移动安全领域刚刚发生了巨大转变:苹果于 2024 年 3 月发布的 iOS 17.04 允许用户侧载应用程序并使用第三方应用商店。这在很大程度上是为了遵守欧盟的《数字市场法案》(DMA)。DMA 是由欧盟委员会推出的,旨在帮助减轻硅谷巨头(DMA 称之为“守门人”)对数字市场的控制。
具体而言,DMA 规定,看门人“应允许并从技术上支持使用或与其操作系统互操作的第三方软件应用程序或软件应用商店的安装和有效使用,并允许通过该看门人相关核心平台服务以外的方式访问这些软件应用程序或软件应用商店。”
一方面,这为苹果用户提供了一定程度的灵活性,这可能会受到欢迎。另一方面,这也给这些用户、 他们的设备 以及与他们相连的组织和个人带来了新的风险。
苹果之前曾表示,他们过去反对这种可能性。它甚至向欧洲法院提起了法律诉讼。2021 年,苹果现任首席执行官蒂姆·库克 (Tim Cook) 指出,此举将“破坏 iPhone 的安全性 以及我们在应用商店中建立的许多隐私计划”。无论他们有何疑虑,该功能都是根据欧盟《数字市场法案》纳入 iOS 17.04 的。然而,这并不意味着他们没有道理。
绕过应用商店
移动应用程序安全依赖于整个安全措施生态系统,从开发到生产,再到发布到应用商店再到客户手机。侧载破坏了该链条中心的一个关键部分:应用商店。
合法的应用商店(例如 Google Play Store 或 Apple 的 App Store)会维持严格的审核流程,以确保其商店中的应用可以安全使用。这并不总是完美的,并且曾发生过几起恶意应用进入应用商店的案例,但它仍然为应用提供了重要的信任标志。
侧载提供了一种绕过这些安全措施的方法。第三方应用商店可以提供这项服务,这些商店托管着为用户提供新功能的应用。
然而,通过这样做,移动设备用户必须有效地越狱自己的手机,从而绕过上述保护措施。从此,他们就会招致一系列威胁。
首先,它们会面临恶意软件威胁。众所周知,第三方应用商店充斥着包含恶意软件的恶意应用程序。如果没有应用商店安全控制和筛选流程的帮助,这些应用程序很容易进入毫无戒心的用户的手机。
这些威胁不仅是恶意的,而且完全是偶然的。应用商店提供自动官方更新,包括安全补丁,而侧载应用则不提供——这意味着如果用户不应用,这些应用可能会成为攻击的载体。考虑到人们通常不会自行修补——我们应该认为这是一种极有可能的情况。
对于企业而言,缺乏保护意味着恶意攻击面扩大。此外,如果未经审查的应用程序在移动设备上请求过多权限,则可能带来一系列隐私风险,进而可能暴露敏感和个人数据。这些应用程序可能未针对设备进行优化,导致崩溃和性能问题。
应用商店的优势不仅在于其审核流程,还在于其通过审核和排名众包质量保证的能力。侧载应用通常会忽略应用商店优势的这一关键要素。
绕过的范围远不止应用商店。在许多情况下,侧载应用需要用户真正越狱自己的手机,更改安全设置,以便授予该应用在手机上的权限。这包括允许来自未知(潜在恶意)来源的安装和修改。正如您所见,所有这些结合起来,为移动设备用户创造了一个非常危险的局面,更不用说与他们有联系的组织和个人了。
《数字市场法案》的目标是改善消费者在移动设备方面的选择。他们旨在通过迫使科技巨头向较小的竞争对手开放其平台,重新为欧洲数字市场注入竞争。从这个意义上讲,它类似于 PSD2 和其他开放银行法规,旨在放松大型机构对银行业的控制,从而允许该行业内进行更多的竞争和创新。开放银行为我们提供了无数新产品和服务,而《数字市场法案》可能会引发同样的创新热潮。这一举措——随着 17.04 的发布而推出——如果管理不当,可能会给 Apple 设备带来严重风险。
移动设备最重要的方面之一是它们提供更强大的连接能力,但并非仅限于合法的安全实体。这些设备通常都是开放环境,虽然设备在其他方面可能是安全的,但用户可能会采取行动并下载威胁其安全性的软件。这已经是企业中难以解决的安全问题,而引入第三方应用商店的风险将为安全人员带来新的复杂性。我们需要对移动设备采用与传统终端相同的方法,直接监控设备并持续评估出现的风险。
