iOS 7:升級一小步 安全一大步
企業安全領域邁出的一大步
從大多數角度來看,iOS的安全設計成效并不比其它操作系統好多少。不過事實上現實世界中的安全問題已經沒那么可怕。蘋果公司在安全領域做出的努力還遠遠達不到要求,但從另一方面看,這也是因為第三方安全供應商出手解決了這類難題。
蘋果在安全管理工作中的不足催生出移動設備管理(簡稱MDM)與移動應用管理(簡稱MAM)兩大產業。正是由于這些產業的存在,IT部門才能較為輕松地管理并控制移動設備的使用,這同時也是iOS 7安全改進的重要依托。
iOS 7為我們帶來眾多頗具吸引力的新型安全功能,例如Touch ID,這是生物識別技術首次被應用在手機平臺上;遠程鎖定,為丟失或者被盜的手機繼續提供保護。當然,此外還有其它一些重要改進,但比MDM改進還要復雜難懂。
在今天的文章中,我們將共同探討七大改進,看看iOS 7在操作系統安全方面為企業帶來哪些iOS 6所不具備的福音。
Find My iPhone 現在添加了遠程鎖定功能
如果您的手機丟失或者被盜,Find My iPhone允許大家對設備進行定位或者清除其中的數據。iOS 7對這一安全機制進行了大幅強化,允許用戶在手機上顯示一條消息并阻止其他人隨意使用。即使是在手機數據被全部清除之后,iOS 7仍將繼續保持這種阻止狀態,直到使用者登陸正確的iCloud賬戶。
這是一項每位用戶都有所了解的功能。在大多數情況下,此功能既適用于企業用戶、也適用于普通消費者,畢竟沒人希望自己的手機丟失或者被盜。在丟失的情況下,用戶希望通過提醒幫助拾到者與自己聯系。如果是被盜,用戶則希望避免竊賊訪問自己的數據、最好能讓設備在對方手里變成一塊廢磚。
因為微軟和谷歌也有相同或者相似的安全功能,所以我認為明年手機盜竊案可以得到一定數量上的控制。
如果IT部門想將設備設置成“丟失”模式,他們可以通過手機在新移動設備管理界面(前文中有所提及)進行Find My iPhone設置。但是,為了使其更加便于管理,手機用戶(尤其是擁有 iCloud 證書認證的用戶)首先需要禁用此項設置。清除手機內部信息同樣可以移植到在遠程鎖定系統上,但是使用者仍然需要進入手機的iCloud 認證系統才能恢復手機內被清除的信息和數據。
MDM, MAM, EMM – 蘋果正在迎頭趕上
移動設備管理(簡稱MDM)是由黑莓發明的,但MDM業務卻在蘋果的領地內生根發芽——他們拿過黑莓的API并將其放開,從而與外部管理系統進行對接。目前許多企業都在出售移動管理方案,其中MobileIron、AirWatch以及Good Technology等公司已經成功做大做強。
不過蘋果的MDM API仍然存在嚴重的局限性(直到不久之前)。前面提到的各大第三方安全廠商涌入iOS平臺,為其設計了新型技術方案,旨在管理應用程序、成本并提供更為精確的設備管理流程。這類技術被統稱為移動應用管理(簡稱MAM)以及企業移動管理(簡稱EMM)。
如今在iOS 7中,蘋果極大地擴展了iOS系統自身的管理能力。舉例來說,在新系統的幫助下,IT部門:能夠防止iOS用戶在設備上更改或者刪除賬戶;可以控制哪些iOS 7設備屬于受信設備,允許通過藍牙連接;可以控制用戶對設備設置的更改,例如壁紙;能夠禁用個人熱點、查詢設備中的具體設置結果甚至能夠限制廣告追蹤。企業方面甚至可以在購買時進行MDM指定注冊。其它一些功能也值得討論,我將在后面的內容中另行敘述。
目前我們還不清楚蘋果在系統安全功能方面的提升會不會給現有MDM廠商帶來威脅。目前只有少數幾家大型客戶打算托管iOS客戶端,而且很多獨立公司還需要為Android及Windows Phone提供支持,甚至不少廠商還推出了更為出色的具體功能。不過對于使用者來說,更強大的安全性總歸是好事。
iOS 7修正了iOS 6中所存在的大量漏洞
每一個新的iOS版本都會修復原有版本中存在的安全漏洞,但iOS 7的表現比以往幾代都要好。正如我在另一篇文章中所提到,iOS 7修復了iOS 6中的80個漏洞。對于打算繼續堅守iOS 6的用戶及IT人士來說,蘋果拒絕為舊版本提供補丁的做法恐怕要讓他們忙上一陣了。
