移动应用风险高企 BYOD急需安全管理
    移动互联时代，移动应用获得爆炸式发展，这在给人们的生活带来便利和乐趣的同时，也带来了更多安全隐患。尤其是最近一段时间以来，在安卓应用市场，不断爆出恶意软件及山寨应用程序，让人防不胜防。与此同时，诸多证据也表明，BYOD(自带设备办公)正得到广泛普及。移动应用中恶意软件的泛滥，让采用BYOD的企业面临着新的巨大威胁。

　　移动应用程序危险系数大增

　　今年以来，安卓恶意软件数量不断飙升。趋势科技2012年第三季度安全报告显示，安卓恶意软件数量已经从6月份的3万个升至9月份的17.5万个。其中，出现在盗版安卓应用程序中的恶意软件最多，达到2万9千多个。

　　经过近一段时间观察，笔者发现，在安卓应用市场，出现了一些新的威胁趋势。

　　第一种，应用程序“打包党”。“打包党”专指那些做山寨应用程序的人，他们破解正规应用程序后，会在其中内置自己的广告，以牟取私利。目前，在安卓平台上最火爆的《捕鱼达人》、《开心牧场》、《水果忍者》等应用都纷纷被盗版，从表面看，盗版应用程序与正版的几乎没有任何区别，但它却包含了恶意扣流量、私自发送扣费短信、下载付费应用等后台代码。这些“打包党”会以方便用户之名去除或替换应用软件的内置广告，以“破解版”名义诱使用户下载，并在应用内部嵌入恶意代码或权限“后门”。

　　第二种，以假乱真的“高科技”恶意应用程序。在赛门铁克近期发布的智能安全分析报告中，就公开了这样一种恶意程序。电池寿命一直是智能手机用户头疼的一个问题。许多应用程序开发者在这个领域动起了脑筋，有些应用提供电池电量的实时状态，还有一些应用通过关闭一些不必要的功能使电池的使用时间更长。但这其中也不乏恶意应用程序，如“Battery Long”(Android.Ackposts[1])表面上好像是用于延长电池使用时间，但实际却是从被感染的设备中窃取信息。还有些应用程序宣称能将手机屏转变成太阳能充电器，在太阳光下能够用其为电池充电。很可笑吧。不过，这可不只是恶作剧，该应用程序隐藏的功能会从你的手机里窃取联系人数据。

　　第三种，正版合法安卓app自身也并不安全。来自德国汉诺威和马尔堡大学的研究团队近日发布一项研究表明，在Google Play store最流行的免费app应用程序中，许多都可能带有易受man-in-the-middle(MITM)攻击的漏洞，由此严重威胁到用户隐私。由于SSL漏洞的存在，41%的app应用程序对MITM攻击是开放的。攻击者可能会利用漏洞app应用程序，窃取高度敏感的用户信息，包括他们在Facebook、WordPress、Twitter、Google、Yahoo，甚至网上银行的用户名和密码。Google's Play市场数据表明，目前，带有这种漏洞的app程序累计安装量在3950万~18500万之间。而实际安装数量可能会更大，因为这还没有包括其他安卓app市场的安装量。

　　用户安全意识滞后 BYOD需要更安全

　　趋势科技首席技术官雷蒙德 吉恩(Raimund Genes)称，安卓手机恶意软件可实现多种任务，如：定制付费短信服务，利用键盘记录器获取键盘输入内容，在手机上安装间谍软件，由此把手机变成一台监视设备等。此外，恶意软件作者还发现了把病毒嵌入到应用软件中的许多方法，当用户下载带有病毒的软件并打开时，病毒将会感染用户智能手机上的其他程序。因此，如果说这对移动设备用户的安全隐患还仅限于个人，那么，对那些实施BYOD的企业而言，这无疑是在整个组织中引入了重大的安全隐患。

　　多方证据表明，BYOD正日益普及，这就让用户的移动设备带上了双重用途，它也由此必须能满足企业级应用的安全需求。然而，与BYOD的迅速发展相比，用户乃至IT部门人员的安全意识却明显滞后。

　　科技咨询公司Ovum最近在对4千名全职员工进行调查后发现，有将近70%的智能手机拥有者会用他们的个人设备访问公司数据，与此相对比，却有高达80%的BYOD活动没有得到IT部门的充分管理。有几乎一半受访雇主的IT部门要么是不知道BYOD，要么就忽略它的存在，采取的是不闻不问的态度。

　　Sophos(守护使)相关研究也表明，尽管许多移动设备用来登陆企业email，仍然有几乎一半的移动用户没有采取安全防护措施，用户对移动数据的保护意识处于相当低的水平。Sophos(守护使)调查还显示，有42%的用户丢失或遗弃过一台移动设备(以智能手机为主)，而这些设备并未被进行过安全防护。20%的人称他们的设备会用于登陆email，20%的人在智能手机上保存了自己的保险账号、姓名、地址和生日，还有10%的人估计他们的设备会泄漏出像PIN号码和信用卡这样的重要信息。

　　在移动应用恶意软件日益泛滥的今天，引入BYOD的企业非常有必要快速建立并实施清晰的BYOD管理策略，这需要对流程、政策、人、技术管理进行综合的管理。

　　有趣的是，面对日益猖獗的安卓移动应用恶意软件，就连谷歌自己态度也有所转变。去年，当趋势科技对安卓恶意软件数量进行预测时，谷歌开放源及公共工程技术经理克里斯 迪博纳毫不客气地称其为“江湖骗子”，认为这是为了让用户感到恐慌，以便向他们兜售针对安卓、RIM和iOS的安全软件。而在最近，谷歌似乎正计划采取措施打击安卓手机恶意软件，谷歌还可能考虑让其操作系统本身具备反恶意软件的功能，这也从另一个角度充分说明了目前移动应用市场恶意软件的危害程度。

原文出自【比特网】，转载请保留原文链接：http://sec.chinabyte.com/411/12454911.shtml