企业需要特别关注的11个BYOD风险

弱密码风险

考虑到计算平台基本都对外提供数据与资源服务，假如平台支持终端用户使用密码进行验证连接，那么攻击者通过猜测或者截取可以获得用户密码，这种情况下，移动设备成为攻击计算平台上用户数据和资源的入口。这对于电子邮件来说是特别重要的，因为如果你有密码(或者PIN)，进入一个智能手机或平板电脑阅读电子邮件是比较容易的。　　

WI-FI劫持风险

类似于中间人攻击(Man-in-the-Middle)， WI-FI劫持是恶意攻击者通过使用在公共场所设立的免费WI-FI热点而实施的，而用户一般希望在这些地方能找到免费的无线——机场、咖啡厅、公园以及市中心地区。然而这些热点，经常受到期待收获个人信息、财务数据和密码的攻击者的监控。　　

热点风险

移动设备可以用来束缚计算机或者以其他方式作为一个无线网络，使它们周围的计算机可以使用该无线网接入到互联网，就像一个普通的WI-FI或者蓝牙接入点。附近攻击者还可以连接到这些移动设备为终端用户的个人使用所创建的热点，在用户不知情的情况下，他们可以对本地网络及其设备发动攻击。　　

基带窃听风险

由于智能手机包含网络和语音功能，网络可以用于危害语音功能。行动电话可以被那些危害智能手机的网络攻击者拦截。这些攻击可能利用智能手机底层硬件里的漏洞，如iPhone和Android设备所使用的硬件和固件。 诸如这些之类的攻击利用智能手机的基带处理器，颠覆它使之变成窃听器，允许入侵者通过使用内置的麦克风窃听谈话，甚至在没通话的时候。　　

蓝牙窃听和模糊测试

大多数最终用户把他们的蓝牙设备的PIN密码设置为默认的PIN密码(他们几乎总是设置为0000或1234)。即使先进的技术专家对于这一块都没有太多研究，他们可能都不知道如何更改这些代码。因此，攻击者可以轻松匹配手机或设备并使用该连接来偷窃或截取数据(或窃听电话)。此外，一种称为"模糊测试"的攻击可以通过蓝牙配对执行。模糊测试攻击利用蓝牙设备固有的软件漏洞发送无效数据从而引发异常行为，如崩溃、特权扩大和可以植入恶意软件的入侵行为。　　

应用风险

移动设备的第三方应用程序是由你不认识的人在你无法控制到的环境写的，并且你看不到他们写的过程，开发生命周期，或者对于质量的控制。几乎任何人都可以上传应用程序到应用商店。这些应用程序可能是恶意的，也可以有意或无意地"绕开"在您的组织内建立的安全策略和安全标准。　　

以下分别讨论与这些应用程序相关的风险。　　

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友