不可忽視的智慧型手機威脅
全世界第一個智慧型手機病毒是2004年3月在NOKIA 芬蘭發現的智慧型手機病毒Cabir，係利用MMS(圖片或影像檔)簡訊散播之。芬蘭電腦資安公司F-Secure 證實Cabir病毒曾經蔓延到美國，並感染NOKIA 6600智慧型手機，該病毒主要侵入使用Symbian S60作業系統的手機。運作模式為使用者接收並開啟含有此病毒所傳送的MMS簡訊後，該簡訊會自動執行並在手機系統上建立檔案，掃瞄手機裡的聯絡人通訊錄，自動發送MMS簡訊執行散佈動作。截至 2010年6月，全球已知的手機病毒及惡意軟體總數已高達一千六百個。

智慧型手機的安全風險

隨著手機功能不斷推陳出新及隨時隨地3G上網的便利性，使用個人智慧型手機收發企業內部的電子郵件信箱的機率也增加了。舉例來說，業務人員或是工作內容具有高行動性(Mobile)的員工，就需要在公司網路以外的地方接收公司電子郵件，立即進行回覆或後續處理。目前在台灣只有部份高科技公司有明文規定禁止員工或來賓使用智慧型手機(但這是由於相機照相功能所帶來的隱私疑慮)。另有其它大型企業亦已開發使用智慧型手機存取公司電子郵件的機制，但仍有相當多的中小型公司行號沒有明確的相關規定是否禁用此功能。

主要風險來自資料外洩
IT部門和網路/資安工作人員的責任，應要確保行動設備存取公司資源的安全性防護與權限控管，過去只需要對筆記型電腦進行管理，而今應將智慧型手機納入考慮，在必要時需加以監控其行為與流量。智慧型手機主要的風險是在於「暴露敏感性資料」，當智慧型手機遺失、被盜或被駭或是員工想要出售舊手機，甚至是手機送修的時侯，若沒有事先刪除記憶卡上與手機裡的資料時，手機上與企業網路存取相關的資料即有曝光甚至遭人利用。

手機應用程式安裝控管
透過手機VPN軟體或是無線網路方式連線到公司內部，極有可能使企業網路遭到駭客和惡意軟體的入侵。依據2010年最新資安報告顯示，有越來越多的潛在病毒會透過傳送駭客製作的簡訊、手機安裝不明來源的應用程式等攻擊方式，進行手機攻擊。對於企業而言，以目前企業對智慧型手機難以掌握與控管的情形來看，此即為相當大的威脅來源。

軟體市集把關不嚴
手機病毒對企業而言，是難以確認其是否含有惡意程式，更別說是提供保護的設備。因為大部份智慧型手機並無安裝防毒軟體或是防衛性的應用，來保障手機資料的安全性，使用者沒有這樣的習慣；即使知道有這些應用的使用者也會擔心安裝這些軟體會拖慢手機執行速度。駭客將含有惡意程式的應用軟體放在各大廠商的市集上供使用者下載，大部份的市集在這方面的把關上都相當薄弱，可以說幾乎沒有這方面的審核。使用者下載後，很可能在不知情的狀況下，讓程式透過手機裡通訊錄，將惡意程式傳播予各個聯絡人，甚至還能作到竊取手機上的個人資料，例如上網登錄的資訊、網路銀行ATM登入帳號密碼等個人機密資料。

私有智慧型手機的管理困難
由於智慧型手機大部份屬於個人設備，非企業資產，企業於法不能完全掌控其手機使用者大部份的行為，像是下載音樂、遊戲、應用程式、瀏覽各類網站等。在國外已有許多公司試圖採取購買單一標準智慧型手機來控管這些行動，但這樣的舉動只是將問題單純化、讓管理者比較省事而已，並未完全解決問題。因為企業並不能完全禁止攜帶私人手機，使用者還是可能使用個人手機處理公務。

需要集中管理平台
不論是透過第三方平台或智慧型手機廠商，已有集中保護和管理智慧型手機的技術。像是Research In Motion公司(RIM)製造的黑莓機或是Microsoft微軟公司製造的Windows Phone手機，都有提供最佳管理平台。此外，利用供應商提供的技術與管理軟體，亦能支援企業所需。選擇很多，包括Credant Technologies、Good Technology、Sybase、Trust Digital、Trend Micro and MobileIron等供應商，主要提供集中控制平台的功能像是密碼管理、認證授權、強化加密、逾時連線等。當使用者在規定的時間內沒有任何動作後，會將此連線session結束並登出，然後顯示提示輸入密碼功能，以便使用者重新登入系統。當使用者的手機遺失或被偷，或者使用者錯誤輸入身份驗證密碼三次以上時，該程式即會進行遠端刪除記憶卡資料的動作，保護手機上原有機密資料的安全性。

