最近有消息顯示���,諸如蘋果iPhone和谷歌Android等許多智能手機(jī)一直在收集與位置相關(guān)的數(shù)據(jù),Android甚至每小時就把這些數(shù)據(jù)發(fā)送回Google幾次���。
這不僅引起了關(guān)于廠商道德和隱私的擔(dān)憂�,人們還擔(dān)心其它敏感數(shù)據(jù)是否也在自己不知情或者沒同意的情況下進(jìn)行了傳送。企業(yè)可以做些什么來減輕移動定位服務(wù)技術(shù)的所帶來的安全風(fēng)險��,特別是當(dāng)它涉及到智能手機(jī)應(yīng)用時?這就是我們將在這篇文章中討論的主題��。
目前�,還沒有成熟的聯(lián)邦法律可以防止移動設(shè)備上的數(shù)據(jù)(包括位置數(shù)據(jù))被共享或者出售給商業(yè)伙伴。聯(lián)邦政府或許會嘗試介入并保護(hù)移動用戶的隱私����,但是任何法律想要對供應(yīng)商如何收集來自手機(jī)和應(yīng)用程序的數(shù)據(jù)產(chǎn)生影響還有一個漫長的過程,而且肯定不能指望它們(法律)來保證許多企業(yè)所需的安全等級�。
Google已經(jīng)禁用了幾個違反其許可協(xié)議的應(yīng)用程序,但是關(guān)于應(yīng)用程序如何使用和共享數(shù)據(jù)的詳細(xì)信息的普遍缺失��、以及安裝時含糊不清的點(diǎn)擊通過協(xié)議���,意味著那些允許訪問通訊信道的應(yīng)用程序都有可能對企業(yè)的遵從規(guī)則和數(shù)據(jù)安全造成風(fēng)險。
企業(yè)可以選用的一個解決方案是禁止使用定位服務(wù)����。蘋果、微軟以及黑莓制造商RIM公司默認(rèn)開啟位置服務(wù)�,但是它們都提供了關(guān)閉這些服務(wù)的選項(xiàng)。但位置數(shù)據(jù)使手機(jī)網(wǎng)絡(luò)路由呼叫更快��、更有效,同時員工將會發(fā)現(xiàn)���,在失去位置服務(wù)后����,許多有用的工具忽然變得不再那么有用了�����。收集位置數(shù)據(jù)除了會引起道德問題外����,大多數(shù)用戶并不太可能會因?yàn)檫@類信息而處于真正的風(fēng)險之中。但是�����,如果其它信息從智能手機(jī)上被傳送出去呢?
華爾街日報的研究發(fā)現(xiàn)�����,在101個最流行的智能手機(jī)應(yīng)用程序中��,有47個會發(fā)送位置信息給其它公司,并且有5個會發(fā)送年齡��、性別以及其它信息�。其中一個被測試的應(yīng)用程序是Pandora,它會傳送位置信息給7個不同的公司,發(fā)送獨(dú)特的手機(jī)識別碼給三個公司并將人口統(tǒng)計數(shù)據(jù)發(fā)給兩個公司����。來自美國賓夕法尼亞州立大學(xué)和英特爾實(shí)驗(yàn)室的研究人員調(diào)查了30個流行的Android應(yīng)用程序的行為,發(fā)現(xiàn)其中三分之二都顯示出研究人員所稱的敏感數(shù)據(jù)的"可疑處理(suspicious handling)".其它的應(yīng)用程序會在沒有任何明確許可的情況下發(fā)送手機(jī)號或者SIM卡序列號�����。因此�,Google應(yīng)用程序研發(fā)者以及它們的分支機(jī)構(gòu)能夠收集到的信息包括用戶下載了什么應(yīng)用程序,以及他們觀看�、閱讀和購買了什么東西。
仔細(xì)閱讀任何應(yīng)用程序或者插件的終端用戶許可協(xié)議是評估它是否適合企業(yè)使用的第一步�����。當(dāng)?shù)弥@些應(yīng)用程序能夠訪問用戶的計算機(jī)上所有瀏覽歷史���、網(wǎng)站數(shù)據(jù)以及書簽之后,谷歌從其Chrome網(wǎng)絡(luò)商店里刪除了至少兩個游戲��。一個博主發(fā)現(xiàn)了隱藏在某種應(yīng)用程序終端許可協(xié)議里的一頁,上面這樣寫到�����,"這個項(xiàng)目可以讀取你訪問過的每個頁面……除了看見你的所有頁面�,這個項(xiàng)目還可以使用你的憑證(cookies)來從網(wǎng)站上請求數(shù)據(jù)。"且這些難以置信的寬泛權(quán)限居然是默認(rèn)開啟的����。
即使一個終端用戶許可協(xié)議看起來是可以接受的,但是企業(yè)不能盲目地信任應(yīng)用程序來處理它們可以訪問或者收集的信息�。考慮到為了真正地減輕由于智能手機(jī)應(yīng)用程序把數(shù)據(jù)發(fā)送給第三方而造成的風(fēng)險��,必須對可以訪問企業(yè)網(wǎng)絡(luò)的手機(jī)上所使用的任何應(yīng)用程序執(zhí)行一個全面的風(fēng)險評估����。這將使用諸如Wireshark或者Ethereal的網(wǎng)絡(luò)協(xié)議分析工具來捕獲和瀏覽應(yīng)用程序所產(chǎn)生的流量。如果這樣的測試顯示正在發(fā)送的數(shù)據(jù)違反了安全策略���,那么這個應(yīng)用程序就不應(yīng)該被批準(zhǔn)��。
考慮到需要連接回相應(yīng)供應(yīng)商服務(wù)器的程序數(shù)目��,因此這類測試也應(yīng)該在普通桌面應(yīng)用程序上執(zhí)行����。雖然大多數(shù)程序會檢查是否有更新需要安裝,但即使是這樣�,也可能會捕獲并發(fā)送那些不應(yīng)該被企業(yè)外部共享的運(yùn)行環(huán)境數(shù)據(jù)。
這種與數(shù)據(jù)丟失保護(hù)(DLP)技術(shù)相結(jié)合的流量分析�,有助于檢測和防止由于安裝應(yīng)用程序而引起的未授權(quán)使用和機(jī)密信息的傳輸。但是�,由于企業(yè)網(wǎng)絡(luò)周邊之外的安全性始終是較弱的,所以智能手機(jī)能夠訪問的數(shù)據(jù)應(yīng)該始終受到控制�����,并且智能手機(jī)也應(yīng)該被視為不可信任的�����。
