移动设备没有设置密码来验证用户以及控制对存储在设备上数据的访问。很多设备能够支持密码、个人识别码(PIN)或者身份验证式的屏幕解锁,一些移动设备还包含一个生物识别读卡器,可以扫描指纹来验证身份。然而,根据报告指出,消费者很少使用这些验证机制。此外,即使用户使用密码或者PIN来验证身份,他们往往会选择很容易被破解的密码,例如1234或者0000。如果没有使用密码或PIN来锁定设备,被盗或丢失手机上的信息可能被未经授权用户查看。解决办法: 启用用户身份验证:将设备配置为需要密码或PIN进行访问。此外,密码字段可以进行屏蔽,以防止被暴露,并且设备可以激活空闲时间屏幕锁定,以防止未经授权访问。
当在移动设备上进行敏感交易时,并没有总是使用双因素身份验证。根据研究显示,在使用移动设备进行敏感交易时,消费者通常使用静态密码,而非双因素身份验证。使用静态密码进行身份验证存在安全缺陷:密码可能被猜出、忘记、写下来或者丢失,甚至窃听。与传统的密码或者PIN相比,双因素身份验证能够提供更高水平的安全性,这种安全性对于敏感交易非常重要。双因素身份验证指的是用户需要使用至少两种不同的“因素”—你知道的东西、你拥有的东西或者你本身,来进行身份验证。在某些双因素身份验证中,移动设备可以作为问问通第二个因素。移动设备可以产生代码,或者代码可以通过短信发送到手机。如果没有双因素身份验证,未经授权用户可能获取移动设备中的敏感信息,并滥用移动设备。解决办法:启用双因素身份验证:当在移动设备上进行敏感交易时,应使用双因素身份验证。
消费者可能会下载包含恶意软件的应用程序,例如,这些应用程序会伪装成游戏、安全补丁、实用工具等。用户很难区别合法应用程序和恶意程序。例如,应用程序可能被攻击者加入恶意软件并进行重新封装,而消费者可能不小心将其下载到移动设备中,这样数据就很容易被拦截。解决办法: 验证下载程序的真伪:对下载程序的数字签名进行验证以确定它们没有被篡改过。
针对移动设备操作系统的安全补丁或修复程序并没有及时被安装在移动设备上,可能需要几周到几个月。基于漏洞的性质,修复程序可能很复杂,并涉及多方。例如,谷歌发布了补丁来修复Android操作系统中的安全漏洞,但这需要设备制造商来生成针对设备的补丁来修复,这可能需要一段时间。而在制造商生成补丁后,还需要每个运营商对其进行测试,并传输到消费者的设备,而运营商可能需要测试补丁是否会干扰设备上的其他软件,这将延迟更新时间。 此外,使用超过两年的移动设备可能无法接收安全更新,因为制造商可能不再支持这些设备。很多制造商会在12到18个月内停止对智能手机的支持。这些设备可能面临更大的安全风险。 解决办法:安装反恶意软件功能:反恶意软件保护可以抵御恶意程序、病毒、间谍软件、被感染安全数码卡以及恶意攻击。此外,这种功能还可以防止不必要的(垃圾邮件)语音邮件、文本消息和电子邮件附件。