【IT168 专稿】北京时间2007年06月29日凌晨,让人们热切期待了半年之久的苹果iPhone手机终于在美国当地的移动运营商Cigular公司的各大服务网点以及苹果公司的专卖店当中开始正式公开销售。,4GB和8GB版本的苹果iPhone手机的售价分别高达499美金和599美金,但这也丝毫没有影响到该机首日良好的销售势头。
![]() |
不过在热销的同时,安全专家却站出来警告说:iPhone手机可以称作是安全领域的恶梦。专家们称这个手机会让你的整个安全团队和各种安全措施英雄无用武之地,不过他们也承认,Apple公司有可能通过Windows版Safari浏览器的测试版来解决iPhone手机上的安全隐患。
iPhone 缺乏企业级别的安全措施
在6月29日之前,Apple公司几乎未给公众提供任何与这款手机相关的安全信息,这也使得安全专家们只能根据经验猜测Apple公司的决策。大多数安全领域专家认为,iPhone手机上将安装Mac OS X操作系统和Apple的Safari浏览器,
安全专家们之所以如此担忧iPhone的安全问题,是因为他们认为iPhone将具有高端智能手机Blackberry的所有功能,比如上网,收发电子邮件,存储大量商业信息和数据等,但iPhone却很有可能缺乏像Blackberry一样的企业级安全防御措施。
市场研究公司Gartner的分析师Ken Dulaney说:"Blackberry已经采取了超过200种企业级别的安全措施,包括允许企业客户关掉手机上的相机,定期强制更改密码以及自动拒绝浏览某些特定网站等等。而我们几乎百分之百的肯定,你不会在iPhone上看到类似的设置。即使有,也肯定是来自第三方的技术支持,就安全这一个方面,Blackberry已经把iPhone打败了。"当然,Blackberry的安全防御也并非无懈可击。比如2006年1月发生的DoS (Denial of Service的简称,即拒绝服务)攻击行为和2006年8月的开发代码泄漏事件等。
15个问题考量iPhone安全性
此前,来自网络安全公司nCircle的安全执行总监Andrew Storms,将iPhone的安全性能称为恶梦。现在这位总监又进一步提出了下列与安全性能相关的问题,希望Apple方面可以公开解答:
1. 在数据传输过程中数据是否加密?
2. 在手机上的数据是否加密?
3. 在一定时间内,手机的驱动程序未运行,或者未接到数据更新指令,或者电池电量过低,此时输入的数据是否可能被删除?
4. 是否支持S/MIME(Secure Multipurpose Internet Mail Extension,即安全多用途Intel邮件扩展协议)协议?
5. 是否支持PGP(Pretty Good Privacy)邮件加密软件?
6. 是否进行了电磁干扰分析?
7. 是否适用于DRM加密系统,使特定数据只可读,而不能转发?
8. 是否可以通过密码,密码短语或智能卡对用户进行身份认证?
9. 是否具备自动锁定驱动程序功能,以及通过认证才可以解锁的功能?
10. 是否有密钥储存在设备中,如果有,他们本身是否有加密?
11. 手机的网络设置是否有防火墙?
12. 网络接口是否可以被缺省关闭?用户可以自主选则关闭吗?
13. 是否具备远程锁定并删除功能?
14. 是否具备远程备份功能?
15. 是否有集中报告驱动程序工作状况的功能,包括电话统计,数据传输和使用统计等报告功能?
iPhone是个人利器企业软肋?
市场研究公司Gartner也打算建议公司们不要采用iPhone作为其商务通讯工具。其实那倒不是因为手机与个人电脑一样有那么多的潜在安全隐患。其实,如果都像大型电话公司Verizon那样有专门的接线员提供服务,那么电话在安全性能方面还是有优势的。
![]() |
Dulaney说:"由于电话本身是相对封闭的工作环境,所以完全不同于个人电脑需要接触网络环境,在这点上,电话就比上网的电脑具有更多的安全优势。可是像iPhone这样的智能电话就是另一回事了。由于这种电话可以上网浏览,所以如果又缺乏防火墙等安全防护,就会将所有漏洞暴露在危险无处不在的互联网上。"而iPhone不太可能在短期内具有企业级的安全防御措施,上周Dulaney与Apple方面谈过之后说,Apple方面表示iPhone的目标客户也并非企业级客户,而是定位于面向普通客户的大众产品。
然而,随着企业中的高管们开始使用iPhone, iPhone无疑最终会进入组织,进入商业领域。对此,市场研究公司Gartner就安全问题从平台,应用以及综合管理三个层面上给出了建议。
从平台的层面上讲,一个组织的IT支持部门可以选用与这个组织的安全策略相符的安全设备来作为技术支持;从应用的角度来讲,IT支持部门可以下放一些权限给用户,以满足他们的需要,但同时也要限制他们使用设备上的一些功能,比如网络浏览器等;而综合管理主要是针对企业高层需要的技术支持。如果高管们坚持要用某些有安全隐患的设备和功能,那么企业唯一能做的就是雇用一些廉价的大学实习生实时监控数据信息,一旦数据丢失,他们就马上行动去找到数据。Dulaney还说,如果是更高级别的管理者使用iPhone,那么安全隐患就更大,这时iPhone一旦丢失,那么企业必将蒙受经济损失。
iPhone安全是操作系统之争 Mac比拼MS
而Mac OS X系统的忠实拥护者们则认为,Mac OS X操作系统无疑比微软的Windows系统更安全可靠,那么也许将采用Mac OS X的iPhone就不会有太多的安全问题。
然而,现在还没人知道,为了适合这款智能手机的外型和母板的需要,Apple会减少哪些Mac OS X操作系统的原有功能。Dulaney说:"将一个庞大的操作系统缩减为可以适合手机使用的系统,本身就是一个技术难题。谁也不知道Apple公司会怎么做。
也许Apple已经从第三方购买了操作系统,只不过将之称为OS X罢了,这就像服务器上的JAVA和手机上的JAVA一样,他们都叫JAVA,但是却是完全不同的。"不过大多数人倒是认为,Apple已经开始从已有程序中写出专门针对IPHONE的操作系统并重新命名,而避免与Mac OS X重复。
很有可能是iPhone和Mac台式机采用同样的用户操作界面,而实质却是基于不同源码的操作系统、Dulaney还说:"这就像微软专为智能手机开发的Windows Mobile操作系统和其PC机的操作系统虽都称为Windows, 但只有很少的共通之处。"
为了做个同类产品的比较,微软方面就Andrew Storms的问题给出了针对Windows Mobile的答案,下面就是微软的回答:
1. 在数据传输过程中数据是否加密?
