最近幾周，美國知名泄密網站“維基解密”披露9萬多份美軍機密文件，美軍襲擊伊平民視頻、關塔那摩監獄管理指導手冊、基督教科學會內部教義、氣候學家擅自更改數據、佩林私人郵件賬號以及50萬條9?11短信等眾多鮮為人知的阿富汗戰爭內幕泄漏在互聯網上，一時間，“維基解密”網站成為網民關注的重點對象。很多網友認為發生在太平洋彼岸的維基解密事件與其沒有太大關系，但是越來越多的員工正在使用Android、iPhone等智能手機，這給企業管理人員帶來的壓力將越來越嚴重。

Android、iPhone等智能手機泄密個人隱私

隨著企業信息化水平的提高，信息安全已成為企業發展中一項必不可或缺的話題。在企業中，看到這篇文章的每一位讀者都扮演著不同身份的角色，我們既是一名普通的員工，也是一名普通的消費者。而作為一名普通的消費者，對智能手機功能和售價的考慮往往多過對安全性能的考慮。而對于企業而言，智能手機的操作系統和手機應用的安全都至關重要。谷歌最新推出的手機操作系統Android 2.2就是要打消企業安管人員對手機操作系統的安全顧慮，使之放心訪問公司數據。在這里，我們將對Android操作系統的優缺點進行評估，還要列出一些使用指南，幫助大家更好地保護移動手機數據。

對于初使用者而言，微軟Exchange管理員現在可以在設備中強制執行密碼策略。他們還可以通過遠程方式另外設置一個Android手機，使其以默認狀態保護數據安全，以防手機丟失帶來的數據安全隱患。不過，攝像頭和藍牙功能無法通過遠程控制來禁用，所以可能增加數據泄漏的風險。

圖片說明：維基解密電報都從哪里來？維基解密數據并非該時期內美方所有電文，但也并非一般的篩選。這張圖展示出此次泄密電文的大致分布：

某些企業還可能存在服從性的問題，如Outlook同步聯系以及Android手機和電腦之間的信息需要用戶首先與谷歌的云服務進行同步。大量PIN碼和文數字結合的密碼可以用來解鎖設備，只是其短暫而部署欠妥的解鎖期讓人使用起來無法得心應手。

智能手機安全將面臨嚴峻挑戰

現在還沒有有效的數字加密技術，當iPhone的芯片已經實現加密的時候，Android設備仍不得不依賴于javax.crypto 軟件包。這意味著，它們信任那些正確使用加密軟件包的程序員：而這又是一個新的威脅。據說iPhone和黑莓的加密方式已經被破解，如果Android想要成功打開企業級市場，其產品應該在安全性能上比對手更勝一籌。

盡管如此，該系統允許用戶將應用下載到智能手機上的功能對很多網絡犯罪分子而言極具吸引力，而這樣也使其成為企業網絡的潛在威脅。Android依靠基于Linux的操作系統將安全級別定義在應用和系統之間，以防止破壞波及整個系統。但是有發現指出，Android應用會向用戶發送私人信息，包括在用戶毫不知情的情況下，向遠程服務器發送定位數據。

Android、iPhone等智能手機安全將面臨嚴峻挑戰

之所以會發生這種情況是因為應用在安裝過程中被認為是理所當然的，這就等于賦予了應用進行訪問的特權。盡管如此，我們卻無法阻止應用的功能被濫用。由于合法的應用有可能將惡意功能以合法方式使用，所以用戶很難評估潛在風險。

與蘋果相比，這種差異很明顯。盡管二者對所有應用都平等對待，且這些應用都可以訪問大量資源，但是默認情況下，蘋果要求對應用進行檢測后才準許使用。這些檢查的徹底程度尚不清楚，而且首先依靠人力審查似乎不比系統限制應用僅使用安裝過程中所列功能來得安全。

一旦應用獲得許可，企業需要了解應用使用功能的方式。外界批評谷歌沒有采取有效措施禁用一些違反許可證條約的應用，對此谷歌已經做出回應。直到第三方應用出具詳細的數據使用信息后，才會提供不受信任要素。