企業常見的手機安全性風險

智慧型手機在企業環境與個人相較會有更多的安全考量，以下列出企業在智慧型手機使用上的常見安全風險。

並無規劃智慧型手機管理制度
智慧型手機的管理責任，應該與電腦擁有相同的管理制度。

未設定手機開機密碼，或是使用簡單好猜的弱密碼
手機出廠預設密碼通常有一定的規則可任意猜出，應予以變更。另外使用者還能利用其它廠商的設備管理，支援設定密碼複雜性規則和密碼重設問題與答案等。

未提供無逾時登出、自動鎖定功能
透過集中管理設備訂立逾時登出與自動銷定功能，以避免手機遺失或被竊時裡面的資料外洩。

無自動銷毀、資料自動刪除計劃
建議自動銷毀、資料自動刪除兩種方法皆採用，透過遠端指令或是本機上執行刪除資料動作。例如，輸入錯誤密碼超過一定的次數，或是手機關閉預設網路達一定時間時，自動執行刪除資料的動作。

無記憶卡加密規則
此乃主要企業智慧型手機作業系統應提供的設定加密功能。

未提供整體規劃，執行郵件與資料的備份及同步
定期使用資料備份與復原的安全性工具，利用網路進行備份與定期背景執行資料庫同步。

並無電子郵件轉送限制
企業可以利用電子郵件伺服器進行轉送電子郵件與附件過濾調整設定。如電子郵件系統提供過濾商業機密資料等功能支援時，可另外加入過濾規則，避免資料外洩。

未有申請認證規則
企業應建立認證程序，利用public key與private key來限制哪些應用程序准予安裝或執行。

沒有預設的瀏覽器權限規則
選擇符合企業政策的預設瀏覽器，避免使用者在遭受已被掛馬的網站攻擊時，無意間提供駭客一個惡意程式碼的入侵點。

未規劃處置多樣性智慧型手機單位
在各方面允許的狀態下，建立一個支援不同智慧型手機的政策，成立部份IT小組成員管理智慧型手機。

企業需建立手機安全管理政策

歸結上述幾點的結論就是智慧型手機企業使用者，必須在其企業安全管理政策之下接受管理，因為一旦企業之中有人違反企業政策與規定，便能輕鬆造成企業重大財務或名譽損失。BlackBerry廠商目前提供了遠端刪除資料的功能，亦可將重要資料備份到遠端伺服器；相對地，也提供還原歷史訊息功能。雖然其他手機平台也有提供遠端刪除資料與備份等功能，但BlackBerry的遠端伺服器更進一步作到了提供法律上認可的數位鑑識資料，供客戶做為在法庭上的佐證資料。

智慧型手機控管成企業資安新趨勢

使用智慧型手機作為商務應用已經是未來企業必走的趨勢。在不久的未來，手機取代個人電腦，成為最常使用Web的存取網路設備已經是可以想見的。各種智慧型手機平台其實都不安全，最大因素乃在於大部分使用者並不會像在個人電腦上安裝防毒軟體那樣為手機加上保護。所以當使用者透過手機上網，就像未具任何防護的暴露在充滿高威脅的網路上，隨時可能遭到惡意程式攻擊。無論是企業發放或個人擁有的智慧型手機，都能任意利用3G/4G或企業無線AP隨意上網，自由進出企業內部與外部，穿越企業防火牆，對IT人員而言，難以控制使用者及其智慧型手機設備，使其被利用做為存取企業機密資料的媒介，成為企業內部網路安全上的重大威脅。

更嚴重的漏洞威脅

傳統在個人電腦上存在的網路安全威脅，漸漸浮現到智慧型手機上，例如利用各種社交工程手法進行誘騙點進行攻擊，常見的手法像是電子郵件或是社交媒體網站上透過縮址網址、有趣的遊戲等。智慧型手機惡意軟體可以透過垃圾郵件、網路釣魚、網址嫁接等社交工程手法騙取個人資料。也由於智慧型手機屬於個人隨身攜帶的通訊設備，要利用上述方式取得手機內與個人資料或其它人的通訊資料更為容易，所以當使用者遭到感染時，手機通訊上的聯絡人極有可能成為下一個攻擊目標。

