移动应用安全

企业移动设备安全引关注

admin

前两天和一名安全界资深人士聊起金融安全,说到如U盾等身份认证动态令牌的市场被移动金融化冲击严重,近来出货量大减,不仅有些感叹这个消费时代变迁之快。现在,无论是谁,都敢大胆地预测:步消费市场移动化进程之后,企业应用的移动化进程也将持续加速,移动计算的安全问题将越来越突出。

说到企业级的移动应用,昆明亭长朗然科技有限公司移动安全专员董志军表示有话要说。移动设备在企业级的应用主要包括两个方面:一、业务流程的移动化,餐饮、电商、物流、客服等行业为提升作业效率和便利性,早已实施了移动化战略;二、协同沟通系统的移动化,包括移动办公、邮件会议、即时通讯等等,在链锁型或有分支机构的企业,以及员工经常外出工作的企业非常突出。

即使在移动化进程非常保守的企业级客户也面临两方面的压力:一、苹果、谷歌、三星、华为、联想等国际大厂商在成功占领大众消费市场后,纷纷发力布局企业级移动计算市场,企业移动计算及安全管理解决方案日渐成熟,其商业价值和优越性也越来越明显;二、几年来个人移动终端市场一直保持高速增长,企业用户们也都有了大量的移动计算消费体验,他们渴望有更多的企业移动应用。

综上所述,企业应用的移动化进程无疑仍将加速紧追消费者市场。同时,企业级移动计算的安全问题也将越来越受到重视。为什么这么说呢?昆明亭长朗然公司董志军说:有如下几点原因。

一、PC端的安全防范日益成熟和稳固,与此同时,移动计算设备却越来越普及,在终端出货量上已经甩出PC一大截。针对移动计算设备和应用的恶意代码开发、漏洞挖掘和入侵渗透都成为近几年黑客们相互追赶的一种时尚,而企业界对此的研究以及应对却显得落后很多。移动计算设备是个大舞台,而在短期内,攻防双方的力量差距相当悬殊,基于移动计算设备的安全事故自然会越来越多。

二、让我们从黑客经济学的角度思考,黑客入侵个人用户移动终端的主要目标是以网络诈骗、金钱勒索等等为主。针对企业级用户的移动设备入侵目标在于窃取机密商业数据、损毁企业形象和进行网络破坏,相关的移动应用及终端难以避免地会成为攻击者的目标或工具。入侵移动计算设备的商业价值,首先会被人们想到的是硬件的利益,除了前沿而高端的设备尚有一些市场价值之外,普通移动终端的价值显然只能引起街头窃贼们的兴趣,黑客们更在乎的是窃取用户的身份,并通过冒用身份进行更多企业信息的获取。除此之外,在获取了移动设备的访问权限之后,黑客还可以利用它们做跳板,来入侵更多企业级的应用和获取更多信息数据。

三、攻击者的互联网思维影响移动设备中的其它应用,早在2014,我们就已经看到“固若金汤”的iOS中的不少应用都陷落了,而安卓市场虽然经历了不少行政监管方面的整治,但是安卓系统存在的先天性应用分发缺陷并不是那么容易解决的。所以,包括企业移动设备在内的海量智能移动终端无疑仍然将是黑客们的目标,通过批量制造和颁发恶意应用,进而达到控制终端设备、建立移动僵尸网络并通过进一步利用来谋取不法利益的罪恶目的。

四、开放式的无线网络不断增加,只要存在免费的无线网络,用户就会尝试使用移动计算终端进行连接和使用,当然网络犯罪分子也不例外,他们可能通过建立假的免费无线热点、实施ARP欺骗等手段来进行网络窃听甚至发起中间人攻击以篡改信息通信。

五、随着移动支付等的应用越来越广泛,移动POS机等必将成为黑客热衷挑战的目标,近几年就有不少关于POS安全漏洞的问题。非接触式手机支付也逐渐从概念提出、少量商用进入到生态链搭建的阶段,尽管广泛使用可能仍然需要一些时间,但是这些占领跑钱的系统无疑是所有黑客们的梦想。

