雖然人們很容易將注意力集中在惡意軟件這一令人矚目的話題，但事實上，手機(jī)被惡意軟件感染在現(xiàn)實世界中是極其罕見的。根據(jù)一項調(diào)查，手機(jī)感染幾率遠(yuǎn)遠(yuǎn)低于被閃電擊中的幾率。實際上，惡意軟件目前被認(rèn)為是數(shù)據(jù)泄露事件中最不常見的攻擊事件，實際上其在Verizon公司發(fā)布的《2019年數(shù)據(jù)泄露調(diào)查報告》中的威脅排名甚至在物理攻擊之后。這要歸功于移動設(shè)備惡意軟件的性質(zhì)以及現(xiàn)代移動設(shè)備操作系統(tǒng)中內(nèi)置的固有保護(hù)。

更為現(xiàn)實的移動設(shè)備安全隱患存在于一些容易被忽視的領(lǐng)域，所有這些領(lǐng)域只會變得更加緊迫：

1.數(shù)據(jù)泄漏

數(shù)據(jù)泄漏被普遍認(rèn)為是2019年企業(yè)安全最令人擔(dān)憂的威脅之一。還記得手機(jī)幾乎沒有被惡意軟件感染的幾率嗎?根據(jù)波洛蒙研究所的最新研究，在涉及數(shù)據(jù)泄露時，企業(yè)在未來兩年內(nèi)至少發(fā)生一次事件的幾率為28%，換句話說，幾率是四分之一以上。

這個問題令人煩惱的方面在于，它也許只是用戶無意中對哪些應(yīng)用程序能夠查看和傳輸其信息做出的不明智決定。

調(diào)研機(jī)構(gòu)Gartner公司移動設(shè)備安全研究總監(jiān)Dionisio Zumerle說：“主要的挑戰(zhàn)是如何實施應(yīng)用程序?qū)徍耍@一過程不會使管理員不知所措，也不會使用戶感到沮喪?！彼ㄗh使用移動設(shè)備威脅防御(MTD)解決方案，例如Symantec公司的Endpoint Protection Mobile，CheckPoint公司的SandBlast Mobile和Zimperium公司的zIPS Protection之類的產(chǎn)品。Zumerle說，這些實用程序會掃描應(yīng)用程序中的“泄漏行為”，并可以自動阻止有問題的進(jìn)程。

當(dāng)然，即使這樣也不會總能覆蓋由于用戶錯誤而導(dǎo)致的泄漏，例如將企業(yè)文件傳輸?shù)焦苍拼鎯Ψ?wù)，將機(jī)密信息發(fā)送到錯誤的位置或?qū)㈦娮余]件轉(zhuǎn)發(fā)給不當(dāng)?shù)氖占?。這是醫(yī)療保健行業(yè)目前正在努力克服的挑戰(zhàn)：專業(yè)保險提供商Beazley公司聲稱，“意外泄露”是醫(yī)療保健組織在2018年第三季度調(diào)查報告中數(shù)據(jù)泄露的主要原因。意外泄露和內(nèi)部泄漏幾乎占在這個報告的所有數(shù)據(jù)泄露事件的一半。

對于這種類型的泄漏，數(shù)據(jù)丟失防護(hù)(DLP)工具可能是最有效的保護(hù)措施。此類軟件經(jīng)過專門設(shè)計，可防止在意外情況下泄露敏感信息。

2.社交工程

移動設(shè)備與臺式機(jī)一樣，遭遇的欺騙策略同樣令人困擾。盡管人們認(rèn)為可以輕松地避免社交工程弊端，但它們?nèi)匀痪哂畜@人的效果。

根據(jù)安全機(jī)構(gòu)FireEye公司的2018年報告，91%的網(wǎng)絡(luò)犯罪始于電子郵件。該公司將此類事件稱為“無惡意軟件攻擊”，因為它們依靠假冒等策略誘騙人們點擊危險鏈接或提供敏感信息。該公司表示，網(wǎng)絡(luò)釣魚在2017年增長了65%，并且移動設(shè)備用戶面臨更大風(fēng)險，因為許多移動設(shè)備電子郵件客戶端只顯示發(fā)件人的姓名，這使得欺騙郵件和誘騙人們認(rèn)為電子郵件來自他們認(rèn)識或信任的人從而容易點擊。