企業防護建議

企業面對智慧型手機帶來的威脅，積極性的作法建議有如下。

建立企業智慧型手機管理政策
即使在實際執行技術上難以落實，IT部門仍應定義並傳達企業的智慧型手機使用政策。例如：建議企業使用者設定高強密碼(足夠的長度、混用字元等)存取設備，使用智慧型手機必須安裝防毒和反惡意軟體，必須安裝有提供立即回報機制應用軟體，使智慧型手機遺失或被偷連接到網路時，企業IT人員能夠知曉。

強化使用者身分辨識
企業必須認同智慧型手機使用者的身份可能會被竊取或者遭到冒用的可能性，例如可能遺失、被偷、借與企業外部使用者。因此，需藉由身分辯識設備、識別技術使用序列號的資訊，讓企業組織可以將智慧型手機與內部使用人員關連起來，並透過此種辯識方式，允許企業遠端停用手機並刪除上面所有的敏感性資料。

建立SSL VPN 連線存取企業資源
建立行動設備需透過SSL VPN連線存取企業資源的控管機制，利用web存取方式控管Windows Mobile、Symbian、BlackBerry、Apple IOS與Android等作業平台的智慧型手機。建立SSL VPN 是為了確保智慧型手機資料傳送的安全性，讓所有連線經過此設備加密與解密。

全面掃描所有智慧型手機的流量
為保護企業網路資源、充份了解智慧型手機傳播的攻擊，應部署新一代防護設備，進行深度封包檢查，瞭解各種智慧型手機利用SSL VPN tunnel傳輸的流量，以利第一時間發現不正常的連線。

建立智慧型手機應用程式的流量控制
智慧型手機使用者大都屬於Web 2.0應用程式的重度使用者，而這些應用程式都有相當程度的威脅與漏洞。因此，應監控智慧型手機在應用程式上執行的情況、定期做出統計報告檢視是否有異常。此功能可利用專屬的防護設備監控之。

手機與無線AP介接安全性的控管
大多數智慧型手機都支援WiFi連線功能。員工如果不在公司，就會使用智慧型手機透過免費提供WiFi功能的無線AP連線至企業內部存取資源，這些大多存在於公眾場合的無線AP有一定程度的安全隱憂，企業必須針對這些流量進行深度封包檢測。

智慧型流量頻寬管理
智慧型手機的使用率越來越高，其廣泛性讓各行各業的企業員工都可能使用手機與客戶進行視訊、語音/影像通訊與資料傳輸。隨著這些應用的增加，企業必須針對這部份，透過頻寬管理設備、遵循企業內部訂定的政策，規定通訊協定使用的優先次序，並限定可以使用通訊協定的使用量，以確保重要通訊協定的流量能夠快速並穩定傳輸沒有延遲，更進一步定期產出使用者與應用程式的網路流量統計報告。

手機平台成為新興攻擊目標

事實上，中國大陸已經有許多原本以撰寫電腦病毒的駭客，轉行研究手機病毒。只要經過幾個月的研究，加上一台能夠上網的電腦和一支用來測試病毒的智慧型手機，就可以瞭解手機應用程式與目標平台，完成手機病毒的製作與測試。

透過簡訊傳送獲利
依據2010年中國手機安全市場白皮書內容顯示，手機病毒製造駭客會與簡訊發佈廠商勾結，簡訊發佈廠商發送一則簡訊只要花費0.03元至0.05元、每次通常發送10萬則，這樣成本只有3000元。以「僵屍」病毒為例，透過在簡訊中植入「手機僵屍」病毒，花費3000元的成本，發送出的簡訊會自動傳播，起碼能夠帶來至少六萬元的利潤。

利用手機話費支付款項獲利
與製造電腦病毒相較之下，手機病毒更能直接獲利。只要讓使用者開啟具病毒的簡訊，就能將病毒安裝在使用者的手機上，然後偷偷連線到網路上。利用這樣的病毒，駭客可以每個月固定從這台受病毒感染的手機使用者帳戶中支付購買商品的費用，很多人不會去留意手機每個月的帳戶消費情況，因此這筆錢就可以在不被發現的情況下轉到駭客的帳戶裏。即便最終手機使用者發現異狀，也只是清除手機病毒，難以找到散播病毒的源頭，更無法追究責任。

在中國大陸，駭客製造手機病毒為的就是錢，也因為手機話費就猶如錢包一樣有支付款項的功能，才會令大陸駭客從一般個人電腦病毒製作，轉投人智慧型手機病毒的領域。雖然目前在台灣利用手機付款的機制尚未完整建立，未來這會是不可避免的趨勢。因此，藉鏡這樣的問題，台灣的廠商、企業與使用者，都應該面對智慧型手機將帶來的問題，共同找出防護措施並建立控管追蹤機制，建立完整的智慧型手機安全防護解決方案。