你该如何应对来自智能手机APP的攻击？

这似乎是一个公平的交易：免费获取最喜欢的手机APP（即移动应用），但显示恼人的广告作为回报。

但这不是你要付出的所有回报。在现实中，这种交易让你放弃了大量的个人信息。移动应用会收集大量的个人数据——你的位置，你的在线历史记录，你的联系人，你的时间表，你的身份等。所有数据都会立即与移动广告网络共享，这些网络会在任何给定时间和地点为任何指定用户确定最佳广告。

所以对APP来说，跟你的交易并不是为了打广告——而是具有侵略性的移动监控。事实上，同意免费使用由广告赞助的移动应用程序，就相当于同意一个经济模型——需要承担持续和全面的对个人的监控。这是Al Gore准确定义的“缠扰者经济”（stalker economy）。

为什么我们个人的地理位置和行为数据如此受到营销人员的青睐？因为作为消费者，我们会携带智能手机去任何地方，它不断地播撒各种个人数据。如果广告客户知道我们是谁，我们在哪里，我们在做什么，他们可以提供更有效的广告。这称为邻近营销。这是Rite Aid（美国一家连锁药房）的广告，当你路过附近时，你的手机上会蹦出：“漱口水现在打9折。”

听起来无害，只是很恼人。但它其实远比这更糟。我们现在已经启动了一套系统，例如，一位高中女生怀孕了，她的父母通过她的异常行为——搜索和购买某些商品才能得知。但那些零售商却可以在此之前就获取到相关的信息。该零售商可以通过邮件或电子邮件联系她，或在她接近销售网点时通过电话对其进行定位。这种对我们集体隐私的侵犯不会很快消失，因为对应用开发者和广告商来说，经济的激励太强。

这种消费者监控是具有侵范性的和恐怖的。但是它如何威胁到企业安全？很简单。随着更多的个人移动设备侵入商业世界，这些设备的漏洞打开了黑客进行网络攻击的门，导致商业数据被盗乃至系统瘫痪。

例如，如果公司让员工将他们的公司日历和电子邮件帐户同步到他们的个人移动设备上，这就带来了各种各样的风险。突然间，员工的电话里包含了组织中每个人的联系信息，或者这些信息可以被访问。此外，请求访问员工的联系人和日历的任何其他移动应用程序还可以访问公司员工的姓名和职务，以及所有私人电话会议的拨入代码。该信息可以轻易地被有效地用于由恶意应用或黑客的“鱼叉式网络钓鱼攻击”（Spear phishing，指一种只针对特定目标进行攻击的网络钓鱼攻击。由于鱼叉式网络钓鱼锁定之对象并非一般个人，而是特定公司、组织之成员，故受窃之资讯已非一般网络钓鱼所窃取之个人资料，而是其他高度敏感性资料，如智慧财产权及商业机密）。

更糟糕的是，许多应用程序通过与与其他网络共享和组合数据的广告网络共享数据，从而通过其用户基础获利，因此无法知道数据在哪里以及它是否以安全的方式由多方访问。所有这些共享意味着恶意黑客甚至不必直接访问员工的电话攻击公司。他可以攻击一个广告网络，其中包含数百万用户的信息，并从那里继续。

被盗信息也可用于通过“水坑式攻击”（是在受害者必经之路设置了一个“水坑（陷阱）”。黑客分析攻击目标的上网活动规律，寻找攻击目标经常访问的网站的弱点，先将此网站“攻破”并植入攻击代码，一旦攻击目标访问该网站就会“中招”）攻击企业。例如，一群高管经常在当地的餐馆吃午饭。有权访问其地理位置数据的攻击者可以轻松地知道这一点。攻击者正确地假设一些高管正在访问餐厅的网站进行预订，并在午餐前浏览菜单。通过将恶意软件放置在轻微防御的站点上，攻击者能够危及一个或多个公司高管的办公计算机或移动设备。从那里，成功的打开突破口。

受损的智能手机不仅对目标员工而且对整个公司都构成威胁。关于员工在工作和其他地方的活动的信息，与任何公司相关的电子邮件，文档或敏感信息结合，如果它落入错误的手中，可能是毁灭性的。

那么企业应该如何应对这种威胁呢？

第一步是了解你的移动环境。你的企业要知道员工正在使用哪些应用，这些应用正在做什么以及是否符合企业安全策略。例如，是否有一个特别危险的文件共享APP，你不希望员工使用？它已经被使用了吗？如果你不知道员工用于工作的应用程序有哪些，那你就是盲目的，并将承担巨大的风险。

其次，你需要管理移动设备使用的策略。大多数企业已经为移动平台制定了策略，包括管理防火墙和与合作伙伴共享数据。为移动设备制定这些策略同样重要。例如，如果员工使用的免费版本的应用程序已获得公司批准但已获得广告支持，则可以创建一项政策，要求员工升级到付费版本，以尽可能减少未经批准的数据（以广告的形式发送）给到员工——虽然它不会消除无情收集的私人数据。

接下来，你的企业应该告知员工他们下载的应用程序的风险。通过向用户提供工具和培训来更好地决定他们下载哪些应用，这有利于用户的最大利益。例如，教导员工询问获得权限的应用程序。有很多应用程序想要访问位置、联系人或相机。员工不必自动选择“是”。即使请求被拒绝，大多数应用将正常工作，并且如果实际使用过程中需要权限，则会提示用户。如果一个应用程序没有说明为什么它需要访问，这可能就是一个陷井。

最后，所有这些问题都可以通过一个良好的移动安全解决方案来解决。任何未制定“移动威胁保护解决方案”的企业都不会知道哪些信息被泄露了，是从什么渠道泄露的，更无法消除其环境中存在的风险。因此，任何企业都必须将移动威胁防护作为其整体安全策略的一部分，以便保护员工隐私和公司数据免受移动监控和数据收集日益增长的威胁。

来源：奥圣前沿