根據(jù)IBM公司的一項研究，實際上，用戶對移動設(shè)備上的網(wǎng)絡(luò)釣魚攻擊的可能性是臺式機(jī)的三倍，其部分原因是人們喜歡在手機(jī)上瀏覽消息。Verizon公司的最新研究支持這一結(jié)論，并指出，手機(jī)較小的屏幕尺寸以及智能手機(jī)上詳細(xì)信息的相應(yīng)顯示有限(特別是在通知中，現(xiàn)在經(jīng)常包含一鍵式選項以打開鏈接或響應(yīng)消息)，也可能增加網(wǎng)絡(luò)釣魚成功的可能性。

除此之外，面向動作的按鈕在移動設(shè)備電子郵件客戶端中的顯著位置以及工作人員傾向于使用智能手機(jī)面向多任務(wù)的分散方式擴(kuò)大了這種影響，而且大多數(shù)網(wǎng)絡(luò)流量現(xiàn)在通常發(fā)生在移動設(shè)備，這將進(jìn)一步鼓勵網(wǎng)絡(luò)攻擊者針對這一領(lǐng)域。

這也不僅僅是電子郵件：正如企業(yè)安全機(jī)構(gòu)Wandera公司在其最新的移動設(shè)備威脅報告中所指出的那樣，過去一年中83%的網(wǎng)絡(luò)釣魚攻擊發(fā)生在電子郵件之外，例如短信、Facebook Messenger、WhatsApp等應(yīng)用程序以及各種游戲和社交媒體服務(wù)。

此外，根據(jù)Verizon公司的最新調(diào)查數(shù)據(jù)，只有百分之幾的用戶真正點擊與網(wǎng)絡(luò)釣魚相關(guān)的鏈接(根據(jù)行業(yè)的不同，點擊率在1%到5%之間)，但Verizon公司的早期研究表明，這些受騙的人們往往會再受欺騙。該公司指出，用戶點擊網(wǎng)絡(luò)釣魚活動鏈接的次數(shù)越多，將來再次點擊的可能性就越大。Verizon公司此前曾報道，被成功釣魚的用戶中有15%會在同一年至少再被欺騙一次。

PhishMe公司的信息安全和反網(wǎng)絡(luò)釣魚策略師John Robinson說，“我們確實看到移動設(shè)備敏感性總體上受到移動計算整體增長的推動，以及自攜設(shè)備(BYOD)工作環(huán)境的持續(xù)增長?！痹摴纠谜鎸嵤澜绲哪M訓(xùn)練員工識別和應(yīng)對釣魚企圖。

Robinson指出，工作和個人計算之間的界限也在繼續(xù)模糊。他指出，越來越多的員工在智能手機(jī)上查看多個收件箱(連接到工作和個人賬戶的組合)，幾乎每個人在工作日都在網(wǎng)上實施某種個人業(yè)務(wù)。因此，在收到與工作相關(guān)的信息的同時，接收看似是個人郵件的想法似乎一點也不稀奇，即使這實際上可能是一種詭計。

如今的風(fēng)險將會不斷攀升。顯然，網(wǎng)絡(luò)欺詐者現(xiàn)在還在使用網(wǎng)絡(luò)釣魚來誘騙人們放棄旨在保護(hù)帳戶免遭未經(jīng)授權(quán)訪問的雙因素身份驗證代碼。轉(zhuǎn)向基于硬件的身份驗證，通過專用的物理安全密鑰(例如谷歌公司的Titan或Yubico公司的YubiKeys或通過谷歌公司的Android手機(jī)的設(shè)備上安全密鑰選項)，被廣泛認(rèn)為是提高安全性并減少網(wǎng)絡(luò)釣魚可能性的最有效方法。

根據(jù)谷歌、紐約大學(xué)和加州大學(xué)圣地亞哥分校聯(lián)合進(jìn)行的一項研究，即使只是在設(shè)備上進(jìn)行身份驗證，也可以防止99%的批量網(wǎng)絡(luò)釣魚攻擊和90%的目標(biāo)攻擊，相比之下，對于那些更易受網(wǎng)絡(luò)釣魚影響的2FA碼的同類攻擊，有效率分別為96%和76%。

3. Wi-Fi干擾

移動設(shè)備僅與通過其傳輸數(shù)據(jù)的網(wǎng)絡(luò)一樣安全。在這個時代，人們都不斷地連接到公共Wi-Fi網(wǎng)絡(luò)，這意味著人們的信息通常不像想象的那樣安全。

