最近移动安全及隐私已经成为引起人们相当多讨论的话题。在移动设备上发现诸如Carrier IQ这样的软件已经引发人们对于移动设备的"电子生态系统"上到底存在多少安全及隐私问题的质疑。作为这个问题的延伸,如果类似Carrier IQ这样的软件可能在企业不知情或是准许的情况下传输敏感的公司数据,企业能从移动设备上期望什么级别的安全及隐私呢?
带着这些问题在本文中我们会审视Carrier IQ软件,它给企业造成的风险,以及企业能够使用的方法来分析安装在他们移动设备上的应用的安全性和隐私性。
Carrier IQ 软件
让我们从审查这个受到质疑的软件的预期目的开始。去年安全研究员Trevor Eckhart在多个安卓操作系统的移动设备上发现了Carrier IQ软件,并且发现它能运行在其它平台上、包括来自黑莓公司和诺基亚公司的操作系统。该软件由AT&T公司、Sprint公司和T-Mobile公司使用,据说用于给移动运营商提供度量信息,但是在许多情况下用户们并不知道他们的设备上安装有该软件。
在一篇新闻发布稿中Carrier IQ公司明确说明该软件的功能:"当我们查看设备性能的许多方面时,我们对性能参数进行计数和汇总,而不是记录用户的键盘敲击或是作为追踪工具而提供".尽管与早期各种研究人员宣称的情况相反,Virtual Security Research公司的安全研究员Dan Rosenberg核实该软件没有收集"键盘记录、SMS消息、邮件消息以及其它这种性质的数据".Carrier IQ软件默认由移动运营商、或是手机厂商安装在这些受到影响的设备上,并且将数据通过到某个地方的加密连接传回Carrier IQ公司,这些都写在移动设备上已经设置好的配置文件中。无论网络连接是什么情况数据都会被收集。Carrier IQ公司指明收集的数据是与消费者无关的,但是这个情形下的消费者是移动运营商或是手机厂商,而不是最终消费者或是企业客户。所以企业会质疑他们的公司数据确切被传输到哪当然是可以理解的。
牢记Carrier IQ软件收集的大部分信息已经被手机上自带的应用在本地记录,或者是被无线运营商收集。某些数据、例如可能记录的URL已经由于网络性能的原因被Web代理服务器收集。尽管Carrier IQ聚合所有这些数据对于隐私来说不一定有好处,更值得我们关注的是设备发送数据到外部的那些利益方。
Carrier IQ像其它移动平台应用一样给企业造成了类似的信息安全风险,但是随着该软件被广泛地部署以及收集的数据,毋庸置疑它会引发人们不断的关注。可能的风险之一是该软件自身存在可能被利用的漏洞,可能会影响到大量的设备。这种情况是合情合理的:如果该软件安装在数以百万计的设备上,攻击者们将会渴望找到软件的缺陷并开发出对应的exploit,因为他们可能立刻获得对众多设备的访问权限。理论上该漏洞可以用来窃取收集到的数据,修改配置文件来将数据发送到攻击者控制的服务器上,或是在设备上安装恶意软件。
为了缓和人们对它关注的程度,由Carrier IQ软件收集数据的行为是侵入性的,但是不如其它设备收集数据那样具有侵入性。例如,苹果公司曾有一个追踪用户位置的数据库,在被公之于众后被关闭;或是苹果公司为了审美目的如何对你最近的行为进行截屏。知名的移动设备取证专家Jonathan Zdziarski也撰文提到在越狱的iPhone系统上禁用该功能的两个步骤。人们更为普遍地关注消费者和企业需要信任手机厂商和运营商来抵制默认情况下在移动设备上安装恶意软件。
(责任编辑:闫小琪)
