10、移动设备安全：风险、策略与法律保障

移动设备安全：风险、策略与法律保障

1. 移动设备攻击场景示例

在如今的数字化时代，移动设备面临着各种各样的安全威胁。以一个公司内部的攻击场景为例，公司拥有重要的商业机密和知识产权，部分高管会在一家提供免费 Wi - Fi 的热门咖啡馆使用智能手机和笔记本电脑。咖啡馆的无线接入点名为“indigo”，且未设置密码，处于开放和未加密状态。高管们在咖啡馆时会连接该 Wi - Fi，回到办公室后设备的无线功能仍保持开启。

此时，公司内一名心怀不满的员工了解到咖啡馆的无线接入点情况，他利用自己具有 root 权限的 Android 设备，开启接入点功能，并安装运行能捕获网络流量的软件。当高管的设备靠近他的 Android 设备时，就会自动连接到他创建的接入点，该员工便能拦截流量，获取敏感文件、通信内容或凭证，进而访问关键网络资源。虽然实施这一场景存在一些障碍，但它确实展示了 Android 设备作为攻击载体时带来的独特风险。

2. 安全考量与哲学

安全和开发一样，是一门艺术。成功的安全策略需要经验、判断力、风险评估、创造力、观察力、技能，甚至还需要一点运气的完美结合。

安全往往是一种权衡，需要在攻击风险和减轻风险的成本（财务或其他成本）之间找到平衡。理论上，完全安全的系统是可能的，但在实践中，尤其是面对社会工程攻击时，几乎不可能实现。移动设备的安全保障比传统系统更加困难，因为其硬件和软件由多个复杂的参与方组装和维护，设备所有者还能安装自定义应用甚至进行重大修改，而且设备会连接多个不可完全信任的网络。

不过，我们可以在设备中设计一些安全控制措施。有一个理念很有借鉴意义：“If you secure it, they won’t