這到底有多重要?根據(jù)Wandera公司的研究，企業(yè)移動設(shè)備使用Wi-Fi幾乎是使用蜂窩通信設(shè)備數(shù)據(jù)的三倍。近四分之一的設(shè)備已連接到開放且可能不安全的Wi-Fi網(wǎng)絡(luò)，并且有4%的設(shè)備在最近一個月內(nèi)遭受了中間人攻擊(即有人惡意攔截了兩方之間的通信)。安全廠商McAfee公司表示，最近，網(wǎng)絡(luò)欺騙量已經(jīng)急劇增加，但只有不到一半的人在旅行和依賴公共網(wǎng)絡(luò)時保護(hù)自己的連接。

美國錫拉丘茲大學(xué)計算機(jī)科學(xué)教授Kevin Du專門研究智能手機(jī)安全性，他說：“如今，對流量進(jìn)行加密并不難。如果沒有VPN，那么就會敞開許多大門?！?

但是，選擇適合的企業(yè)級VPN并非易事。與大多數(shù)與安全性相關(guān)的考慮一樣，幾乎總是需要進(jìn)行權(quán)衡。Gartner公司的Zumerle指出：“通過移動設(shè)備，VPN的交付需要更加智能，因為最大限度地減少資源(主要是電池)的消耗是至關(guān)重要的。”他表示，有效的VPN應(yīng)該知道僅在絕對必要時才激活，而不是在用戶訪問新聞?wù)军c之類的東西或在已知安全的應(yīng)用程序中工作時才激活。

4.過時的設(shè)備

智能手機(jī)、平板電腦和小型互聯(lián)設(shè)備(通常稱為物聯(lián)網(wǎng))給企業(yè)安全帶來了新的風(fēng)險，因為與傳統(tǒng)的工作設(shè)備不同，它們通常無法保證及時且持續(xù)的軟件更新。尤其是在Android平臺上，絕大多數(shù)制造商都無法通過操作系統(tǒng)(OS)更新以及它們之間安全補(bǔ)丁程序以及物聯(lián)網(wǎng)設(shè)備來保持其產(chǎn)品的最新狀態(tài)。

Kevin Du說：“其中許多甚至沒有內(nèi)置的修補(bǔ)程序機(jī)制，如今這些威脅正越來越多。”

波洛蒙研究所表示，除了增加網(wǎng)絡(luò)攻擊的可能性之外，廣泛使用移動設(shè)備平臺會增加數(shù)據(jù)泄露的總體成本，而與工作相關(guān)的物聯(lián)網(wǎng)產(chǎn)品的豐富只會使這一數(shù)字進(jìn)一步攀升。據(jù)網(wǎng)絡(luò)安全廠商Raytheon公司稱，物聯(lián)網(wǎng)是一扇敞開的門，該公司發(fā)布的研究報告表明，82%的IT專業(yè)人員預(yù)測，不安全的物聯(lián)網(wǎng)設(shè)備將在其組織內(nèi)造成數(shù)據(jù)泄露，可能會導(dǎo)致災(zāi)難性后果。

同樣，實施強(qiáng)有力的安全政策還有很長的路要走。有些Android設(shè)備確實會及時收到可靠的持續(xù)更新。直到物聯(lián)網(wǎng)領(lǐng)域更加成熟，這都取決于企業(yè)自己創(chuàng)建的安全網(wǎng)。

5.加密劫持攻擊

作為相關(guān)移動設(shè)備威脅列表中的一種相對較新的威脅，加密劫持是一種攻擊，其中有人在所有者不知情的情況下使用設(shè)備來挖掘加密貨幣。人們需要知道這一點：加密采礦過程使用企業(yè)的設(shè)備來獲取他人的利益。它在很大程度上依賴于移動技術(shù)來做到這一點，這意味著受到影響的手機(jī)電池壽命可能不足，甚至可能由于過熱而受損。

雖然加密劫持起源于臺式機(jī)，但從2017年末到2018年初，移動設(shè)備數(shù)量激增。根據(jù)Skybox Security公司的分析，不受歡迎的加密貨幣挖礦占2018年上半年所有網(wǎng)絡(luò)攻擊的三分之一。與上半年相比，這段時間增加了70%。根據(jù)Wandera公司的調(diào)查報告，在2017年10月至2017年11月之間，特定于移動設(shè)備的加密劫持攻擊爆炸式增長，當(dāng)時受到影響的移動設(shè)備數(shù)量激增了287%。

