Smartfony w firmach
- 23.08.2011
Telefony klasy smartphone, minikomputery przenośne PDA i tablety stały się standardowym wyposażeniem pracowników. To dobre narzędzia, ale niosą z sobą pewne ryzyko.
Smartfony stają się coraz atrakcyjniejszym "rynkiem" dla cyberprzestępców, gdyż:
- mają ciągłe połączenie z Internetem;
- informacje uwierzytelniające (np. hasła SMS) przychodzą na to samo urządzenie;
- wydajność i możliwości aplikacji stale rosną, przy nadal słabym zabezpieczeniu;
- systemy operacyjne telefonów rzadko są projektowane pod kątem odporności na ataki;
- systemy operacyjne nie są projektowane z uwzględnieniem pracy wieloużytkownikowej, więc telefon jest wykorzystywany także prywatnie;
- aplikacje są naturalnym rozszerzeniem funkcjonalności smartfonów, a audyt kodu i ochrona repozytoriów nadal napotykają na problemy.
Problematyczne aplikacje małego komputera
Telefony komórkowe od dawna przestały być zamkniętymi urządzeniami, które wyposażone są jedynie w swój własny zestaw oprogramowania. Obecnie jest to niemal standardowy komputer pracujący pod kontrolą normalnego systemu operacyjnego, w którym można zainstalować zewnętrzne aplikacje. Naturalnym sposobem ich dystrybucji jest webowe repozytorium nazywane sklepem (np. App Store, Android Market), wyposażone w łatwy interfejs wyboru żądanej aplikacji. Proces pobrania oraz instalacji aplikacji odbywa się automatycznie, zaraz po podjęciu decyzji przez użytkownika.
Założenie konstrukcyjne, polegające na całkowitym otwarciu urządzeń mobilnych na aplikacje spoza firmowych zasobów, jest ryzykowne, gdyż bezpieczeństwa zewnętrznych aplikacji nie sposób ocenić, zabezpieczenia sklepów z aplikacjami są regularnie przełamywane, telefony są cały czas połączone z Internetem za pomocą łączy bezprzewodowych, a zabezpieczenia samego systemu - często niewystarczające. Z drugiej strony zamknięcie urządzenia na aplikacje firm trzecich, pochodzące spoza repozytorium producenta (co zdarza się w przypadku telefonów iPhone firmy Apple oraz obecnej wersji Windows Phone 7), sprawia, że opracowanie firmowego oprogramowania napotyka na dodatkowe trudności i wiąże się z wysokimi kosztami, a nawet zwiększonym ryzykiem. Przykładem może być konieczność złamania zabezpieczeń w telefonach iPhone, by zainstalować moduły mobilne do niektórych aplikacji ERP, gdy producent ERP nie zamierza udostępniać kodu źródłowego swoich aplikacji producentowi telefonów, w celu ewentualnego umieszczenia aplikacji w App Store.