在移動互聯時代，BYOD所帶來的風險主要是針對具備計算功能以及短訊和語音功能的移動平臺如智能手機和平板電腦設備。典型的情況是這些移動設備通常也具有大量的存儲容量,這些設備通過數據泄漏、惡意軟件、未經授權的應用程序和不恰當的訪問，對于企業來說代表著一個混合型的威脅。許多移動設備如智能手機和平板電腦通常是從用戶的角度來設計的。他們是用戶友好的，他們通常有一個內置的安全模型作為操作系統的一部分來防止用戶受到各種各樣的威脅。他們首先考慮到的是生產力的集中，安全性能只是其次要的考慮因素。但他們確實是具備一些內置的安全功能的。

然而，這些風險對于企業來說是不可回避的，高層管理者們需要保持足夠的警惕和重視。在本文中我們將著眼于與企業移動設備相關的主要風險，包括對于設備本身以及這些設備中運行的應用程序存在的風險，企業在確定適當的對策之前對風險有一個清楚的了解是必要的。

BYOD風險的分類

影響移動設備的安全風險分為兩類：

設備風險：這是建立在今天的智能手機和平板電腦其實是一種新型的擁有本地和云端存儲功能的高效能計算機這一事實基礎上的，而且比起較為傳統的、容易理解的臺式電腦和筆記本電腦，當今的企業組織較少能夠控制這些移動設備。

應用程序風險：這種風險源于最終用戶安裝的第三方應用程序，這些應用程序通常可以訪問到公司的數據,將數據存儲到設備上,并上傳到公司周邊之外的地方。

設備風險

由于智能手機和平板電腦在本質上基本可以算作計算機，它們很容易受到跟電腦同樣的威脅。這些威脅可以利用底層操作系統的漏洞導致數據丟失和被盜，對設置進行更改，阻斷服務，入侵受保護的內部網絡，諸如此類。

就像感染電腦一樣，惡意軟件同樣可以感染智能手機和平板電腦。惡意軟件可以形成一個平臺，在這個平臺上攻擊者可以實施網絡入侵和數據盜竊。一臺受損的移動設備可以作為進入網絡并竊取數據的一個很好的工具，特別是如果在一個組織內沒有把它視為一種重大威脅的話，那么因此，它就不會像計算機工作站一樣受到很好的保護。

以下部分討論了對設備來說存在的其他威脅。

數據存儲風險

現代智能手機、相機和平板電腦含有大量的閃存并且可以通過USB接口使用，這就允許了數據小偷可以悄悄地復制文件。移動設備有如此多的存儲容量，以至于他們可以被用于竊取許多組織中的所有數據。在移動設備上的數據存儲可以輕松地批量下載大量數據——就像用一個巨大的網來釣魚一樣——數據竊賊肯定會在他們收集的文件中找到寶貴的知識。這些設備會對組織的數據構成嚴重威脅，因為相比起硬盤或記憶棒他們不太"明顯"，導致很難檢測到任何隱藏在他們里面的被盜數據。移動設備上的板載內存存儲通常允許他們作為存儲設備安裝在任何計算機上。這意味著它們可以用來復制數據，于是導致數據被盜或被濫用。一旦移動設備獲取了數據，對于組織來說則更加難以控制。數據也可以通過電子郵件附件和其他應用程序的方式被盜或者被濫用。

弱密碼風險

考慮到計算平臺基本都對外提供數據與資源服務，假如平臺支持終端用戶使用密碼進行驗證連接，那么攻擊者通過猜測或者截取可以獲得用戶密碼，這種情況下，移動設備成為攻擊計算平臺上用戶數據和資源的入口。這對于電子郵件來說是特別重要的，因為如果你有密碼(或者PIN)，進入一個智能手機或平板電腦閱讀電子郵件是比較容易的。

WI-FI劫持風險

類似于中間人攻擊(Man-in-the-Middle)， WI-FI劫持是惡意攻擊者通過使用在公共場所設立的免費WI-FI熱點而實施的，而用戶一般希望在這些地方能找到免費的無線——機場、咖啡廳、公園以及市中心地區。然而這些熱點，經常受到期待收獲個人信息、財務數據和密碼的攻擊者的監控。