從那以后，這種情況有所緩和，特別是在移動設(shè)備領(lǐng)域，這一舉措主要得益于蘋果iOS應(yīng)用商店和Android相關(guān)的谷歌游戲商店分別在2018年6月和7月禁止使用加密貨幣挖掘應(yīng)用。不過，安全機(jī)構(gòu)注意到，通過移動設(shè)備網(wǎng)站(甚至只是移動設(shè)備網(wǎng)站上的流氓廣告)和從非官方第三方市場下載的應(yīng)用程序，網(wǎng)絡(luò)攻擊仍能在某種程度上取得成功。

分析師還注意到，通過互聯(lián)網(wǎng)連接的機(jī)頂盒進(jìn)行加密劫持的可能性，一些企業(yè)可能會利用機(jī)頂盒進(jìn)行流媒體和視頻播放。安全廠商Rapid7公司表示，黑客已經(jīng)找到了一種利用明顯漏洞的方法，該漏洞使Android Debug Bridge(僅用于開發(fā)人員使用的命令行工具)變得易于訪問，并且可以濫用此類產(chǎn)品。

目前，除了謹(jǐn)慎選擇移動設(shè)備和堅持要求用戶只能從平臺的官方網(wǎng)站下載應(yīng)用程序的政策(在那里，加密劫持代碼的可能性顯著降低)之外，沒有別的辦法，實際上，沒有跡象表明大多數(shù)公司正面臨任何重大或直接的威脅，特別是考慮到整個行業(yè)正在采取的預(yù)防措施。盡管如此，鑒于過去幾個月這一領(lǐng)域的活動波動和興趣上升，隨著2019年的進(jìn)展，這一點令人關(guān)注。

6.密碼保護(hù)意識不強(qiáng)

人們可能會認(rèn)為現(xiàn)在已經(jīng)加強(qiáng)防范，但不知何故，很多用戶仍然沒有正確地保護(hù)他們的帳戶。當(dāng)他們攜帶的手機(jī)登錄公司帳戶和個人帳戶時，這可能面臨嚴(yán)重問題。

谷歌公司和哈里斯民意調(diào)查公司最近共同進(jìn)行的一項調(diào)查發(fā)現(xiàn)，根據(jù)調(diào)查樣本，超過一半的美國人在多個帳戶中重復(fù)使用了密碼。同樣令人擔(dān)憂的是，將近三分之一沒有使用2FA密碼(或者不知道他們是否在使用2F密碼，這種情況可能會更糟)。只有四分之一的人正在積極使用密碼管理器，這表明絕大多數(shù)人在大多數(shù)地方可能沒有使用特別強(qiáng)大的密碼，因為他們可能自己設(shè)置和記住密碼。

事情從此變得更糟：根據(jù)LastPass公司2018年的調(diào)查分析，一半的專業(yè)人士在工作和個人賬戶上使用相同的密碼。分析發(fā)現(xiàn)，甚至一名員工在工作過程中與其同事分享了大約6個密碼。

Verizon公司在2017年的調(diào)查發(fā)現(xiàn)，企業(yè)中80%以上的黑客相關(guān)違規(guī)行為都?xì)w咎于弱密碼或被盜密碼。尤其是在移動設(shè)備上，企業(yè)員工希望快速登錄各種應(yīng)用程序、網(wǎng)站和服務(wù)，如果哪怕只有一個人在隨機(jī)零售網(wǎng)站、聊天應(yīng)用程序或消息論壇的提示中草率地輸入他們用于企業(yè)帳戶的相同密碼，也將面臨數(shù)據(jù)泄露的風(fēng)險?，F(xiàn)在把這個風(fēng)險和前面提到的Wi-Fi干擾風(fēng)險結(jié)合起來，再乘以工作場所的員工總數(shù)，然后再乘以可能暴露的點數(shù)，風(fēng)險正在迅速增加。

也許最令人煩惱的是，大多數(shù)人似乎完全忽略了他們在這一領(lǐng)域的疏忽。在谷歌公司和哈里斯民意調(diào)查公司的調(diào)查中，69%的受訪者在有效保護(hù)自己的在線賬戶方面給自己打了“A”或“B”，顯然不能相信他們自己對安全方面的評價。