打算使用Android設備的企業并不希望對自己的移動設備策略做出全局性調整。沒有哪個移動平臺具備完美的安全性能，因此可在使用策略規定：用戶在使用公司的設備時，只能安裝公司IT部門許可的應用，而且在不明白文件來源的情況下，要避免使用開放型文件，郵件，SMS信息和即時通訊。（如果用戶使用自己的設備保存公司數據，這就會出現管理上的灰色地帶，因為我們很難將公司的策略強制推行到員工自己的設備上。）

無論是哪種操作系統，管理員都應該遵循廠商的警告，以保持設備的安全;此外還要在手機上安裝反病毒軟件數據包。McAfee公司為Android開發的VirusScan 移動版對現有客戶免費，而賽門鐵克公司的諾頓智能手機安全軟件也是免費的，它能提供反盜竊和數據威脅防護功能。

年關馬上到來，如果要給今年的IT產品頒獎，喬幫主手中的蘋果系列算是一個不可或缺的產品與玩物。從時尚女人到商務男人、從總統先生到剛懂事的孩子……頃刻之間貌似整個人類的十指與錢包都被喬幫主的蘋果系列所控制。

樹大招風 蘋果大了招黑客

近日，據國外媒體報道，美國投資公司Wedge Partners分析師Brian Blair發表投資者報告稱，預計蘋果iPhone手機在2011年的出貨量將達到1億部，iPad平板電腦的出貨量將達到4800萬臺。該分析師還指出，預計明年全球手機出貨總量將達到11億部，而平板電腦市場仍屬于襁褓階段，由于擁有iPad和iPhone兩大核心產品，2011年蘋果將繼續在智能手機和平板電腦市場獲得高速發展。

面對蘋果如此大的出貨量，不管是蘋果的投資商還是銷售上來說都是一條悅耳的消息，曾經不起眼的蘋果產品，在黑客眼中，蘋果不只是水果，更成為一頓不錯的美餐。蘋果曾經借助較小的市場份額而免受安全問題困擾的日子一去不復返，中國黑客尋找蘋果軟件漏洞，盈利已超25萬美元，美國《福布斯》雜志網絡版在2010年7月撰文稱，中國安全研究員吳石發現的瀏覽器漏洞中，有半數都來自蘋果Safari瀏覽器。

微軟十年來一直在與網絡攻擊做斗爭，也因此而變得堅固。例如“紅色代碼”蠕蟲病毒曾于2001年感染了數萬臺電腦，還有很多網站因此被黑，并被掛上了“Hacked By Chinese!”（被中國人黑了）的標語。而蘋果則因為多年以來一直被網絡犯罪分子忽略而變得有些自滿。在吳石看來，這種安逸的狀況不會延續下去。隨著有針對性的攻擊越來越多，蘋果無法再因為市場份額較小而免受安全問題的困擾。他說：“iPhone和Mac OS比Windows 7更容易攻擊。我認為，未來將有很多針對蘋果軟件的攻擊。”#p#

蘋果iOS新漏洞 黑客可控制iPad和iPhone

2010年08月，根據賽門鐵克以及私營企業Lookout和Vupen這三家安全公司稱，蘋果iPad、iPhone和iPod touch等產品中使用的iOS操作系統軟件中發現一個新安全漏洞，這個安全漏洞能夠讓黑客完全控制這些設備。

蘋果iOS操作系統中的安全漏洞是在蘋果移動設備中發現的一系列安全漏洞中比較新的安全漏洞。在今年的黑客大會上，安全專家發現在谷歌用于手機和平板電腦的Android移動操作系統中就存在一些安全漏洞。移動設備越來越容易受到攻擊，因為在移動設備上運行的軟件在過去的幾年來越來越復雜，給移動設備提供了許多類似于PC的能力。

蘋果iPhone漏洞百出

移動安全公司Lookout的首席技術官Kevin Mahaffey稱，“我們在非常復雜的軟件中發現安全漏洞不應該感到意外。在感染iPad平板電腦或者iPhone手機之前，攻擊者需要欺騙用戶訪問一個植入被感染PDF文件的網站。”Mahaffey并不知道犯罪分子利用這個安全漏洞控制蘋果設備的事件。但是，電子廠商要提供一個補救措施防止這種攻擊。