每一臺新的iOS設備通常也會讓舊設備面臨某些“不受支持”的問題。iPhone 3GS及iPad(第一代)就無法升級到iOS 7,也就是說它們將繼續經受安全漏洞的折磨。
兩個特定漏洞的存在證明了問題的嚴重性,這就是:CVE-2013-1025,iOS CoreGraphics中的緩沖區溢出問題,允許攻擊者利用惡意PDF文件獲得對處理流程的控制權,不過只作用于沙箱類瀏覽器環境下。CVE-2013-3953則是一個權限提升漏洞,允許惡意程序突破沙箱環境。在二者相結合的情況下,CVE-2013-1025與CVE-2013-3953能夠在用戶查看網站時取得完全的控制權。順帶一提,這正是著名的JailkbreakMe所利用的機制:將代碼執行與權限提升漏洞相結合,通過單純網頁瀏覽實現攻擊目的。
是的,CVE-2013-1025與CVE-2013-3953目前已經被補丁所修復,但問題的出現表明iOS確實存在嚴重的安全隱患。
管理“在……中打開”
當用戶在特定應用程序中點擊對應文檔的“分享”按鈕時,同時也引發了一系列潛在的軟件問題:“在……中打開”會生成對應文檔的副本,而應用程序本身并未考慮到可能由此導致的安全問題。
在iOS 7中,通過MDM界面,IT人士能夠指定哪些應用程序有權處理哪些特定內容類型,這就從側面限制了受管應用的訪問機制。這種方式被稱為“管理‘在……中打開’”。
為每款應用配備VPN
我們一般認為在移動平臺上為全局系統配備VPN并不可取,這一方面是出于安全考量,另一方面是因為企業并不需要把用戶的所有流量都通過VPN進行傳輸。
一段時間以來,MDM供應商已經開始允許IT人士為每款應用程序指定VPN:每款受管應用的每個實例都擁有自己的VPN通道。如今iOS 7允許用戶通過MDM界面管理這些特定VPN。
VPN受到IT組織的全局管理。當應用程序啟動時,與之匹配的VPN通道也將同時啟動;而在應用進程結束時,通道也隨之關閉。用戶只需像往常一樣打開并使用應用程序即可,VPN的介入應該不會給使用過程帶來任何影響。
在企業方面,技術人員可以從F5、思科、瞻博或者其它廠商所提供的數十種VPN產品中做出選擇,但具體產品需要升級到支持該功能的版本才能正常起效。
企業單點登錄
沒有人喜歡一遍遍重復輸入密碼,這一點在手機那小小的屏幕上顯得尤其明顯。有了企業單點登錄功能,IT部門能夠幫助用戶輸入一組企業證書,而后在任何一款應用上進行驗證。
iOS的早期版本只允許用戶在來自同一家供應商的不同應用之間使用單點登錄機制,但在iOS 7當中,來自任何廠商的任何應用都可以享受這一便利。
IT部門還可以在單點登錄機制中添加一組URL前綴。如果用戶訪問任何一個包含該前綴的網站(e.g. http://www.zdnet.com/topic-apple/),iOS將自動向服務器端發送證書。
生物識別技術 - Touch ID
此前生物識別技術已經在移動設備上有所涉足,但其易用性、可靠性以及市場普及程度都不甚理想。很明顯,蘋果是第一家實現了三大目標的移動廠商。
Touch ID是一種指紋傳感器,目前僅出現在iPhone 5S機型之上,被集成在Home按鈕當中。它會處理生物學驗證及授權,并以向iOS 7返回簡單的“是”或者“否”結果。
圍繞新機制也產生了不少話題,很多人會問Touch ID到底有多安全。它的安全程度對于企業而言也許還有所不足。但需要強調的是,Touch ID并不屬于雙因素驗證機制。我們可以使用密碼或者指紋,但無法同時使用兩者。從某種角度來看,雙因素驗證的目的在于提高登錄的難度,蘋果公司對這樣的主意顯然不感興趣。
不過實際情況比這更復雜。Touch ID用戶還必須利用密碼機制作為后備,而且一旦設備進行過系統恢復或者連續48小時未被鎖定,則使用者必須輸入密碼。有鑒于此,IT部門可能需要采用安全性較高的密碼,長度也許在七個字符以上,但同時還必須確保設備仍然可以訪問。
