行動辦公風險高　集中管控才能避免資安威脅

對多數智慧型手機使用者來說，免費的應用程式確實相當具吸引力，然而其中卻有一些存在資安風險，用戶不可不慎。古榮豐攝

前言：
面對激烈的市場競爭，有愈來愈多企業選擇為員工配置智慧型手機，以便即時接收或提供訊息。儘管行動化(M化)成為企業提升競爭力的工具之一，然而，凡事皆有一體兩面，企業在享受M化效益的同時，也必須面對伴隨而來的資安挑戰，稍有不慎，就會嚐到機密資料外流的苦果。

本文：
身為高科技公司的產品經理，Bryan的1天幾乎都在客戶端度過，而手機是他從不離身的工作夥伴，Bryan總是透過手機連回公司伺服器，取得即時報價資訊，甚至在拜訪客戶的空檔，他也會利用手機處理E-mail或安排隔日行程，再不就上網瀏覽新聞，看看業界最近發生了哪些新鮮事。

智慧型手機蔚為風潮　成為駭客攻擊新目標

前述這種行動商務的應用模式已相當普遍，主因在於智慧型手機普及發展，根據市場研究機構IDC的報告，全球智慧型手機市場在2009年第4季達到歷史新高，銷售量為5,450萬支，較2008年同期成長39%；進一步把時間單位擴大到年來看，2009年出貨量為1.742億支，較2008年的1.514億支增加15.1%；若從手機類型來看出貨比重，智慧型手機佔整體手機出貨量的15.4%，較2008年的12.7%為高，顯見智慧型手機市佔率正逐步上揚。

從智慧型手機的發展歷史來看，蘋果(Apple) iPhone是相當重要的里程碑，其以觸控面板取代鍵盤的操作方式，加上人性化介面，大幅提升市場對智慧型手機的接受度。此外，儲存容量增加、行動上網費率日趨合理化，也進一步推動企業M化發展，愈來愈多商務人士用手機處理公務，如收發電子郵件、安排行程或會議日期、記錄客戶聯絡資訊、上網搜尋資訊或進行線上交易。正因為使用頻率變高，所以儲存在手機裡的機密資料愈來愈多，導致智慧型手機成為駭客攻擊的新目標，相關攻擊事件有日漸增加的趨勢。

賽門鐵克(Symantec)指出，隨著智慧型手機普及率持續看漲，預期將有更多攻擊者投入時間與心力，開發針對此類裝置的惡意軟體，尤其市場佔有率愈高的作業系統或平台，針對該平台所設計的惡意程式攻擊數量就愈多。

舉例來說，2009年就出現2個以手機為對象的殭屍網路攻擊，其中1個是針對Symbian平台的Sexy Space木馬程式，它會透過SMS簡訊散播，專門竊取國際行動設備識別碼(International Mobile Equipment Identity；IMEI)詳細資料；另一名為IKee的蠕蟲，原本出現在澳洲，是為了提醒大眾注意iPhone密碼問題而設計，之後被人修改成Duh病毒，用以攻擊荷蘭國際集團(ING)的網路銀行客戶，利用釣魚假網頁來竊取交易密碼，再傳送到立陶宛的幕後操控伺服器，但是Duh僅會影響破解版的iPhone手機。

手機類電腦化　安全風險大增的主因

其實，手機病毒問題由來已久，早在2000年便出現全球第1支手機病毒VBS.TimoFonica，而2004年6月出現的食人魚(Cabir)病毒，則是手機病毒引起大規模災情的開始。

遭到Cabir病毒感染的手機，會不斷搜尋附近具備藍牙功能、且使用Symbian作業系統的智慧型手機，同時會自動發送惡意程式給任何搜尋到的藍牙手機，當時影響範圍遍及全球13個國家，此後，手機病毒便不斷冒出，據統計，全球每個月約出現6個新的手機病毒，到2010年為止，網路安全專家發現的手機病毒已達600多個。

手機病毒快速增加的原因，主要受到手機電腦化的發展，如今的智慧手機就像1部微型電腦，任何電腦可處理的事，智慧型手機都辦得到，當然，任何電腦可能遭遇的資安威脅，同樣會對智慧型手機造成影響，舉個簡單的例子，當手機透過Wi-Fi無線網路接收E-mail，若其中有1封郵件含有惡意程式，當然就會受到感染。

此外，早期手機多為封閉式系統，不同廠牌的手機很難相互感染，但如今手機製造商採用共通的手機作業系統，加快了手機病毒的傳播速度。例如Google的Android系統，標榜軟體開放性，讓手機程式設計者可自由撰寫與上傳軟體，這些由第3方廠商所撰寫的應用程式，雖然增加了手機應用的多元性，卻也成為手機安全的一大隱憂。

