一家移动安全公司周二发布报告称,尽管苹果对其移动应用的严格审核使其安全性优于安卓设备,但网络攻击者仍然有多种方式从iOS设备上窃取数据。该报告着眼于用户平台所面临的风险因素,由此得出结论,无论员工使用哪种平台,企业仍然面临数据泄露的风险。
移动安全公司Marble Security的调查显示,“iOS系统和安卓系统,哪一方也不见得比另一方更具安全优势。无论是允许员工使用iOS设备还是安卓设备,企业所存在的安全隐患指数没什么区别。”
报告显示,对于没有进行越狱的iOS设备用户,其应用程序的唯一来源是App Store,苹果公司对此严密监视潜在的恶意应用程序。除了Google Play之外,安卓用户对交易市场则有更多选择性,而这些交易市场也许并不能对恶意软件应用进行分析。
苹果的iOS系统还存在另一个小优势,即其设备不那么“碎片化”。相比之下,安卓设备“碎片化”较为严重。据Marble Security统计,有11,868种设备在运行无数种安卓版本。
报告指出,这些安卓版本“可能存在安全漏洞、过时的补丁级别、风险配置或不安全的出厂安装程序”。
然而报告还指出,仍然有多种入侵iOS的渠道。例如,一个App Store中没有的应用程序可通过使用TestFlight安装到一个非越狱设备上。TestFlight是一个分发应用程序测试来选择用户群体的平台。
Marble表示,“安卓设备可以更轻易通过非审核网站获得应用程序,而iOS设备也有多种途径安装应用程序,这给企业带来麻烦。”
报告显示,iOS面临的风险来自设备管理配置,可以通过一个网站进行交付。此种网络攻击需要使用社会工程学诱使某人进入某个网站,并说服他安装恶意配置。
Marble指出,但是“如果用户安装了一个恶意配置文件,企业即存在流量被拦截、虚假应用程序安装、复杂钓鱼网站和高级持续性威胁的风险。我们已经见识了很多欺骗用户安装这些配置文件的伎俩。”
访问报告原文:
http://www.marblesecurity.com/wp-content/uploads/2014/06/Mobile-App-Threat-Report-June_2014_02.pdf 
