移动设备的安全性分析

2018年02月13日 10:40 312

移动设备在我们生活中所起的作用越来越大,很难想象有一天如果没有移动设备,我们的生活会变成什么样。最近,Bring Your Own Device (BYOD), Choose Your Own Device (CYOD), Bring Your Own App (BYOA) 和Bring Your Own Cloud (BYOC)俨然成为一种趋势。


随着我们对移动设备越来越依赖的同时,我们也见证了移动设备软、硬件架构的发展,这也印证了摩尔定律。在软、硬件开发的过程中,大部分研究都投入在增强移动设备安全性上。虽然手机应用在隔离的沙箱环境中运行,手机操作系统也增强了安全性,但是大多数人仍然觉得手机的平均安全性还是比不了电脑。

然而经过研究,无论是确保物理、逻辑访问、数字身份认证、软件token平台,还是使用手机来验证电脑端的交易,都证明了移动设备本质上和一般的电脑同等安全或更安全的。

如果配置和保护合理,对于身份认证和在线交易来说,移动设备是更加安全和高效的平台


移动设备没那么容易攻击

包括应用的迁移、键盘记录、内存hooking在内的桌面恶意软件特征都存在于大多数移动恶意软件样本中。另外,移动设备漏洞的生命周期较短。


移动设备的攻击面更小

移动设备恶意软件和漏洞的利用主要攻击特定的硬件、固件和操作系统版本,这会减少大规模感染的可能性。


移动设备的基础架构是安全的

移动设备的操作系统采用多层分类方法,所以没有被root或越狱的设备还是很安全的。安装在手机上的应用都是经过数字签名的,也就是说用户可以对每个应用授予不同的权限。


移动设备使用沙箱技术

应用在沙箱环境中运行,也就是说,应用不能共享或读取属于其他应用的数据。沙箱技术可预防一些复杂的恶意软件。


在官方应用商店中合法应用是中心化的

官方商店的应用检查过程的成功率是有争议的。但是,简化了软件安装过程、减少了安装恶意代码的风险是毫无疑问的。


移动数据网络比Wi-Fi更安全

在超市、咖啡厅等公共场所,我们有时候会进行含有敏感数据的交易,比如在线购物或者查看银行账户。在这种情况下,使用移动数据网络比连接公共WiFi更安全,也比使用有线网络的电脑更加安全。


移动设备更易集成安全增强方案

数字证书、OTP一次性密码、特定应用的PIN锁都可以增强设备的安全性。

然而移动设备有一些天生的缺陷,就是对信息的保护。当尝试保护手机或者平板上的信息时,会面临一些风险,包括依赖制造商的软件更新、浏览时分析数字证书的困难、潜入官方商店的恶意软件的数量、易受攻击的应用程序、被盗或者丢失的风险等。

事实也是如此,无论是何种设备都很难保证它是完全安全的。系统提供的大量安全是由用户的配置决定的,许多造成百万设备被黑的威胁可能都是始于的一封精心设计的诈骗邮件、钓鱼网站、和即时消息。重要的是如何最大限度地利用好移动设备,确保安全和隐私。

虽然移动设备存在一些天生的安全缺陷,但是总的来说,移动设备的安全性和电脑的安全性是等同的,甚至更高。问题的关键是如何对移动设备进行安全配置和更新。

本文转载自嘶吼


阿里聚安全

阿里聚安全(http://jaq.alibaba.com)由阿里巴巴安全部出品,面向企业和开发者提供互联网业务安全解决方案,全面覆盖移动安全、数据风控、内容安全、实人认证等维度,并在业界率先提出“以业务为中心的安全”,赋能生态,与行业共享阿里巴巴集团多年沉淀的专业安全能力。


标签

  • 短信
  • 积分兑换
  • 仿冒应用
  • 漏洞分析
  • 漏洞预警
  • 年度报告
  • 安全报告
  • 病毒分析
  • 阿里聚安全
应用更安全,用户更放心! 立即登录