如今,随着智能手机的越来越普及,智能手机所带来的安全挑战和用户隐私的保护成为业界探讨的话题。我们来看,当涉及到移动数据隐私性和安全性时,主要有三个责任方:操作系统供应商(谷歌、苹果和微软);移动应用程序开发人员和设备用户本身。每一方都有责任,但他们的责任并不相同。
为什么这很重要?一方面,智能手机很“智能”,现在的移动设备可以访问无限的应用程序、互联网、社交媒体、GPS、摄像头、麦克风等,它们让生活更加高效和方便,但同时也带来安全问题。这种便利性同时需要我们保护包含在以及传输到设备的用户隐私数据。但这种责任落在谁身上呢?让我们来讨论。
谁应该为移动数据安全性和隐私性买单?
厂商:创新、修复程序和透明度
当早在2007年和2008年苹果和谷歌发布第一款智能手机时,这两家公司就知道,安全很重要,而且他们在每个后续版本都增加了更多的安全性为重点的功能。然而,尽管他们不断专注于保护操作系统,我们还是看到很多漏洞被发现,以后肯定还会有更多。
随后在2013年,全球达到了一个临界点,当时智能手机出货量超过了功能收集。大约在同一时间,我们遭遇了两次重大的漏洞利用:针对Android的Master Key和针对Apple的GoToFail,这两个漏洞震动了软件行业的信心,特别是那些支持现在的移动设备的底层操作技术的厂商。这些漏洞利用让我们确信,评估、谷歌和微软现在必须通过创新功能(例如苹果iPhone 5S的生物指纹扫描仪)带来更高的安全性,并且快速修复发现的漏洞,以及让智能手机安全变得更加透明化和有效。
开发商:寻找合适的激励机制
移动应用程序开发人员同样在移动数据隐私方面发挥着重要的作用。事实上,正是在开发过程中,会给数据安全带来最大影响。这里的问题是,移动应用程序开发人员很少有动力来将数据安全放在核心位置。原因很简单:开发人员靠卖应用程序赚钱,而没有消费者愿意支付应用程序。相反地,人们更喜欢免费的版本,其中包含广告引擎,基于收集的用户量来给开发人员提供酬劳。
从安全的角度来看,这创造了一个大的移动应用程序开发问题,这个问题存在于应用程序本身的安全性中。最近出现的SnapChat hack就是不安全的应用程序编程接口(API)被用来收集460万用户名称和电话号码。还有WhatsAPP加密疏漏,其中静态加密密钥被用来存储SMS历史记录,并让另一个应用程序导出和解密消息日志。这些是相当大的疏漏,考虑到这两家公司资产达到数十亿。如果操作系统制造商做好自己的本分工作,提供数据安全功能,应用程序开发人员则应该了解和部署这种安全技术,让用户数据安全作为最重要的事情。
消费者:认识风险
最后是设备用户自己。在用户方面,他们并不会过多地考虑数据隐私,因为用户并不是数据安全专家,用户使用移动设备的动机是让生活更轻松,而思考安全性和隐私性只会让事情变复杂。
我们只能够期望用户了解风险所在以及如何管理这种风险。例如,应用程序开发过程中的核心问题是,人们不愿意购买应用程序,尽管付费应用程序没有广告引擎,而且提供更强大的保护来抵御数据丢失等问题。对于由糟糕设计和易受到攻击的应用程序引起的问题,这些技术正在通过应用程序容器在不断改进,并且现在很多手机将最大安全性作为重点,例如2014年移动世界大会发布的BlackPhone。
对于提高移动数据的安全性,我们还有很多工作要做,没有哪一方可以单独完成这个工作。最重要的是,数据隐私性和安全性仍然是一个主要焦点。随着我们迅速移动到移动数字世界,我们必须确保隐私性不是我们要付出的代价之一。