如果引用或轉貼,麻煩註明出處與本網誌連結,否則視為侵權。

2012年2月29日

iPhone手機安全指引

作者: Fred Wang (FW知識瑣記) 日期: 2012/2/29

       講到安全,首先要有的觀念是,"安全"如同保險,需要付出一些成本的,在衡量您需要多高安全層次的保護,再決定要付出多少成本。而您需要多高的安全層次,可以看看如果出問題您要付出多大的代價來決定。

        另外,在網路的世界,沒有百分之百的安全,除非您與網路隔絕,電腦如此,手機也是如此。

一 個人使用安全
 
1.1 手機基本安全
1.自動上鎖(AutoLock) : 如同Screen Saver,可設定多久沒使用會自動上鎖。
2.密碼保護(Passcode Lock): 啟用Passcode Lock,設定Password。 操作順序: Setting > General > Passcode Lock,輸入Passcode。然後在畫面中”Require Passcode”(如圖一)設定過多久沒有使用需要輸入Passcode。例如: AutoLock設五分鐘,Passcode Lock可以設為十五分鐘。
clip_image002(圖一)
3.定期更新作業系統 : 過去版本的iOS持續傳出漏洞,提供駭客越獄與入侵的管道,例如可以跳過Passcode檢查而使用iPhone的漏洞,Apple公司也持續更新作業系統以修補漏洞。iOS可以透過iTune免費更新到iPhone。至少每個月檢查一次iOS的更新。[1]
4.避免將銀行帳號,信用卡號碼,網站密碼等重要資訊儲存在iPhone中。

1.2 Wifi使用安全
2010-2011年Black Hat駭客大賽都有駭客展示可以輕易地透過公用的Wifi網路入侵iPhone。
1. 盡量避免使用公共未加密的Wifi網路。透過軟體虛擬Wifi功能,已經可以輕易的建立偽裝的公共Wifi站點,例如偽裝命名為實際的旅館或咖啡館的Wifi站點,誘騙使用者連上,再藉以竊取網路帳號,密碼或其他個人資料。

2. 私人Wifi區域網路應該設定密碼與加密(WEP,WPA,WPA2,其中WPA2安全性最高)。
3. Wifi預設為關閉,使用完畢應關閉Wifi功能。(注意,在沒有連線的情況下僅僅是開啟Wifi功能就有可能被入侵。)
4.在Wifi環境使用Skype進行通訊,由於安全性高,可以減少被竊聽或資訊攔截的風險。使用VPN或Citrix的連線由於全程加密,也較為安全。

1.3 遺失或遭竊時之損害預防
   如果擔心手機遺失或遭竊時重要資料被盜取,可以進行下面的設定
1. 設定長密碼 : 預設四碼數字的密碼最多一萬次的嘗試就可以被猜到,因此建議取消預設的簡單密碼,改為可以輸入五個字元以上文字較長的密碼。設定方法 : 在Passcode Lock功能畫面將Simple Passcode設為OFF(如圖一),再變更密碼。(注意:若設定長密碼因為擔心忘記而寫在記事本上,可能在行李遺失或遭竊時,被發現)。
2. 啟用錯誤自動清除資料功能(預設是關閉的) : 如果盜用者輸入十次錯誤的密碼iPhone將自動啟動清除資料。設定方法 : 在Passcode Lock功能畫面將Erase Data設為ON(如圖一)。
3. Apple公司提供遺失協尋與遠端資料消除服務。(需付費)

1.3 網頁瀏覽安全性
1. 打開跳出視窗阻擋功能 : 如圖二將Safari設定中”Block Pop-ups”設為ON,以防止惡意程式感染與阻擋垃圾訊息。
2. 關閉Cookies : Cookies可以將您某網站登入資訊記錄下來,下次進入該網站就可以不用再登入。雖然方便,但也有危險性,例如駭客可以透過瀏覽器的漏洞竊取你Cookies的資訊。如果不關閉Cookies,在造訪敏感性高的網站(例如輸入過重要的資訊)後,將Cookies清除,如圖二”Clear Cookies”。
3. 開啟詐欺網站警告(預設是開啟的) : 如圖二”Fraud Warning”設為ON。
clip_image004(圖二)

1.4 AppStore下載軟體安全
:  雖然iPhone軟體須經過蘋果公司審核才能上架,但是仍被發現有惡意軟體。
1.軟體下載前注意軟體功能是否有安全疑慮,例如會偵測或記錄你的地理位置等。
2.不要越獄(Jailbreak) : 想要使用一些免費或功能豐富的軟體(這些軟體未經Apple的檢核),可能會將iPhone進行越獄,以取得並安裝這些軟體。如此將讓自己的iPhone暴露在病毒與惡意程式攻擊的危險。

 二 企業使用安全
2.1 身分認證 
可以設定密碼政策如密碼最小長度,密碼到期天數等,企業可以透過IT工具(IBM Lotus Notes Traveler或Microsoft Exchange等)佈署密碼政策至派發給同仁的iPhone。

2.2 遺失或遭竊時之損害控制
a.可以透過Lotus Notes或Exchange由工具遠端清除iPhone中的資料。
b.可以為iPhone資料提供AES* 256-bit之內建硬體加密, 若無密碼無法解讀資料內容。


2.3 企業網路存取安全
無論是同步公司的郵件信箱或是以VPN或Citrix Client連線存取公司系統,網路連線過程均全程加密,以防有心人士攔截資料。

2.4. 限制軟體的使用
可關閉Screen Capture、限制使用App Store 、 Safari或YouTube等軟體,企業可制定政策決定是否開放

參考資料
1.”iPhone Security Guide”,2010/11/3
2.”iPhone Security: 10 Tips and Settings”,2011/3/24


































沒有留言:

張貼留言

歡迎提供意見, 謝謝 (註 : 留言經過版主審核通過才會發布)