Apple 与安全研究人员有一段尴尬的历史:它想吹嘘自己的安全性非常好,这意味着试图让那些试图证明并非如此的人保持沉默。 但是,那些打击将信息出售给 Apple 以外的任何人的安全研究人员的尝试削弱了公司的安全信息。
《华盛顿邮报》最近的一篇文章披露了苹果公司在 2016 年与美国政府的传奇斗争背后的细节,当时司法部敦促苹果公司创建一个与恐怖分子在圣贝纳迪诺枪击案中使用的 iPhone 相关的安全后门。 苹果拒绝了; 政府在法庭上追究此事。 然后,当政府找到一名安全研究人员提供绕过 Apple 安全的方法时,政府放弃了法律斗争。 该漏洞奏效了,而且出乎意料的是,在该设备上没有发现任何对政府有价值的东西。
所有这些都是众所周知的,但邮报详细介绍了政府以 900,000 美元购买的漏洞利用程序。 它涉及来自 Mozilla 的开源代码中的一个漏洞,Apple 曾使用该漏洞允许将配件插入 iPhone 的闪电端口。 那是手机的致命弱点。 (注意:现在无需担心;该漏洞早已被 Mozilla 修补,使该漏洞利用无效。)
[通过 Computerworld 的时事通讯了解最新的 IT 思想领导力、见解、操作方法和分析。 ]
令政府失望的 Apple 安全功能是针对暴力攻击的防御。 iPhone 在 10 次登录尝试失败后删除了所有数据。
一位威胁研究人员“创建了一个漏洞利用程序,可以实现对手机的初始访问——一只脚踏入门外。 然后他将它与另一个允许更大机动性的利用结合起来。 然后他将其与另一位 Azimuth 研究人员已经为 iPhone 创建的最终漏洞联系起来,使他能够完全控制手机的核心处理器——设备的大脑,”邮报报道。 “从那里,他编写了一种软件,可以快速尝试密码的所有组合,绕过其他功能,例如在 10 次错误尝试后删除数据的功能。”
鉴于所有这些,IT 和安全的底线是什么? 这有点棘手。
从一个角度来看,要点是企业不能信任任何消费级移动设备(Android 和 iOS 设备可能有不同的安全问题,但它们都有实质性的安全问题)而不对企业自己的安全机制进行分层。 从更务实的角度来看,没有任何设备可以提供完美的安全性,而一些移动设备——iOS 多于 Android——做得相当不错。
考虑到集成的生物识别技术,移动设备确实提供了非常低成本的身份验证工作。 (今天,几乎全是面部识别,但我希望指纹能够回归,并且——拜托,拜托,拜托——增加视网膜扫描,这是一种比手指或面部更好的生物识别方法。)
这些生物识别技术很重要,因为 iOS 和 Android 的弱点是获得对设备的授权访问,这就是《华盛顿邮报》的故事。 一旦进入手机,生物识别技术就会为企业应用程序提供具有成本效益的额外身份验证层。 (我还在等待有人使用面部识别来启动企业 VPN;鉴于 VPN 是超敏感企业文件的初始密钥,因此需要额外的身份验证。)
至于帖子描述的解决方法,真正的罪魁祸首是复杂性。 手机是非常复杂的设备,有大量的第三方应用程序,它们都有自己的安全问题。 我想起了大约七年前的一篇专栏文章,其中我们披露了星巴克应用程序如何以明文形式保存密码,让任何人都能看到。 罪魁祸首原来是 Twitter 拥有的崩溃分析应用程序,该应用程序在检测到崩溃时立即捕获了所有内容。 这就是纯文本密码的来源。
这一切都提出了一个关键问题:有多少移动安全测试是现实的,无论是在企业级(本例中为星巴克)还是供应商(Apple)级。 我们发现这些错误是由我们合作的渗透测试人员提供的,我仍然认为在企业和供应商级别必须进行更多的渗透测试。 也就是说,即使是优秀的第三方测试人员也无法捕捉到所有内容——没有人能做到。
这让我们回到最初的问题:企业 IT 和安全管理员在移动安全方面应该做什么? 好吧,我们可以消除明显的选择,因为不使用移动设备获取企业数据不是一种选择。 它们的好处和大量分布(它们已经掌握在几乎所有员工/承包商/第三方/客户手中)使移动无法抗拒。
但没有企业可以证明信任这些设备的安全性。 这意味着对企业数据进行分区并要求企业级安全应用程序授予访问权限。
对不起,人们,但是有太多的漏洞——已经发现的和尚未发现的——可以被利用。 今天的手机里有成千上万为 Apple 工作的程序员的代码——其中许多人从不互相交谈——或者开发了第三方应用程序。 总是没有人知道手机内所有代码的一切。 对于任何复杂的设备都是如此。 那是在自找麻烦。
