最近有消息顯示，諸如蘋果iPhone和谷歌Android等許多智能手機一直在收集與位置相關的數據，Android甚至每小時就把這些數據發送回Google幾次。

這不僅引起了關于廠商道德和隱私的擔憂，人們還擔心其它敏感數據是否也在自己不知情或者沒同意的情況下進行了傳送。企業可以做些什么來減輕移動定位服務技術的所帶來的安全風險，特別是當它涉及到智能手機應用時?這就是我們將在這篇文章中討論的主題。

目前，還沒有成熟的聯邦法律可以防止移動設備上的數據(包括位置數據)被共享或者出售給商業伙伴。聯邦政府或許會嘗試介入并保護移動用戶的隱私，但是任何法律想要對供應商如何收集來自手機和應用程序的數據產生影響還有一個漫長的過程，而且肯定不能指望它們(法律)來保證許多企業所需的安全等級。

Google已經禁用了幾個違反其許可協議的應用程序，但是關于應用程序如何使用和共享數據的詳細信息的普遍缺失、以及安裝時含糊不清的點擊通過協議，意味著那些允許訪問通訊信道的應用程序都有可能對企業的遵從規則和數據安全造成風險。

企業可以選用的一個解決方案是禁止使用定位服務。蘋果、微軟以及黑莓制造商RIM公司默認開啟位置服務，但是它們都提供了關閉這些服務的選項。但位置數據使手機網絡路由呼叫更快、更有效，同時員工將會發現，在失去位置服務后，許多有用的工具忽然變得不再那么有用了。收集位置數據除了會引起道德問題外，大多數用戶并不太可能會因為這類信息而處于真正的風險之中。但是，如果其它信息從智能手機上被傳送出去呢?

華爾街日報的研究發現，在101個最流行的智能手機應用程序中，有47個會發送位置信息給其它公司，并且有5個會發送年齡、性別以及其它信息。其中一個被測試的應用程序是Pandora，它會傳送位置信息給7個不同的公司，發送獨特的手機識別碼給三個公司并將人口統計數據發給兩個公司。來自美國賓夕法尼亞州立大學和英特爾實驗室的研究人員調查了30個流行的Android應用程序的行為，發現其中三分之二都顯示出研究人員所稱的敏感數據的“可疑處理(suspicious handling)”。其它的應用程序會在沒有任何明確許可的情況下發送手機號或者SIM卡序列號。因此，Google應用程序研發者以及它們的分支機構能夠收集到的信息包括用戶下載了什么應用程序，以及他們觀看、閱讀和購買了什么東西。

仔細閱讀任何應用程序或者插件的終端用戶許可協議是評估它是否適合企業使用的第一步。當得知這些應用程序能夠訪問用戶的計算機上所有瀏覽歷史、網站數據以及書簽之后，谷歌從其Chrome網絡商店里刪除了至少兩個游戲。一個博主發現了隱藏在某種應用程序終端許可協議里的一頁，上面這樣寫到，“這個項目可以讀取你訪問過的每個頁面。......除了看見你的所有頁面，這個項目還可以使用你的憑證(cookies)來從網站上請求數據。”且這些難以置信的寬泛權限居然是默認開啟的。

即使一個終端用戶許可協議看起來是可以接受的，但是企業不能盲目地信任應用程序來處理它們可以訪問或者收集的信息。考慮到為了真正地減輕由于智能手機應用程序把數據發送給第三方而造成的風險，必須對可以訪問企業網絡的手機上所使用的任何應用程序執行一個全面的風險評估。這將使用諸如Wireshark或者Ethereal的網絡協議分析工具來捕獲和瀏覽應用程序所產生的流量。如果這樣的測試顯示正在發送的數據違反了安全策略，那么這個應用程序就不應該被批準。

考慮到需要連接回相應供應商服務器的程序數目，因此這類測試也應該在普通桌面應用程序上執行。雖然大多數程序會檢查是否有更新需要安裝，但即使是這樣，也可能會捕獲并發送那些不應該被企業外部共享的運行環境數據。

這種與數據丟失保護(DLP)技術相結合的流量分析，有助于檢測和防止由于安裝應用程序而引起的未授權使用和機密信息的傳輸。但是，由于企業網絡周邊之外的安全性始終是較弱的，所以智能手機能夠訪問的數據應該始終受到控制，并且智能手機也應該被視為不可信任的。（原文出處：http://www.searchsecurity.com.cn/showcontent_51490.htm?lg=t）