7.物理設(shè)備的數(shù)據(jù)泄露

最后但并非最不重要的是，這似乎特別愚蠢，但仍然是一個令人不安的現(xiàn)實威脅：丟失或無人看管的移動設(shè)備可能是一個重大的安全風(fēng)險，特別是如果它沒有強(qiáng)大的PIN或密碼和完整的數(shù)據(jù)加密的話。

在波洛蒙研究所在2016年進(jìn)行的一項研究中，35%的專業(yè)人士表示，他們的工作設(shè)備沒有強(qiáng)制措施來保護(hù)可訪問的公司數(shù)據(jù)。更糟糕的是，近一半的受訪者表示，他們的設(shè)備沒有采用密碼、PIN或生物特征安全保護(hù)措施，約三分之二的受訪者表示，他們沒有使用加密技術(shù)。68%的受訪者表示，他們有時會在通過移動設(shè)備訪問的個人和工作帳戶中共享密碼。

這種情況似乎并沒有好轉(zhuǎn)。在其2019年移動設(shè)備威脅態(tài)勢分析中，43%的公司在其調(diào)查中表示至少有一款智能手機(jī)沒有任何鎖屏安全措施。調(diào)查報告指出，在那些在自己的設(shè)備上設(shè)置密碼的用戶中，很多人通常選擇使用最短4個字符的密碼。

讓用戶自己擔(dān)負(fù)安全責(zé)任是不夠的。企業(yè)和員工應(yīng)該采取嚴(yán)格的安全政策和措施，為此將會受益無窮。

8.移動設(shè)備廣告欺詐

根據(jù)美國互動廣告局(IAB)的調(diào)查，移動設(shè)備廣告創(chuàng)造了大量收入，僅在2019年上半年就達(dá)到了579億美元。網(wǎng)絡(luò)犯罪分子致力尋求從移動設(shè)備廣告收入流中獲利的方法也就不足為奇了。而對廣告欺詐損失的估計卻有所不同，根據(jù)Juniper Research公司的預(yù)計，到2023年，全球每年由于廣告欺詐將損失1000億美元。

廣告欺詐可以采取多種形式，但最常見的是使用惡意軟件對廣告進(jìn)行點擊，這些廣告似乎來自使用合法應(yīng)用程序或網(wǎng)站的合法用戶。例如，用戶可以下載提供合法服務(wù)的應(yīng)用程序，如天氣預(yù)報或消息。不過，在后臺，應(yīng)用程序會對出現(xiàn)在這個應(yīng)用程序上的合法廣告產(chǎn)生欺詐性點擊。廣告發(fā)布商通常是按其產(chǎn)生的廣告點擊次數(shù)付費的，因此移動設(shè)備廣告欺詐行為從企業(yè)的廣告預(yù)算中竊取費用，將顯著減少廣告發(fā)布商的收入。

最大的受害者是移動設(shè)備廣告商和受廣告支持的發(fā)布商，但廣告欺詐行為也確實損害了移動用戶的利益。與欺詐劫持一樣，廣告欺詐惡意軟件會在后臺運行，并可能降低智能手機(jī)的性能，導(dǎo)致更高的數(shù)據(jù)費用或手機(jī)電池過熱。安全供應(yīng)商Upstream公司估計，由于移動廣告惡意軟件帶來的更高數(shù)據(jù)費用，智能手機(jī)用戶每人每年可能損失數(shù)百美元。

到目前為止，Android是最流行的移動設(shè)備廣告欺詐平臺，人們要避免這些最流行的Android惡意應(yīng)用程序：

?Snaptube

?GPS速度表

?簡易掃描儀

?天氣預(yù)報

?超級計算器

?攝像頭

?快速觸控

Upstream公司的調(diào)查報告建議用戶：

?定期檢查他們的應(yīng)用程序，并刪除任何看起來可疑的應(yīng)用程序。

?監(jiān)控異常峰值的數(shù)據(jù)使用情況。

?僅從Google Play安裝應(yīng)用程序。

?安裝之前，請檢查應(yīng)用程序的評論，開發(fā)人員詳細(xì)信息以及請求的權(quán)限列表，以確保它們均適用于應(yīng)用程序的既定用途。