黑客越獄蘋果iOS4.1系統 自由讀取信息

在蘋果iOS4.1系統發布幾個小時后，著名黑客團隊pod2g表示，他們已經發現了ios4.1的漏洞，利用此漏洞可“越獄”運行iphone手機。黑客們說，由于修補此漏洞需要對操作系統的底層代碼做出重大改變，蘋果公司將難以修補此漏洞。

黑客們建議使用“越獄”iphone的用戶不要更新iOS，這有可能會使那些越獄運行的軟件失效。而蘋果公司表示，越獄會使iPhone的保修失效。蘋果iOS4.1新增的功能包括Game Center游戲中心，HDR高動態范圍拍照，iTunes商店電視劇集出租、Ping社交網絡和高清視頻上傳等。

目前，一款新的iPhone漏洞剛剛被黑客Bernd Marienfeldt和Jim Herbeck發現。它可以讓入侵者自由讀取iPhone手機內記載的信息，并且最新固件3.1.3也受影響，用PIN來鎖定電話在這個漏洞面前失效。

這種漏洞很有可能導致iPhone iRickRoll'd蠕蟲等病毒再度爆發，特別是后臺運行SSH，卻沒有修改默認密碼的用戶尤其容易受到影響。

安全專家稱iPhone漏洞可泄露用戶信息

據國外媒體報道，安全專家Bernard Marienfeldt的最新報告顯示，蘋果iPhone存在一個安全漏洞。不法分子可以借此獲取用戶信息。瑪瑞恩菲爾表示，把iPhone與Windows或Mac OS X設備連接時，只會顯示DCIM文件夾。但是如果與最新版的Ubuntu Lucid Lynx系統連接，便可獲得iPhone的全部數據讀取權限。即使用PIN鎖定該手機也無濟于事。

要利用這一漏洞無需對iPhone進行特別配置。為了方便數據同步，用戶無需使用任何軟件即可與電腦進行數據交換。另外一個引發這一漏洞的問題在于，iPhone缺乏數據加密措施。

瑪瑞恩菲爾特說，通過進一步研究，還有可能獲得iPhone的全部寫入權限。倘若果真如此，未經授權的團體便有可能獲取用戶的電話和短信內容。而這也有可能導致企業用戶在使用iPhone時產生更多顧慮。

iPhone漏洞或致手機受釣魚攻擊

據國外媒體報道，蘋果iPhone在執行思科簡單證書系統協議（以下簡稱為“SCEP”）時的漏洞會導致手機遭受黑客的釣魚攻擊。黑客將能通過提供假的移動配置文件誘使iPhone手機訪問惡意服務器。

據悉，蘋果推出iPhone OS系統并對思科SCEP協議提供支持，目的是增強使用iPhone進行移動企業管理時的安全性。蘋果使用SCEP協議登錄證書服務器，以檢查移動配置文件是否由可信任的來源頒發，但問題是，這一過程并不總是能順利進行。

一位不愿具名的安全專家表示，問題的根源來自于蘋果執行SCEP協議所采用的方法，SCEP是一種用來管理封閉系統公鑰基礎結構的協議。比如，它能用來管理企業IT部門為iPhone部署的安全證書和安全策略等。然而糟糕的是，iPhone使用Safari瀏覽器的證書授權方列表來認證移動配置文件。具體而言就是，iPhone只要求頒發移動配置文件的證書具備簽名，而不會限制該證書只能進行哪些操作。

一位業內人士演示了如何用假證書攻擊iPhone。首先，他從VeriSign公司獲得了一個臨時且只有簽名的測試證書，該證書簽名為“蘋果公司”。隨后，他使用該證書創建了一個假的移動配置文件，看上去似乎的確是由蘋果公司提供。凡是下載了該配置文件的用戶都會相信文件來自蘋果，并進行安裝。這正是噩夢的開始。

移動配置文件能更改iPhone上的許多設置，有些僅僅是帶來些麻煩，比如阻止iPhone訪問應用商店或是使用移動Safari瀏覽器。有些則會產生嚴重后果，比如更改虛擬專用網VPN的設置，從而讓iPhone連接上黑客的服務器。此外，iPhone的郵件設定還有可能被更改，所有外發郵件都將通過黑客架設的惡意服務器轉發，而用戶卻一無所知。

【編輯推薦】

1. RSA發布Android版軟件式身份認證令牌
2. 企業Android安全：移動手機數據保護建議