自带设备移动办公?只有间谍这么做吧,总统候选人这样说。
如果说约翰·迈克菲和尤金·卡巴斯基在他们的公开演讲表现中存在差别,差别更在于演讲的音调而不是在于内容的偏激上。也许是因为迈克菲已经70岁了(或者因为他练习呈现出一个总统的克制),他比卡巴斯基语速更慢也更安静。
但是,在今天的澳大利亚黄金海岸的Lawtech2015大会上,这位总统候选人兼自称“最长寿的”信息安全业内人士还是让系统管理员观众们大惊失色。他用黑客大会之外的首次现场网络钓鱼告诉观众们他们的安卓移动设备有多么不安全。
迈克菲告诉了出席会议的IT经理人智能手机在根本上与任何法律公司在其网络方面的敏感信息处理是相违背的。
究其原因——至少在谷歌安卓原生态系统中——是很简单的。人们在安卓原生态系统中能赚钱。
他说:“作为交易媒介,应用程序会收集出售等相关信息,对于一般人,泄露的隐私价值800美元。
这就是为什么应用程序需要那么多的权限;而糟糕的是,一旦授予了这些权限,你除了删除应用程序之外做不了什么。
钓鱼系统管理员找些乐子
迈克菲现场演示了如何钓鱼参会者。
他有一个专门为大会写的手电筒式的APP;通过要求人们在他们的记事本上写些什么,照下来,并按下“发送”的简单计划,他得到了一些与会者的许可——允许他的应用程序使用前置摄像头给他们和他们的电子邮件APP拍照。
“这不是一个简单的手电筒APP,它能刺探你的权限,“迈克菲说,“因为我们授予了应用这些权限。”
“我们花费了大约3个小时编出这些功能,打开闪光灯,拍照,并通过你的电子邮件发送将其发送给我。这太简单了。”
放下手中的圣经吧
“在美国,我们有圣经阅读应用:这些应用程序中的每一个都会要求打开麦克风、相机的权限,并希望你允许它读取你的电子邮件并发送邮件,无论它发给谁。”
“这些权限中还包括短信、视频、图片,所有这一切都可以被打包发送到所谓的“关注家庭”的宗教组织,这让我感到害怕”,迈克菲说。
为了近一步向观众说明,迈克菲指出一切经由律师的邮件都是敏感的信息,无论它包括抗辩,主张或是费用问题,而且所有这些都可能因为用户的授权而提供给一个应用程序。
这听起来似乎有些偏激,告诉观众一个智能手机从来都没有被真正的“关闭”——手机可以花一个晚上读取电子邮件,发送它们,并复位标记为“未读”,除了耗电显示,这几乎没有留下任何痕迹,但是万一APP这样收集了信息并出售给一些其他的律师呢?
“你已经同意了它所有的条款和条件,这意味着,是的,应用程序和他的发布者可以为所欲为。”
当然,这世界上所有的律师,肯定只有少数行为不端,他们会说服自己买卖信息没什么大不了。
“你认为小规模的律师事务所不会做这些?你错了,骗子、犯罪分子和图谋不轨的人会先挑一些大的目标,剩下的就被小人物一扫而空。
El Reg猜测这个建议应该原封不变地传达给每一个IT观众——每位观众都需要把这个坏消息传达给他们的上司:要么拿到手机关闭商用网络,要么锁定它们。
他强调:“这并不是说自带设备移动办公(BYOD)的兴起不好,毕竟人们可以在回家后访问企业电子邮件。”
“我们已经在很长一段时间没有考虑过这件事并没有采取任何行动,现在,我们必须做些什么来承担我们生活中的责任。”
至于产品定位?有两个,但迈克菲指出,还有其他选择,包括雇佣开发商为你做锁定相关工作。
首先有一个叫Decentral1的APP,它帮你梳理应用程序,这样你就能知道用户授权了什么
权限——“你有27个应用通过麦克风和摄像头偷窥你,23个正在使用你的电子邮件,19个正在使用短信”等等。
另外,D-Vasive是一个锁定APP,让你可以驾驭这些权限。
发表评论
您还未登录,请先登录。
登录