doit 发表于:13年10月15日 10:40 [综述] DOIT.com.cn
和大多数操作系统一样,人们以前在提到iOS的时候几乎不会第一时间把它与安全设计联系在一起。然而,安全问题在现实生活中其实已经变得越发重要,特别是针对企业应用。对于苹果之前在安全问题上的“无动于衷”,人们大都选择了视而不见,这主要是因为大量的第三方安全厂商填补了这个大坑。
此前,苹果在安全管理的缺陷是由移动设备管理(MDM)和移动应用管理(MAM)弥补的,现在苹果通过对iOS 7的改善来主动解决了这个问题。其中最吸引眼球的就是Touch ID,第一次在手机上使用生物识别技术。第二个突破就是远程锁定(Remote Lock),防止手机丢失或被盗。除了这两个广为人知的突破,接下来向大家介绍一下iOS 7在企业安全上的设计是如何发生一个质的飞跃。
Find My iPhone和远程锁
如果手机被偷或者被盗,可以通过Find My iPhone将手机定位。在iOS 7的iPhone上,用户只需要通过Find My iPhone就可以阻止其他人使用。不管用何种形式将手机进行wipe,只要iCloud的用户不是最开始设定的用户,手机就一直无法使用。
这项新技术不管是对商务人士还是普通消费者都会有巨大的帮助。现在用户要是丢失了手机,他们就可以有更大的几率失而复得。如果手机被偷,首先,丢失的数据是绝对安全的。其次,小偷望着这堆废铜烂铁也是无可奈何。
如果想要使用Find My iPhone的激活锁,用户需要先进行关闭设备上的Find My iPhone、抹掉(wipe)设备、重新激活设备并进行使用的顺序进行使用。
MDM、MAM、EMM,苹果在“三”管齐下
MDM最开始是由黑莓发明的,但是MDM业务是苹果“拿”走了黑莓的API之后公开化的。现在提供MDM服务的公司,例如MobileIron、AirWatch和Good Technology规模都很大。
虽然苹果的MDM API直到现在都是受限制的,这些第三方的MDM服务商设计出了新的技术来更好的管理设备,提供更精准的MDM服务。MDM也正在不断向MAM(Mobile Application Management)和MCM(Mobile Content Management )方向拓展。
现在通过MDM API,IT管理员可以将应用发送到设备上,并且在系统后台默默地安装。员工无需花费时间认证,应用会自动地出现在你的设备中。这一功能既适用于iTunes的所有应用,也适用于专门为公司打造的应用。
在iOS 7中,苹果大幅度地提高了iOS的设备管理能力。举例来说,企业IT用户可以改变或者移除设备上的账号、控制iOS 7设备想要通过蓝牙接入的设备、控制用户对手机的基本设置、强行禁用个人热点、查看设备设置更改情况和限制广告追踪等等。企业还可以在购买设备的时候直接进行MDM的登记。
苹果将以上这些功能捆绑出售,这是否给使用MDM的公司一种“强买强卖”的感觉呢?目前还不得而知。可以知晓的是,大公司中正式授权成为苹果客户的占极少数。小公司也在与Android和Windows Phone有合作的意向,这是因为大多数可以得到更好的服务。但是强大的基线安全(Baseline Security)对于安装基数的整体安全性总是一件好事。
多终端连接
多终端链接是iOS 7中的新功能,带有iOS 7及以上的设备之间可以通过蓝牙、基础Wi-Fi和点对点Wi-Fi进行交流。一旦连接上,设备之间可以相互发送信息类数据和流数据。必须要强调的是,这种多终端连接是支持安全验证和数据加密的。企业用户可以充分利用这一点。
修复了80个漏洞!之前到底错过了多少?
每一次新版本的iOS都会修复旧版本中的安全问题,但是iOS 7在安全问题上的改善远远要比历次多。之前有传出苹果的iOS 7修补了iOS 6的80多个漏洞,仅就这一点,用户的压力变得很大,因为苹果没有再去为iOS 6打补丁了。
每一款苹果设备的更新通常会把老设备列入“不支持”的名单中,3GS和第一代iPad就不支持iOS 7,这也就意味着这两款设备在安全性上存在风险。
80个漏洞中的两个最重要的漏洞彰显了事态的严重性,CVE-2013-1025是一个潜伏在iOS绘图系统CoreGraphics的缓冲区溢出。通过一个恶意的PDF文件就可以控制进程,好在只能发生在沙箱浏览器的环境中。CVE-2013-3953是一个特权扩大的漏洞(privilege escalation vulnerability),恶意程序可以借此破坏整个沙箱。如果VE-2013-1025和CVE-2013-3953共同得到合理地利用,特权扩大的问题将会使缓冲区溢出的攻击发挥到极致。这恰恰就是著名的越狱软件JailbreakMe正在做的事情:将代码执行和特权扩大的漏洞结合在一起,通过一个简单的浏览器完成越狱。
