手机不可信任，安全性需要扎根于手机

ViaForensics首席执行官安德鲁·霍格（Andrew Hoog）知道，他将在RSAC 2014上发表题为“为什么移动应停止担心并学会热爱根源”的演讲。 尽管root在移动设备上是个肮脏的词，但Hoog认为我们对移动电话的信任是没有根据的。 如果我们想认真对待移动安全性，那么Hoog表示，强大的root用户访问权限必须更易于访问。

比赛扎根

Hoog的主要论据之一是“根源竞赛”，之所以这么称呼，是因为根访问权限授予的权力意味着谁先获得根权限。 霍格说，从这个特权位置，您可以将一切和其他所有人拒之门外。 霍格说：“根本，一切都给了你。”

实际上，这意味着能够修改操作系统，安装软件，突破沙盒环境，忽略文件权限等等。 您会看到这对于以特定手机为目标的攻击者如何有价值，而这正是与Hoog有关的情况。

他说，问题在于移动设备的局限性造成了不平衡的战场。 霍格说：“针对您的人们可以扎根。” “我们将所有优势都交给了对手，我们被拒之门外。”

用户权限增加的问题在iOS设备上尤其引起争议，因为Apple积极致力于防止人们越狱电话并获得更大的访问权限。 希望拥有这些特权的用户无法进行更新，并且必须等待很长时间才能使用新的生根工具。 霍格说：“当坏蛋生根时，他们会保留它。” “或者他们以五十万美元的价格出售它。”

谁应该被信任？

在Hoog的眼中，消费类智能手机型号不需要任何信念。 他说：“因为我们在这些设备上没有根，所以您只需要信任它们。” 这个想法是，管理操作系统的人员将尽力而为，而开发人员也将效法。

当然，这并不能说明恶意软件，但Hoog毫不含糊：“泄漏的应用程序比恶意软件还大。” 据viaForensics称，所有iPhone应用程序中有75％和Android应用程序中有60％表现出某种风险行为。 更令人苦恼的是，有25％到30％的移动应用程序正在从用户的手机中吸收用户信息，并将其发送到其他地方，就像过去那样泄漏。

仅查看权限无法提供这种见解，这就是为什么viaFortics创建viaProtect的原因。 这是一款适用于iPhone和Android的免费应用程序，可以跟踪您手机上的各种应用程序活动。 您可以使用它和Web界面向下钻取并查看由应用程序生成的网络流量，流量的流向以及是否受到保护。 您可能不会对其中很多都不安全感到惊讶。

也有怪异的异常。 例如，Hoog展示了来自根级别访问的多个连接，这些连接直通设备，而没有使用普通的Android手机进行加密。 霍格说：“苹果，谷歌和谷歌安装的某些进程具有对您设备的特权和访问权，并且这些进程一直在泄漏。”

植根于安全

通过开放对设备的根访问，Hoog表示安全公司可以做更多的工作来保护设备。 例如，在企业场景中，Hoog建议控制根访问权限可以使公司更好地监管其Android设备。

他还说，苹果应该为开发者手机提供与谷歌相似的全部特权。 Hoog表示，iOS安全性的下降不仅是因为设备的局限性，还因为研究人员不得不花时间寻找方法来扎根设备。 他说：“我们必须和苹果一起玩这个游戏，然后我们不能做的就是找出正在发生的事情。”

但是对于个人而言，事情就更加困难了。 Hoog说，他个人愿意接受植根设备的风险。 他说：“实际上，我会更好地保护自己十倍，因为我实际上会在设备上享有特权。” 但是我不认为普通用户这么精明。 此外，虽然root用户访问权限可以赋予安全性应用更大的权限，但我知道Android应用商店中只有一个：avast编辑精选！ 移动安全和防病毒。

我确实相信，viaProtect之类的服务具有很多价值，其价值远远超过Android和iOS上现有的权限系统。 Hoog建议，借助更多的知识，用户可以简单地从应用商店下载一个不会泄漏其信息的应用。

那不是一个很好的解决方案，但是它比在可信任的黑暗中运行的应用程序要好得多。