性后果。

同樣，實(shí)施強(qiáng)有力的安全政策還有很長(zhǎng)的路要走。有些Android設(shè)備確實(shí)會(huì)及時(shí)收到可靠的持續(xù)更新。直到物聯(lián)網(wǎng)領(lǐng)域更加成熟，這都取決于企業(yè)自己創(chuàng)建的安全網(wǎng)。

5.加密劫持攻擊

作為相關(guān)移動(dòng)設(shè)備威脅列表中的一種相對(duì)較新的威脅，加密劫持是一種攻擊，其中有人在所有者不知情的情況下使用設(shè)備來挖掘加密貨幣。人們需要知道這一點(diǎn)：加密采礦過程使用企業(yè)的設(shè)備來獲取他人的利益。它在很大程度上依賴于移動(dòng)技術(shù)來做到這一點(diǎn)，這意味著受到影響的手機(jī)電池壽命可能不足，甚至可能由于過熱而受損。

雖然加密劫持起源于臺(tái)式機(jī)，但從2017年末到2018年初，移動(dòng)設(shè)備數(shù)量激增。根據(jù)Skybox Security公司的分析，不受歡迎的加密貨幣挖礦占2018年上半年所有網(wǎng)絡(luò)攻擊的三分之一。與上半年相比，這段時(shí)間增加了70%。根據(jù)Wandera公司的調(diào)查報(bào)告，在2017年10月至2017年11月之間，特定于移動(dòng)設(shè)備的加密劫持攻擊爆炸式增長(zhǎng)，當(dāng)時(shí)受到影響的移動(dòng)設(shè)備數(shù)量激增了287%。

從那以后，這種情況有所緩和，特別是在移動(dòng)設(shè)備領(lǐng)域，這一舉措主要得益于蘋果iOS應(yīng)用商店和Android相關(guān)的谷歌游戲商店分別在2018年6月和7月禁止使用加密貨幣挖掘應(yīng)用。不過，安全機(jī)構(gòu)注意到，通過移動(dòng)設(shè)備網(wǎng)站(甚至只是移動(dòng)設(shè)備網(wǎng)站上的流氓廣告)和從非官方第三方市場(chǎng)下載的應(yīng)用程序，網(wǎng)絡(luò)攻擊仍能在某種程度上取得成功。

分析師還注意到，通過互聯(lián)網(wǎng)連接的機(jī)頂盒進(jìn)行加密劫持的可能性，一些企業(yè)可能會(huì)利用機(jī)頂盒進(jìn)行流媒體和視頻播放。安全廠商Rapid7公司表示，黑客已經(jīng)找到了一種利用明顯漏洞的方法，該漏洞使Android Debug Bridge(僅用于開發(fā)人員使用的命令行工具)變得易于訪問，并且可以濫用此類產(chǎn)品。

目前，除了謹(jǐn)慎選擇移動(dòng)設(shè)備和堅(jiān)持要求用戶只能從平臺(tái)的官方網(wǎng)站下載應(yīng)用程序的政策(在那里，加密劫持代碼的可能性顯著降低)之外，沒有別的辦法，實(shí)際上，沒有跡象表明大多數(shù)公司正面臨任何重大或直接的威脅，特別是考慮到整個(gè)行業(yè)正在采取的預(yù)防措施。盡管如此，鑒于過去幾個(gè)月這一領(lǐng)域的活動(dòng)波動(dòng)和興趣上升，隨著2019年的進(jìn)展，這一點(diǎn)令人關(guān)注。

6.密碼保護(hù)意識(shí)不強(qiáng)

人們可能會(huì)認(rèn)為現(xiàn)在已經(jīng)加強(qiáng)防范，但不知何故，很多用戶仍然沒有正確地保護(hù)他們的帳戶。當(dāng)他們攜帶的手機(jī)登錄公司帳戶和個(gè)人帳戶時(shí)，這可能面臨嚴(yán)重問題。

谷歌公司和哈里斯民意調(diào)查公司最近共同進(jìn)行的一項(xiàng)調(diào)查發(fā)現(xiàn)，根據(jù)調(diào)查樣本，超過一半的美國(guó)人在多個(gè)帳戶中重復(fù)使用了密碼。同樣令人擔(dān)憂的是，將近三分之一沒有使用2FA密碼(或者不知道他們是否在使用2F密碼，這種情況可能會(huì)更糟)。只有四分之一的人正在積極使用密碼管理器，這表明絕大多數(shù)人在大多數(shù)地方可能沒有使用特別強(qiáng)大的密碼，因?yàn)樗麄兛赡茏约涸O(shè)置和記住密碼。

事情從此變得更糟：根據(jù)LastPass公司2018年的調(diào)查分析，一半的專業(yè)人士在工作和個(gè)人賬戶上使用相同的密碼。分析發(fā)現(xiàn)，甚至一名員工在工作過程中與其同事分享了大約6個(gè)密碼。

Verizon公司在2017年的調(diào)查發(fā)現(xiàn)，企業(yè)中80%以上的黑客相關(guān)違規(guī)行為都?xì)w咎于弱密碼或被盜密碼。尤其是在移動(dòng)設(shè)備上，企業(yè)員工希望快速登錄各種應(yīng)用程序、網(wǎng)站和服務(wù)，如果哪怕只有一個(gè)人在隨機(jī)零售網(wǎng)站、聊天應(yīng)用程序或消息論壇的提示中草率地輸入他們用于企業(yè)帳戶的相同密碼，也將面臨數(shù)據(jù)泄露的風(fēng)險(xiǎn)。現(xiàn)在把這個(gè)風(fēng)險(xiǎn)和前面提到的Wi-Fi干擾風(fēng)險(xiǎn)結(jié)合起來，再乘以工作場(chǎng)所的員工總數(shù)，然后再乘以可能暴露的點(diǎn)數(shù)，風(fēng)險(xiǎn)正在迅速增加。

