2016年，移動設(shè)備蓬勃發(fā)展的一年，同時也是安全隱患頻發(fā)的一年。據(jù)悉，2016年，iOS和Android手持設(shè)備呈現(xiàn)全年穩(wěn)步增長的趨勢，相比之下，桌面操作系統(tǒng)呈現(xiàn)整體占有率下降的趨勢。事實上，根據(jù)Marketing Land的報告顯示，截止10月底，全球移動互聯(lián)網(wǎng)的使用率已經(jīng)超過桌面系統(tǒng)使用率，預計到2018年，移動互聯(lián)網(wǎng)的使用率將占據(jù)80%。

但是，與其他科技因素一樣，廣泛使用的背后必然引發(fā)更加廣泛的威脅，移動設(shè)備安全也不例外。以下為2016年10大移動安全風險，以及相應的安全解決方案，希望可以助你有效的抵御威脅，保護自身設(shè)備安全。

威脅一：不安全的設(shè)備

這是一個非常重要的問題，而且很不幸，這個問題已經(jīng)困擾了我們很多年。根據(jù)今年1月份的報告顯示，只有1/3的Android用戶使用密碼鎖屏。Apple用戶表現(xiàn)的顯然要更好些，根據(jù)The Verge今年4月份的統(tǒng)計顯示，約89%的iPhone用戶使用TouchID 或密碼鎖屏。

移動設(shè)備缺乏密碼來驗證和控制用戶對存儲在其中的數(shù)據(jù)進行訪問，可謂是一大安全隱患。如今，許多設(shè)備都已經(jīng)具備各種技術(shù)能力，包括支持密碼、個人識別碼（PIN）認證，以及掃描的指紋進行身份驗證的生物識別讀卡器技術(shù)等。不過，調(diào)查顯示，消費者很少使用這些認證機制。即使使用密碼或PIN，他們往往也只會選擇一些很簡單的密碼，如123456或000000等。事實上，如果沒有密碼或PIN鎖定裝置，將會增加被盜或丟失的手機設(shè)備信息泄漏的風險，攻擊者就可以輕易地訪問或使用未經(jīng)授權(quán)的用戶敏感信息。

解決方案：

使用復雜的密碼（你的出生日期或街道號碼絕對是很糟糕的選擇）以及在設(shè)備上加密可以很大程度地降低數(shù)據(jù)被盜風險。對儲存敏感數(shù)據(jù)的可移動micro-SD卡進行加密更是必不可少的防范舉措。

威脅二：缺乏合適的移動設(shè)備管理解決方案

對企業(yè)而言，使用移動設(shè)備管理解決方案來增強移動設(shè)備用戶的安全性是大有裨益的，特別是配置合適的BYOD移動辦公解決方案。

例如，Microsoft Exchange Server就配置選項來組織未經(jīng)授權(quán)的設(shè)備連接到用戶郵箱中，需要密碼驗證以及可以遠程清除丟失或被盜手機設(shè)備中的數(shù)據(jù)。

其他的第三方解決方案還可以實現(xiàn)一些更為細致的功能，如設(shè)置應用程序白名單和黑名單、啟動反惡意軟件保護程序、執(zhí)行加密操作、啟用或禁用各種設(shè)備功能（比如相機），總體而言，這些安全解決方案會為設(shè)備提供一個良好的標準化設(shè)置。

用戶設(shè)備中還包含一些可用的管理選項，例如，蘋果和Android都會提供一個“尋找我的設(shè)備”這一功能來尋找丟失的手機，此外還可以遠程刪除丟失設(shè)備中的數(shù)據(jù)等。

解決方案：

如果你的企業(yè)還沒有配置移動設(shè)備解決方案，現(xiàn)在開始進行研究，選擇一款最合適的產(chǎn)品來保護企業(yè)的數(shù)據(jù)安全吧。

威脅三：應用程序請求太多權(quán)限

每次安裝新的應用程序時，你是否總會發(fā)現(xiàn)這樣一些請求，如請求訪問你的聯(lián)系人或你的位置信息等。試想一下，如果你只是簡單的安裝一個手電筒應用，還請求訪問你的聯(lián)系人或地址信息會不會很引人懷疑？

但是不幸的是，我們所有人幾乎每天都要淹沒在“你是否確定這么做”的提示消息中，你不得不選擇“是的”或“OK”才能繼續(xù)你正在做的事情。通常我們總是單純的以為，只要點擊“YES”提示就不會再出現(xiàn)，于是應用程序惡意軟件就這樣一次次利用我們的不耐煩和自以為是的情緒，傾巢而入危及我們的設(shè)備。