答:是的,在传输过程中采用安全套接字层(SSL)协议,因此数据是加密的。
2. 在手机上的数据是否加密?
答:在手机上的数据没有加密。
3. 在一定时间内,手机的驱动程序未运行,或者未接到数据更新指令,或者电池电量过低,此时输入的数据是否可能被删除?
答:不会。但是值得注意的是,交换服务器可以远程删除驱动程序,而且如果登陆密码被尝试超过安全标准允许的次数,驱动程序也有可能被自动卸载。
4. 是否支持S/MIME(Secure Multipurpose Internet Mail Extension,即安全多用途Intel邮件扩展协议)协议?
答:是的,支持此协议。
5. 是否支持PGP(Pretty Good Privacy)邮件加密软件?
答:不支持,需要第三方软件的应用。
6. 是否进行了电磁干扰分析?
答:没有。
7. 是否适用于DRM加密系统,使特定数据只可读,而不能转发?
答:是的, DRM加密系统支持媒体文件,同时信息权限管理IRM支持邮件管理。
8. 是否可以通过密码,密码短语或智能卡对用户进行身份认证?
答:是的,Windows Mobile 6有驱动锁定功能,在长时间未使用的情况下,需要通过密码才能使用。
9. 是否具备自动锁定驱动程序功能,以及通过认证才可以解锁的功能?
答:是的
10. 是否有密钥储存在设备中,如果有,他们本身是否有加密?
答:有密钥存储在驱动程序中,而且可以对他们进行加密。
11. 手机的网络设置是否有防火墙?
答:没有。
12. 网络接口是否可以被缺省关闭?用户可以自主选择关闭吗?
答:是的,用户可以选择关闭。
13. 是否具备远程锁定并删除功能?
答:有此功能。
14. 是否具备远程备份功能?
答:没有。
15. 是否有集中报告驱动程序工作状况的功能,包括电话统计,数据传输和使用统计等报告功能?
答:目前还没有。
iPhone在Exchange邮件服务器上倒是不会有什么安全隐患,因为Apple方面表示他们准备采用Outlook而不是Exchange邮件服务器。Apple准备在iPhone智能手机上只提供最基本的电子邮件应用版本,即基于网络服务提供商的ISP电子邮件。不过,Apple拒绝透露更多关于iPhone安全信息的做法已经惹恼了很多技术分析家,他们认为Apple这样做过于傲慢,至少Apple应该让公众了解他们都做了什么努力。
iPhone安全性是否重要?
当然,你也可以选择不要过度关注iPhone的安全问题。就像纽约Matasano公司的总裁Dave Goldsmith写的一篇博客:"Matasano不在乎iPhone的安全问题!"Goldsmith写道:"如果你是负责组织数据维护的人士,那么你很容易关注任何问题的安全漏洞,这样的话,你就没必要花太多时间在iPhone上了。"
![]() |
让我们看看这篇博客中Goldsmith的自问自答:
请允许我提醒大家,数据安全威胁主要发生在不安全的无线登陆点,备份文件的丢失,客户信息的外漏和笔记本电脑的丢失,那么这些安全隐患在iPhone手机上发生的几率大吗?――几率很小。
有人会攻击iPhone吗?――那是肯定的。
那么攻击iPhone的人会费时费力地从iPhone上盗取数据吗?――我深表怀疑。
会有人在iPhone上运行Linux系统吗?――恐怕会的。
反正我认为,人们如果花500美金购买了iPhone手机,肯定会比保护公司发的笔记本电脑更用心地保护iPhone,所以应该不会轻易丢失的,你们说呢?
至于iPhone到底安全不安全,我们还是等人们使用iPhone一段时间再说吧。