移動設備安全問題分析

本周美國政府問責局(Government Accountability Office，GAO)向美國國會提交了關於移動設備安全狀態的報告，報告的結論是：當涉及安全性時，大多數移動設備都是等待被攻擊的目標。

　　移動設備缺乏安全性，並且它們已經成為網絡攻擊者的目標，可見，當前移動設備面臨著嚴峻的態勢。GAO指出，在不到一年的時間內，針對移動設備的惡意軟件變體數量已經從1.4萬上升到4萬，或者說185%的增長。

　 　“移動設備面臨著各種威脅，攻擊者往往利用這些設備中很多常見的漏洞來發動攻擊。這些漏洞可能是技術控制不足的結果，也可能源自消費者糟糕的安全做 法，”GAO指出，“私有企業和相關聯邦機構已經采取措施來提高移動設備的安全性，包括為消費者提供某些安全控制以供他們使用，以及向消費者推薦移動安全 最佳做法。然而，安全控制很少真正被部署到移動設備上，並且，我們也不清楚消費者是否意識到在其設備上啟用安全控制以及部署最佳安全做法的重要性。”

　　GAO報告中列出了所有移動平台都存在的最常見問題，並且提供了一些解決方法：

　 　•移動設備往往沒有啟用密碼。移動設備沒有設置密碼來驗證用戶以及控制對存儲在設備上數據的訪問。很多設備能夠支持密碼、個人識別碼(PIN)或者身份 驗證式的屏幕解鎖，一些移動設備還包含一個生物識別讀卡器，可以掃描指紋來驗證身份。然而，根據報告指出，消費者很少使用這些驗證機制。此外，即使用戶使 用密碼或者PIN來驗證身份，他們往往會選擇很容易被破解的密碼，例如1234或者0000。如果沒有使用密碼或PIN來鎖定設備，被盜或丟失手機上的信 息可能被未經授權用戶查看。

　　•當在移動設備上進行敏感交易時，並沒有總是使用雙因素身份驗證。根據研究顯示，在使用移動設備進行敏感交 易時，消費者通常使用靜態密碼，而非雙因素身份驗證。使用靜態密碼進行身份驗證存在安全缺陷：密碼可能被猜出、忘記、寫下來或者丟失，甚至竊聽。與傳統的 密碼或者PIN相比，雙因素身份驗證能夠提供更高水平的安全性，這種安全性對於敏感交易非常重要。雙因素身份驗證指的是用戶需要使用至少兩種不同的“因 素”—你知道的東西、你擁有的東西或者你本身，來進行身份驗證。在某些雙因素身份驗證中，移動設備可以作為第二個因素。移動設備可以產生代碼，或者代碼可 以通過短信發送到手機。如果沒有雙因素身份驗證，未經授權用戶可能獲取移動設備中的敏感信息，並濫用移動設備。