解決方案：

所以，每次面對各種“訪問請求”一定要仔細慎重，不必要的情況下千萬不要授予任何應用程序任何敏感權(quán)限，勿讓惡意軟件有可乘之機。

威脅四：過時的應用程序 

一旦攻擊者尋找到可用的代碼，過時的應用程序就是成為安全炸彈。第三方應用程序的安全補丁并不總是能夠及時地開發(fā)和發(fā)布出來。另外，手機中的第三方應用程序，包括Web瀏覽器，每當有可用的更新程序時也一般不會告知消費者。和傳統(tǒng)的Web瀏覽器一樣，手機瀏覽器很少會得到更新。使用過時的軟件，攻擊者可以利用與這些設(shè)備相關(guān)的漏洞，由此增加了設(shè)備的風險等級。

解決方案：

應用程序必須保持更新，及時卸載過時的程序。此外，還需要定期進行殺毒處理，查殺應用程序中存在的安全漏洞。

威脅五：虛假的應用程序商店

移動安全領(lǐng)域機構(gòu)發(fā)布報告稱，在420646款Google Play中上架的應用，發(fā)現(xiàn)其中有5077款為“假冒偽劣應用”，這些應用偽裝成如Facebook、Twitter之類的著名應用，用戶不小心安裝后，它們會竊取用戶的個人隱私，例如瀏覽器瀏覽記錄、通訊錄等，或者向用戶推送廣告騷擾。

安全軟件公司趨勢科技進行的一項研究，也發(fā)現(xiàn)近90萬假冒的Android應用程序。這些假冒應用程序，旨在欺騙用戶竊取用戶數(shù)據(jù)，并向客戶手機強行推送廣告。

解決方案：

如今，假冒應用程序日益泛濫，用戶安全隱患增加。手機用戶還需提高自己的安全意識，要選擇在應用官網(wǎng)或正規(guī)的應用商店下載APP。

威脅六：移動設(shè)備可能有未經(jīng)授權(quán)的修改 

修改移動裝置，以消除其局限性，讓消費者能夠增加新的功能（稱為“越獄”）。但是這一過程往往會降低設(shè)備的安全性，并可能增加設(shè)備的安全風險。越獄允許用戶獲得裝置的訪問權(quán)限，以便允許未授權(quán)的軟件和應用程序運行。而在越獄的過程中，一些用戶可能會關(guān)閉他們移動設(shè)備上安裝的增強安全性能的設(shè)置，如防火墻等。

而一旦發(fā)生后一種情況，用戶將面臨更大的安全風險，因為攻擊者可以在這個過程中安裝惡意軟件。此外，越獄的設(shè)備可能無法從制造商處獲得安全更新的通知，無法保持軟件更新。

解決方案：

安全專家通常并不建議root或越獄，但是選擇越獄的話，我們還是可以通過一些簡單的設(shè)置最大限度的降低這種安全隱患的，如關(guān)閉定位服務、設(shè)置自帶瀏覽器的“不跟蹤”等，限制未經(jīng)授權(quán)的行為出現(xiàn)。

威脅七：移動設(shè)備可能含有惡意軟件 

消費者可能在不知不覺中下載了惡意軟件，因為它可以偽裝成一個游戲、安全補丁、實用工具或其他有用的應用程序。一般而言，普通用戶很難區(qū)分一個合法的應用程序和一個包含惡意軟件。例如，一個應用程序可能會重新包裝的惡意軟件，消費者可能會不小心下載到移動設(shè)備上，數(shù)據(jù)可以很容易被截獲。

此外，許多移動設(shè)備并沒有預先安裝安全軟件，以防止這些惡意程序，間諜軟件和惡意軟件的攻擊。他們不安裝安全軟件的部分原因是因為移動設(shè)備往往進行安全軟件預裝。雖然這種軟件可能會影響操作，但如果不安裝安全軟件，攻擊者可以成功地散布惡意軟件，如病毒，木馬，間諜軟件，垃圾郵件，引誘用戶透露密碼或其他機密信息。

解決方案：

應用程序和操作系統(tǒng)應該保持更新，最大程度的降低漏洞利用的可能，保護設(shè)備安全。此外，安全專家還建議在移動設(shè)備中運行安全軟件，抵抗惡意程序。

威脅八：僵尸網(wǎng)絡(luò) 