也許最令人煩惱的是，大多數(shù)人似乎完全忽略了他們?cè)谶@一領(lǐng)域的疏忽。在谷歌公司和哈里斯民意調(diào)查公司的調(diào)查中，69%的受訪者在有效保護(hù)自己的在線賬戶方面給自己打了“A”或“B”，顯然不能相信他們自己對(duì)安全方面的評(píng)價(jià)。

7.物理設(shè)備的數(shù)據(jù)泄露

最后但并非最不重要的是，這似乎特別愚蠢，但仍然是一個(gè)令人不安的現(xiàn)實(shí)威脅：丟失或無人看管的移動(dòng)設(shè)備可能是一個(gè)重大的安全風(fēng)險(xiǎn)，特別是如果它沒有強(qiáng)大的PIN或密碼和完整的數(shù)據(jù)加密的話。

在波洛蒙研究所在2016年進(jìn)行的一項(xiàng)研究中，35%的專業(yè)人士表示，他們的工作設(shè)備沒有強(qiáng)制措施來保護(hù)可訪問的公司數(shù)據(jù)。更糟糕的是，近一半的受訪者表示，他們的設(shè)備沒有采用密碼、PIN或生物特征安全保護(hù)措施，約三分之二的受訪者表示，他們沒有使用加密技術(shù)。68%的受訪者表示，他們有時(shí)會(huì)在通過移動(dòng)設(shè)備訪問的個(gè)人和工作帳戶中共享密碼。

這種情況似乎并沒有好轉(zhuǎn)。在其2019年移動(dòng)設(shè)備威脅態(tài)勢(shì)分析中，43%的公司在其調(diào)查中表示至少有一款智能手機(jī)沒有任何鎖屏安全措施。調(diào)查報(bào)告指出，在那些在自己的設(shè)備上設(shè)置密碼的用戶中，很多人通常選擇使用最短4個(gè)字符的密碼。

讓用戶自己擔(dān)負(fù)安全責(zé)任是不夠的。企業(yè)和員工應(yīng)該采取嚴(yán)格的安全政策和措施，為此將會(huì)受益無窮。

8.移動(dòng)設(shè)備廣告欺詐

根據(jù)美國(guó)互動(dòng)廣告局(IAB)的調(diào)查，移動(dòng)設(shè)備廣告創(chuàng)造了大量收入，僅在2019年上半年就達(dá)到了579億美元。網(wǎng)絡(luò)犯罪分子致力尋求從移動(dòng)設(shè)備廣告收入流中獲利的方法也就不足為奇了。而對(duì)廣告欺詐損失的估計(jì)卻有所不同，根據(jù)Juniper Research公司的預(yù)計(jì)，到2023年，全球每年由于廣告欺詐將損失1000億美元。

廣告欺詐可以采取多種形式，但最常見的是使用惡意軟件對(duì)廣告進(jìn)行點(diǎn)擊，這些廣告似乎來自使用合法應(yīng)用程序或網(wǎng)站的合法用戶。例如，用戶可以下載提供合法服務(wù)的應(yīng)用程序，如天氣預(yù)報(bào)或消息。不過，在后臺(tái)，應(yīng)用程序會(huì)對(duì)出現(xiàn)在這個(gè)應(yīng)用程序上的合法廣告產(chǎn)生欺詐性點(diǎn)擊。廣告發(fā)布商通常是按其產(chǎn)生的廣告點(diǎn)擊次數(shù)付費(fèi)的，因此移動(dòng)設(shè)備廣告欺詐行為從企業(yè)的廣告預(yù)算中竊取費(fèi)用，將顯著減少?gòu)V告發(fā)布商的收入。

最大的受害者是移動(dòng)設(shè)備廣告商和受廣告支持的發(fā)布商，但廣告欺詐行為也確實(shí)損害了移動(dòng)用戶的利益。與欺詐劫持一樣，廣告欺詐惡意軟件會(huì)在后臺(tái)運(yùn)行，并可能降低智能手機(jī)的性能，導(dǎo)致更高的數(shù)據(jù)費(fèi)用或手機(jī)電池過熱。安全供應(yīng)商Upstream公司估計(jì)，由于移動(dòng)廣告惡意軟件帶來的更高數(shù)據(jù)費(fèi)用，智能手機(jī)用戶每人每年可能損失數(shù)百美元。

到目前為止，Android是最流行的移動(dòng)設(shè)備廣告欺詐平臺(tái)，人們要避免這些最流行的Android惡意應(yīng)用程序：

?Snaptube

?GPS速度表

?簡(jiǎn)易掃描儀

?天氣預(yù)報(bào)

?超級(jí)計(jì)算器

?攝像頭

?快速觸控

Upstream公司的調(diào)查報(bào)告建議用戶：

?定期檢查他們的應(yīng)用程序，并刪除任何看起來可疑的應(yīng)用程序。

?監(jiān)控異常峰值的數(shù)據(jù)使用情況。

?僅從Google Play安裝應(yīng)用程序。

?安裝之前，請(qǐng)檢查應(yīng)用程序的評(píng)論，開發(fā)人員詳細(xì)信息以及請(qǐng)求的權(quán)限列表，以確保它們均適用于應(yīng)用程序的既定用途。