熱點風險

移動設備可以用來束縛計算機或者以其他方式作為一個無線網絡，使它們周圍的計算機可以使用該無線網接入到互聯網，就像一個普通的WI-FI或者藍牙接入點。附近攻擊者還可以連接到這些移動設備為終端用戶的個人使用所創建的熱點，在用戶不知情的情況下，他們可以對本地網絡及其設備發動攻擊。

基帶竊聽風險

由于智能手機包含網絡和語音功能，網絡可以用于危害語音功能。行動電話可以被那些危害智能手機的網絡攻擊者攔截。這些攻擊可能利用智能手機底層硬件里的漏洞，如iPhone和Android設備所使用的硬件和固件。 諸如這些之類的攻擊利用智能手機的基帶處理器，顛覆它使之變成竊聽器，允許入侵者通過使用內置的麥克風竊聽談話，甚至在沒通話的時候。

藍牙竊聽和模糊測試

大多數最終用戶把他們的藍牙設備的PIN密碼設置為默認的PIN密碼(他們幾乎總是設置為0000或1234)。即使先進的技術專家對于這一塊都沒有太多研究，他們可能都不知道如何更改這些代碼。因此，攻擊者可以輕松匹配手機或設備并使用該連接來偷竊或截取數據(或竊聽電話)。此外，一種稱為"模糊測試"的攻擊可以通過藍牙配對執行。模糊測試攻擊利用藍牙設備固有的軟件漏洞發送無效數據從而引發異常行為，如崩潰、特權擴大和可以植入惡意軟件的入侵行為。

應用風險

移動設備的第三方應用程序是由你不認識的人在你無法控制到的環境寫的，并且你看不到他們寫的過程，開發生命周期，或者對于質量的控制。幾乎任何人都可以上傳應用程序到應用商店。這些應用程序可能是惡意的，也可以有意或無意地"繞開"在您的組織內建立的安全策略和安全標準。

以下分別討論與這些應用程序相關的風險。

木馬程序

與個人計算機一樣，看似有用的應用程序可以被惡意軟件感染到。他們可以是逼真的應用程序，可以直接危及到移動設備，或是包含隱藏代碼的實際應用程序，可能在稍后的時間感染到電話機。早在2011年3月，一個涉及到“Droid Dream”木馬的惡意軟件爆發，由于該木馬隱藏在很多應用程序中，其中一些應用程序是合法的、富有成效的和在授權的Android市場里可用的(現在稱為谷歌應用市場)。

隱藏惡意鏈接

縮短鏈接或重定向鏈接是一種針對包括郵件鏈接或網頁鏈接常用的方法，這種方法取代了用復雜的位置信息來填充屏幕的方法。這使得用戶看不到最終位置，直到用戶單擊該鏈接來找到它。此外，在屏幕上顯示的鏈接文本可能不同于嵌入到網頁代碼的實際鏈接，尤其是對電子郵件來說。 攻擊者可以使用此項技術把用戶引入到惡意網站。在移動設備上，在訪問這些惡意網站之前去驗證鏈接對于用戶來說是非常困難的，不同于計算機上鼠標指針懸停在鏈接文本處就可以顯示出實際的鏈接位置。

網絡釣魚

網絡釣魚在移動設備與計算機上表現出完全相同的風險。網絡釣魚使用一貫技術，發送包含惡意附件的電子郵件或網絡鏈接，用一些假的，但是看起來逼真的信息來欺騙終端用戶打開這些附件或鏈接。 此項技術用于竊取個人信息，如銀行帳號、信用卡號碼或用戶名和密碼。

短信詐騙

類似于網絡釣魚，短信詐騙使用短信引誘毫無戒備的最終用戶撥打一個聲音電話從而套出個人信息。這些短信包含了一個看起來真實(而且緊急)的要求，可以是因安全原因需要來要求確認詳細信息或是要求確認購買、退款，或付款。

遠程設備操控

現代汽車已經變得計算機化、網絡化、相互關聯的以及和智能手機可互操作的。因此，攻擊智能手機使得攻擊者能夠遠程啟動、開鎖、追蹤或操作和受控制的智能手機連接的車輛。