赛门铁克：iOS和Android安全性难满足企业需求

北京时间6月30日上午消息，赛门铁克6月28日发布的一份报告显示，谷歌Android和苹果iOS的安全性好于传统桌面操作系统。不过，这两款操作系统在应对不同类型安全威胁时仍存在一定问题，因此不能完全满足企业用户的需求。

赛门铁克这份报告名为《移动设备安全性窗口》，分析了Android和iOS两款操作系统在应对攻击和恶意软件，以及确保数据完整性等方面的能力。

赛门铁克集团产品经理阮魁(Khoi Nguyen，音)表示，iOS在接入控制、应用来源确认，以及加密等方面表现较好，而Android在应用独立性方面较为出色。他表示：“这一项目并不是为了确认哪一平台更好。”赛门铁克更倾向于分析两款系统的核心安全架构，以了解各自的优势和潜在问题。

阮魁指出，如果Android手机或iPhone被破解或越狱，那么安全性将大幅下降，并极易成为攻击目标。

根据赛门铁克的报告，这两款操作系统均通过密码来实现接入控制。不过iOS提供了更多保护数据的方式，例如在密码验证多次失败后自动删除数据。

阮魁表示，苹果对App Store中应用的审查能够保护用户。App Store为应用提供认证，这也是未越狱iOS设备获取应用的唯一途径。谷歌对应用的控制较为宽松。在Android电子市场中，恶意软件的发布相对容易，这导致Android系统上的恶意软件较多。不过到目前为止，恶意软件尚未对Android用户造成太大影响。

苹果对所有的设备中数据进行了硬件加密，但解密方式存在一定的隐患。阮魁指出，苹果的加密密钥被存储在设备中，但没有得到用户主密码的保护。如果攻击者获得用户的设备并对其进行破解，那么将可以在无需密码的情况下获取所有数据。

Android 2.2和2.3系统并没有内建加密功能，但针对平板电脑的Android 3.0系统集成了这一功能。不过这一功能被默认关闭。iOS和Android均采用一定的沙箱技术来隔离应用，并要求应用在请求授权后才能使用设备自身的功能。

iOS应用被禁止对其他应用和操作系统进行读写操作，对SIM卡和系统内核的权限也很低，但这些应用仍能在未经用户授权的情况下实现一系列操作，例如接入互联网，获取电话号码，查看日程表，以及启动摄像头等。这将带来潜在的隐私问题。

在Android系统中，如果未经用户授权，那么应用将无法获得大部分的系统服务。当用户试图安装应用时，将会看到应用所需的一系列权限，因此用户可以提前知道应用将会进行的操作，例如发送短信或接入互联网等。不过，对于不太了解技术的用户来说，随意做出授权决定也将带来安全风险。

赛门铁克指出，尽管移动设备在设计之初非常注重安全性，但用户使用这些设备的方式影响了安全性。如果用户经常将移动设备与云计算系统，或是家用电脑同步，那么其中的敏感信息有可能无法被企业IT部门控制。此外，由于用户通常随身携带这些移动设备，因此这类设备更容易丢失，导致其中的数据泄露。