惡意移動應用旨在竊取敏感數據、獲得大量媒體關注,一位專家表示,合法應用可能會給企業帶來更大的威脅。
總部位于舊金山的Appthority公司的聯合創始人兼總裁Domingo Guerra說道,這是因為移動應用很容易下載并可以利用各種數據源,可能會泄露敏感信息。
Guerra參加2012年黑帽大會時表示,通常企業首席信息安全官在設置移動策略時沒有考慮到合法的移動商務應用所帶來的風險。Guerra的公司因其平臺贏得最具創新的供應商獎項而在2012年RSA大會上獲得關注,該平臺旨在對移動應用進行靜態和動態分析。它還基于信譽和應用收集、分發數據的風險為應用評分。
“開發商想要賺錢,消費者想要免費軟件,而廣告網絡將支付開發者費用以獲取更有價值的數據,”Guerra對SearchSecurity.com這樣說道。“合法的應用從用戶那里獲取信息,這些信息通常都與企業信息有關。”
Guerra說,應用利用企業日歷、地址簿和關鍵管理人員的位置跟蹤。如果將信息共享給錯誤的人,可能使得一些企業在競爭中處于劣勢。其他移動應用不通過加密就發送數據,錯誤地存儲用戶名和密碼,然后通過廣告網絡向分析公司共享數據。
另一個被日益關注的移動應用安全領域,是移動應用開發人員的特殊性,Guerra補充道,這一問題使得了解應用來源的可靠性和聲譽越來越難。本周公布的一項由Appthority進行的分析顯示,蘋果iTunes App Store排名前50位的免費應用中,92%的是由獨立開發人員編寫的。“如今,軟件的來源沒有限制,”Guerra說道,“它們是不可信的,未被審查的。任何一個擁有電腦的人都可以開發一個應用。”
分析還發現,蘋果iOS應用訪問數據源的程度超過了谷歌Android設備的應用。大多數的iOS應用(88%)可以訪問廣告網絡和分析數據、設備位置(70%),以及用戶的聯系人列表(52%)。
在iOS應用中,22%的可以訪問以上所有四種信息。有趣的是,根據Appthority,在Android排名前50的應用中,沒有利用以上四種信息的應用,這一點是非常值得注意的。因為安全專家普遍認為,比起iOS,Android平臺帶來的安全風險更大。
移動惡意軟件、木馬應用是未來關注焦點
專家普遍認為,與移動惡意軟件相比,數據隱私將是一個更大的擔憂。現在,網絡犯罪分子都將觸角伸向個人電腦,因為這是最容易賺錢的,Sourcefire公司的云技術部門的首席設計師Adam Donnell這樣說道。
“網絡犯罪分子將轉到任何他們可以立足并賺錢的地方,他們可以隨時隨地去賺錢,現在它針對的仍是個人電腦。”Donnell說,網絡犯罪分子已經變得非常具有商業頭腦,通過惡意活動來尋求最低的進入成本和最高的回報。自動化工具包和利潤分享計劃兩項主要的措施使得網絡攻擊不斷在桌面出現。
如果一個攻擊者想出了一個可以高效發布惡意軟件去破壞移動設備的方法,那么你會看到惡意軟件轉移到手機端,如果每個人都不再使用電腦,而使用移動設備,那么犯罪分子要么攻擊移動設備,要么攻擊他們溝通的服務器。”
Appthority的Guerra表示,惡意軟件在未來將成為日益嚴重的威脅。但隨著威脅的出現,研究人員也將更好的了解企業移動風險。當談到保護移動設備和審核批準應用時,企業IT安全團隊正在慢慢成為“守門人”。大多數企業需要自問,“我們可以接受多大的風險?”現在,應用正在做業務線(line of business)功能,IT會開始要求開發者實現更好的安全性和隱私。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:糟糕的移動應用安全給企業數據帶來損失