萬物互聯(lián)時代，僵尸網(wǎng)絡(luò)正在經(jīng)歷一次重大的進化，從PC向手機等移動設(shè)備甚至智能設(shè)備蔓延。近年來，移動僵尸網(wǎng)絡(luò)更是成為移動通信和網(wǎng)絡(luò)安全的最大威脅。

2014年年初，曾發(fā)生過史上首個物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)，也是信息安全界首次記錄到有智能電器等物聯(lián)網(wǎng)終端設(shè)備參與的僵尸網(wǎng)絡(luò)攻擊。

后來，美國安全公司IntelCrawler發(fā)現(xiàn)了一個由被入侵的商家POS機組成的一個龐大的僵尸網(wǎng)絡(luò)，該僵尸網(wǎng)絡(luò)包含涉及36個國家的1500個受感染POS和其他零售系統(tǒng)。

在物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)中，以Android智能手機為主要載體的僵尸網(wǎng)絡(luò)發(fā)展最為迅猛，2013年年底，安全公司FireEye發(fā)現(xiàn)了一個在韓國流行但指令控制中心位于中國的Android僵尸網(wǎng)絡(luò)MisoSMS，是當時發(fā)現(xiàn)的最大移動僵尸網(wǎng)絡(luò)。

據(jù)悉，2014年統(tǒng)計數(shù)據(jù)顯示：手機流量“行跡可疑”，14%被確認為來自僵尸網(wǎng)絡(luò)。多家媒體報道稱，相當大一部分網(wǎng)絡(luò)廣告流量來自僵尸網(wǎng)絡(luò)，每年造成的虛假點擊價值4億美元。40%的驗證碼流量包含可疑行為，其中29%來自僵尸網(wǎng)絡(luò)，而這一數(shù)據(jù)正在逐步攀升。

解決方案：

針對移動設(shè)備安全的研究還不充分，依然缺乏高效的安全解決方案。因此，提供有效的數(shù)據(jù)以了解和分析移動僵尸網(wǎng)絡(luò)，對于移動設(shè)備的安全和隱私來說至關(guān)重要。此外還可以推薦大家一款名為“VirusTotal”的病毒掃描引擎，可以用來檢測你手機設(shè)備中的惡意軟件，它可以免費使用，還適用于瀏覽器或Android 和iOS應用程序。

威脅九：修復系統(tǒng)可能是廢棄的 

移動設(shè)備操作系統(tǒng)的安全補丁或修復程序不一定會及時安裝在移動設(shè)備上。可能需要幾周—幾個月的安全更新周期才能提供給消費者進行更新。

根據(jù)不同性質(zhì)的漏洞，打補丁的過程也是紛繁復雜的，可能涉及到很多人和操作環(huán)節(jié)。而一旦制造商完成了更新，它還需要由每個運營商進行測試，隨后更新傳遞到消費者的設(shè)備上。

此外，超過兩年的移動設(shè)備可能無法接收安全更新，因為制造商可能不再支持這些設(shè)備。許多制造商在12個月至18個月后可能停止支持智能手機補丁更新。

解決方案：

有條件的話可以及時更換設(shè)備

威脅十：沒有限制網(wǎng)絡(luò)連接

許多移動設(shè)備沒有防火墻來限制連接，當設(shè)備被連接到廣域網(wǎng)絡(luò)時，它可以使用通信端口與其他設(shè)備和互聯(lián)網(wǎng)連接。而黑客也可以通過一個不固定的端口來訪問移動設(shè)備。防火墻可以保護這些端口，并允許用戶選擇移動設(shè)備進入網(wǎng)絡(luò)。如果沒有防火墻，移動設(shè)備可以通過一個不安全的通訊端口進入網(wǎng)絡(luò)，而入侵者也可以由此獲取和濫用設(shè)備的敏感信息。

此外，使用不安全的公共無線互聯(lián)網(wǎng)絡(luò)或WiFi點，可能會造成重大安全隱患，可能允許攻擊者連接到該設(shè)備，并查看敏感信息，如密碼、信用卡數(shù)據(jù)等。

解決方案：

啟用防火墻是移動安全的第一道防護欄，此外，不建議私人設(shè)備連接公共無線網(wǎng)絡(luò)，即使萬不得已使用共用網(wǎng)絡(luò)也最好不要進行任何交易，不輕易輸入登錄憑證等敏感信息。最好是使用虛擬專用網(wǎng)絡(luò)或自己的WIFI熱點以及其他安全方式訪問網(wǎng)絡(luò)。

本文來自（）