在不久前舉辦的美國駭客年會(Black Hat)上，手機安全公司Lookout也表示，他們調查蘋果App Store和Google Android Market等2大應用程式商店、合計超過30萬支應用程式，結果發現免費應用程式普遍存在洩露隱私的安全問題，也就是說，當使用者下載這些應用程式後，程式開發者可遠端截取手機裡的通訊錄名單。

蘋果App Store目前約有15萬支應用程式，可免費使用的比率為28%，其中14%(約5,880支)存在安全風險；至於Android平台，則有10萬支應用程式，其中57%可免費使用，在這些免費程式裡，有8%(約4,500支)存在上述所提的安全問題。

網路安全專家指出，駭客利用病毒攻擊手機的動機相當多元化，包括手機裡存放的機密文件、網路交易的帳號密碼等等，都是吸引駭客攻擊的誘因，除了竊取資訊外，還可能利用這些資訊進行詐騙，例如：盜打電話或發送SMS簡訊、假冒手機用戶身份訂閱付費服務、或遠端開啟手機的麥克風、照相機及GPS，偷聽手機用戶的對話內容，以及窺視周邊環境，甚至可以利用手機做跳板，間接入侵企業資訊系統，從而獲取更多非法利益。

集中管控設備與內容　降低手機安全風險

面對日益複雜的手機安全問題，企業該如何兼顧M化的安全與效益？或許可以參考奇普仕電子的做法。

奇普仕電子主要業務為電子零組件銷售，考量到高階主管經常往來兩岸三地，為滿足即時處理公務的需求，奇普仕決定導入黑莓機並應用集中管控的精神，降低智慧型手機帶來的資安威脅。

首先要控管的是硬體設備，奇普仕統一為高階主管配發黑莓機，並要求必須使用公司配發的手機處理公事，解決過往因為手機廠牌、型號不同，資訊人員不易管控問題的困擾。

接著架設1台行動上網伺服器進行內容加密與控管，當外部E-mail進入奇普仕郵件伺服器後，會轉送到行動上網伺服器加密，之後再將加密過的郵件傳送至ISP端，由其發送至收件者的手機，收件者透過手機解密，就能看到完整內容，即便日後使用者不慎遺失手機，也可透過後台伺服器將資料回收，降低機敏資料外流的威脅。

此外，高階主管在使用行動服務之前，手機必須連回行動上網伺服器設定帳號與密碼，這麼做可以避免以下2點狀況：1、避免員工自行購買相同型號的手機接收郵件，因為沒有與後台伺服器連線設定，即便手機型號相同也不能接收或傳送公司資料；2、一旦手機完成連線設定，員工就不能自行更換成其他電信業者的SIM卡或門號，否則將同樣無法收發公司資料。

除了管控硬體設備與內容外，做好使用者教育也是相當重要的，多數使用者都沒有意識到手機安全的重要性，誤以為只要手機不會遺失，就不會有資訊外洩的風險，殊不知惡意程式的擴散感染力，因此，企業應該對使用者進行手機安全教育，使其掌握使用手機的基本安全原則，例如：在公眾場合關閉藍牙裝置、不輕易接受未知手機的連線邀請、不安裝來路不明的手機程式、刪除亂碼顯示的文字或多媒體簡訊、確認提供手機軟體免費下載網站的安全性等。

再來則是安裝防毒軟體，防毒軟體現今已是電腦的基本配備，雖然它不能完全擋掉駭客攻擊，但透過定期掃毒，可以降低電腦遭到病毒感染的機率，手機亦復如此，包括賽門鐵克、趨勢科技、卡巴斯基、McAfee、F-Secure、Fortinet等，皆有手機版防毒軟體，協助智慧型手機抵擋惡意程式的威脅。

ABI Research的調查指出，智慧手機安全將是下1個資安市場焦點，隨著智慧型手機存取的敏感資料逐年增加，資安需求就會加速提高，預計至2014年，行動安全的市場規模將超過40億美元，未來，每一支智慧手機都必需安裝防毒軟體，防止惡意軟體的侵入而外洩資料。

總結來看，手機一直存在著安全問題，早期因為存放的資料量不多，以照片、通訊錄等為主，駭客攻擊的投資報酬率低，也就很少看到大規模中毒事件，當時造成資訊外洩的原因，主要來自於手機遺失或遭竊，如今，這樣的風險仍然存在，只是又多了手機病毒的威脅，企業在決定導入智慧型手機提昇競爭力的同時，必須規劃好相關的安全防護之道，才能避免資料外洩造成的損失。