2011年伊始，我的一個朋友指出我的終端設備研究計劃主要關注于優秀的PC平臺。相對于終端設備安全，這話說的很狡黠。如果只是把安全威脅限定在類PC設備上是不符合現實的情況的。現在智能電話的配置相當于5年前我使用的電腦的配置，我們需要考慮移動設備在未來遭遇安全威脅的情況。

像Charlie Miler已經好幾次展示他如何去破解蘋果移動設備了。如今我們存在隱患的移動設備沒有被攻擊只能說這是運氣而不是它們足夠安全。幸運感僅僅是心里的一種希望，而不是事實。因此，在Fosforous上的許多朋友的幫助下，我很快的寫出了一篇文章指出移動設備安全性的現狀。

設備在失去控制：接收這個觀點

首先指出的是控制。如果你總是想著控制終端用戶的計算環境，這種想法是不對的。采用類似于克格勃的嚴厲審訊方式，通過口述獲知所使用的設備，平臺和應用程序的舊時光一去不復返了。也許你錯了這些時光，但隨著新奇酷的i設備的興起，控制這些設備又有了商業上的利益。是的，我說的就是你手上的iphone，ipad，Android和Palm。Palm用的人不多，卻也有人在用。一些聰明的IT技術人員意識到，當CEO說她買了一個ipad用來收發email和看文檔的時候，我們正在步入一個完全不同的世界。

很多人把這稱作消費主義，很正常的名字。它需要一個和其他事物一樣正常的名字讓它看上去正常一些，但是對于我來說，這些都顯示了一個事實，我們已經失去了對這些新設備的控制。只是我們還沒有接受這個觀點。你能夠找到幾個在政府機構的工作僅通過口述來完成工作(現在已經有人把工作所需的材料放在了云端)。對我們其他人，我們需要接受這樣的事實，我們的員工在工作中會把他們的移動設備接入到網絡中，我們不能阻止他們這樣做。

因此，我們需要指出第一個重要的事情，在消費浪潮下，有多少種方法能夠扼殺我們？是的，我們需要知道這些。像鴕鳥一樣把頭埋入土中假裝自己不知道，是不行的。

我能黑了你的移動設備

通常情況下，你需要在了解你所面對的安全威脅的情況下采用相對的安全程序。搞清楚一件事，很多的安全威脅并不一定是由壞人導致的，而且安全人士知道其實這種情況是不會發生的。我們內部的人往往比外部攻擊者帶給我們更多的安全危險。所以我們要彌補的是外部和內部相結合的創傷。

數據丟失

第一個問題就是使用者通過特定訪問方式用他們自己的設備登入你的公司機器時的數據安全。通過常見的電子郵箱和iphone應用程序，人們每時每刻都會用他們的設備接入網絡。因此，對數據丟失的考慮要放在首位：

設備丟失：你會驚奇的發現你的員工用各種各樣的方式丟失他們的移動設備。雖然很 難，也是會有把17寸手提電腦遺失在機場座椅上的情況。把智能手機丟在任何地方都有可能。是的，這種事情總是發生，FindMyiPhone應用并不會幫到你。因此你要正視這些存儲有敏感機密數據的移動設備會丟失的事實，并且你需要去保護這些數據。

設備買賣：是的，這些設備是屬于你的員工們的，他們會有想換一個新設備的時候。一些思想簡單的員工經常在eBay上找買家，并把設備賣給這些人。這些設備數據清除干凈了嗎？上面是否還存著你們公司四季度的預報？不用回答，只要確定你已經找到對付這種問題的方法了。

惡意軟件

對于安全防范的討論不能僅限于惡意軟件。迄今為止，發生在智能手機上的攻擊還沒有造成太大的損失，這并不能證明未來的攻擊不會變的越來越嚴重，還是那句話，主觀希望是不現實的。

猛烈的漏洞利用程序：確實，現在針對移動設備的惡意軟件還不是很多。jailbreak.me上已經有所展示。當出現能夠自我繁殖的漏洞利用程序，它就會像星星之火呈燎原之勢。

對應用程序商店的破壞：所有的應用程序商店都承諾他們能很好的控制應用程序，使得惡意軟件不會進入認證的應用之中，但是也存在進程破壞，惡意程序流進來的可能性。如果這些惡意程序被廣泛使用，勢必造成犯罪和混亂。

越獄：確實，你不能完全控制這些智能設備，因此，員工會有意識的繞過構建在平臺內的安全控制機制。是的，越獄能夠除去安全控制機制。

組織管理

最后，我們要談一些關于管理大量智能設備的復雜性，包括你的和不屬于你的。當你在設備上胡亂的配置并放出巨大的漏洞，這就是一個嚴重的安全問題了。因此，對于移動設備的管理和加強策略是保證其安全的重要原則。

錯誤配置：當你手上有20中不同的智能設備，以及5個版本的操作系統，每個設備上運行著25個應用程序時會發生什么？這是系統配置的噩夢。因此自動化的配置是非常重要的，一旦發生錯誤，極易使安全攻擊成功實現。

補丁：把智能手機當做一臺電腦，每個人(經常是系統提供者)會發現一些程序需要升級。相信我，當升級程序的時候，也就是說它已經暴露在危險之中。所以在很多時候，不打補丁是不對的。當你失去對設備的控制時，再想得到它就難了。

網絡劫持：不要忘了這些設備都是通過WIFI熱點連網，也就是說，這些設備都是通過公共WIFI熱點把你的重要數據連接到網絡上的。因此，你要意識到哪種連接是真的，更重要的是，辨別出那些假連接。

當然，這里說的并不全面，不過也足夠讓你安心一些。現在，你應知道你要防范的是什么，以及你能做些什么。我們要說兩種形式的攻擊，一種比較嚴重(包括技術控制)，另一種溫和一些(需要進程和通訊)。下一篇我們要談第二種防范方法，一定要對它說不，以防你會丟掉工作。

原文鏈接：http://article.yeeyan.org/view/195179/164084