六、移动计算设备的便携性不仅让其流离于传统的网络边界保护之外,更让传统的防病毒、防火墙、IPS等安全保障系统无用武之地。而移动系统版本的快速而频繁的升级,也让独立移动安全管理软件开发商们疲于追赶,同时也在严重挤压着他们的生存空间。少了独立移动安全管理软件厂商的帮助,企业用户似乎只能受制于原厂商了。

七、关键领域如电子政务、电力通讯、金融能源、航空交通、电商配送等重点监管行业往往是移动化需求急切的行业,也是最为关注移动安全问题的行业,但是在考虑到国家政治安全时,显然没有人敢完全信任谷歌和苹果这些美国公司的系统,中国自己建立移动操作系统并非不可能,但解决移动生态链的问题才是关键。

八、移动计算设备是获取企业信息的计算终端,与PC相比,移动应用往往将用户身份验证信息存储在设备本地,这样可以免去每次登录的输入,提升工作效率。同时,这也方便了犯罪分子们,借助被控制的移动计算终端,他们可以轻易盗用企业用户的身份,进行涉密信息的攫取。

受消费性移动应用的影响,企业计算移动化的潘多拉魔盒已经开启,请重视起来,及早制定应对之策吧!昆明亭长朗然科技有限公司专注于帮助企业级的单位提升职员的信息安全意识,其中包括移动安全意识,我们的课程内容也特定为移动计算用户所设计,适合移动工作和学习。欢迎联系我们了解更多详情。

电话:0871-67122372
手机:18206751343
微信:18206751343
邮箱:info@securemymind.com
QQ:1767022898

mobile-computing-security

针对无线终端设备的HTTP请求劫持应对之策

admin

cell_phone_http_request_hijack
移动计算设备如同体积轻便的个人电脑一样,功能强大,而且容易携带。除了PC所面临的安全问题之外,人们往往特别关注的是它们所面临的物理安全问题、个人隐私保护问题以及移动应用的安全等等。

毫无疑问,无线终端设备更容易失窃,进而让设备上所存储的个人信息数据外泄。而移动应用的安全问题往往只受到专业领域内的信息安全人员及应用开发人员所关注,只到近来,这里面的安全问题才渐渐浮现出来。昆明亭长朗然科技有限公司的移动安全研究员James Dong称:移动安全不仅仅是防止移动应用的广告插件和恶意程序,将正牌移动应用拆解,植入广告或恶意代码后后重新打包成“免费”的冒牌货,是国内的移动程序开发人员常干的事情。这和国内的商业市场环境和消费者习惯不可分,进而造成大量靠强制用户点击广告和偷卖用户隐私数据赚钱的“打包党”出现。

尽管移动安全所面临的局势很恶劣,我们可以看到政府机构不断在强化对移动应用程序提供者的监管力量,但是我们仍然需要强化警惕,移动计算领域的从业者可能随时变换入侵手法,以实现其罪恶的敛财目的。目前我们已经看到的是会对大众型的移动应用软件的会话劫持攻击,其原理很简单,事先建立好伪造的各类新闻、社交、购物等在线网站或广告插播页面,然后在各WIFI网络中不断发送事先定制好的DNS欺骗,ARP欺骗,HTTP请求及会话劫持等攻击包,将这些常见移动应用客户端引向事先伪造的网站服务器。

有人会估计这种入侵的耗资巨大,还不如在手机等智能设备中预装或捆绑软件来得快,其实,厉害的黑客已经能够通过一次性的WIFI攻击,使用HTTP 301永久转向等功能,而让移动应用程序受到永久的感染,所以,在机场、地铁等人流密集的地方进行这种活动还是很值得的。

防范之道从应用层面讲,可能需要强化移动网站服务器与移动终端之间的认证和通讯加密功能,这都需要一定的金钱和时间的投入。另一方面,则是从移动终端使用人员来进行,提升人们的信息安全意识,比如在接入公共的WIFI之后,立即启用VPN连接将所有通讯进行加密,以防范窃听和劫持。

当然,无线移动终端计算设备所面临的安全威胁还很多,我们不仅要强化移动计算服务和终端设备的安全,更需要让移动用户提高警惕,通过一部在线的移动设备信息安全意识教程,我们可以实现这些。