文摘

移动通信安全威胁和最佳实践已成为一个中心目的由于移动设备的不断发现新的漏洞。应对这首要的问题,本文的目标是识别和分析现有威胁和在移动安全领域的最佳实践。在这个程度上,我们进行了文献综述基于一组关键字。结果关注的威胁和建立在移动安全领域的最佳实践。之后,这一结果提出审议通过移动应用程序用户(n通过调查仪器= 167)。为此,结果显示高意识的威胁及其对策在移动应用领域。虽然认识到风险与生理和社会因素有关,大多数的受访者宣称使用内置的方法来降低恶意软件的负面影响和社会工程学诈骗。研究结果有助于移动安全通过识别和理论探索的各种各样的问题,关于两个威胁和最佳实践。除此之外,这个大部分最新知识的实用价值体现在其适用性在个人和企业层次。此外,在这一点上,我们认为,理解用户的意图和动机影响因素接受和使用特定技术利用移动应用程序的安全是至关重要的。因此,未来的工作将包括识别和建模用户的感知的移动应用程序的安全性和可用性。

1。介绍

近年来显示显著增加人气和无处不在的移动设备在全球各地用户(1]。这些设备,基于一个特定的操作系统,允许用户安装一个巨大的各种各样的应用程序,通常被称为“应用程序,”在线来源市场:苹果应用商店,和谷歌玩(2]。上述应用程序是智能手机的本质,丰富其功能,提高用户的日常生活。应用市场允许用户执行一个快速搜索和安装新的应用程序,但同时,他们也是一种不同类型的恶意软件伪装成正常的应用程序。如今,移动设备受到广泛的安全挑战和恶意的威胁(3]。

移动革命已经授权并影响用户日常操作的几乎所有进入移动环境和所谓的移动应用程序。因此,我们可以观察到快速增长的移动开发者和用户的域。移动设备正在被他们的用户是非常个人的工具,主要用于方便日常操作,但是他们也为存储非常敏感的个人信息(4]。

当代移动应用程序是无处不在的,很容易安装在几乎每一个手机操作系统:iOS、Android、Windows phone,等。由于积极的应用程序提供商之间的竞争,我们可以观察到越来越多的先进的和定制的应用程序出现在市场,解决复杂的问题。这些应用程序深刻改变用户的行为通过促进日常事务(5- - - - - -8]。

近年来,移动应用程序不得不面对各种外部和内部的安全威胁(9- - - - - -12]。为了解决这一日益严重的问题,研究和商业组织都制定和推广最佳实践到这个程度。然而,我们所知,很少有(如果有的话)综合研究诊断知识在这个领域的地位从这两个敌对目标。因此,本研究的目标是识别和分析安全威胁到移动应用程序一方面和另一方面当代最佳实践。因此,我们提出了三个研究问题:RQ1。移动应用程序的安全威胁是什么?RQ2。保护移动应用程序的最佳实践是什么?RQ3。最佳实践是使用和移动应用程序用户到什么程度?

回答RQ1 RQ2,我们进行了文献综述基于关键字的组合“移动应用程序”,“威胁”和“最佳实践”在电子搜索与谷歌搜索引擎和谷歌学者。这两个平台迅速上升到成为信息和学术文献的主要提供者。前者,在2019年,是一个搜索引擎的领导者在世界范围内,占全球市场份额的88.5% (13),后者声称是最全面的学术搜索引擎,包含3.89亿条记录索引(14]。关键的分析现有的经验证据和先进的研究结果有助于移动安全威胁的新的理解和最佳实践。

为了回答RQ3,我们进行了一个匿名调查,要求移动应用程序用户填写一份调查问卷分为两个部分,第一个直接提到的主题研究和第二个收集人口数据。总的来说,我们调查了来自167个用户响应关于他们采用十在波兰移动用户的安全最佳实践。研究结果显示采用相对较高的安全级别实践应用对大范围的网络攻击向量。考虑到这一点,我们的贡献细节现有的当前状态和应用安全技术,反映了用户的态度缓和(无视)风险和消除(忽视)关于移动应用危害威胁和漏洞。

剩下的论文结构如下。部分2介绍了研究的背景和动机。部分3提供了一个简易的识别移动的安全威胁,而部分4在相同的方式,回顾了最佳实践。部分5显示了一个全面的报告进行调查。部分6礼物一般讨论,以及理论和实践意义,以及研究的局限性和未来的工作议程。最后,部分7总结了纸。

2。研究背景和动机

移动技术是一种现象强烈根植于我们的日常活动。往往,我们依赖于不同种类的应用程序,对休闲(即时通讯、预订、地图等)和商业(网上银行、电子邮件管理、业务功能等)。用户安装手机应用程序,并提供他们的个人信息,而很少考虑安全问题。

根据许多研究人员,最具影响力的因素,帮助移动技术的传播在客户如下(15,16]:(我)获得的信息是最新的,没有更多的信息不对称;相反,我们可以观察到信息民主化(2)技术革命:赋予的低生产成本,因此,市场上的产品/服务提供更容易传递给最终消费者,与此同时,更多的定制以满足个人需求(3)快速访问偏向市场研究:移动技术的品德可以实时信息收集消费者根据他们的实际行为(iv)从访问只有当地市场转向全球经济和数字频道,然而与此同时,由于移动技术的个人性格,消费者可能以个性化的方式访问(v)从大众市场转向个人,one-2-one关系(vi)从“准时”转向“现在”移动技术,允许通信,无论如何定位和时间,同时,观察从未定制的信息

另一方面这创造了我们可以观察到如今作为一个新现象,即。,mobile communication, is the immanent characteristic of mobile/handheld devices, which will be discussed further. Consumers have gained access to a wide array of tools at their fingertips. In Figures12,我们可以观察市场趋势在手机订阅的扩散。根据爱立信移动报告(17),我们可以观察到一个手机用户的增长从2015年开始,预计在2025年达到近90亿手机用户。


图1
全球移动订阅和用户(十亿)(来源:17])。

图2
订阅穿透2019年第三季度(的人口比例)(来源:17])。

上述报告还显示了快速增长的消费信息和点手机用户数量的不断增长,甚至更快的移动宽带用户数量的增长(移动宽带无线接入技术:包括3 g, 4 g, 5 g, CDMA20000 ev - do, td - scdma,和移动WiMAX)。

据研究人员和机构,移动计算的现象值得观察因为我们习惯作为消费者,几如以下所示,从根本上改变(17- - - - - -19]:(我)超过73%,根据年龄,所有的移动设备上的电子邮件被打开(2)已经在2017年,大约95%的Facebook用户通过移动设备访问社交网络(3)80%的用户使用移动设备在2019年搜索互联网(iv)40%的在线交易是用移动设备来完成(v)现在超过50%的网站使用响应网页设计技术,适用于所有设备(vi)超过75%的消费者使用移动设备以及物理购物(七)全球移动数据流量超过30每月eb(八)移动设备现在占全球一半的网络流量,这2018年第三季度至2019年第三季度增长了68%

我们消费的信息呈指数级增长。用户,我们已经改变了我们的搜索和信息消费习惯,但我们能够随时随地搜索信息我们想要的,只有依赖信号可用性。

这些数据表明,用户很乐意在他们的移动设备上安装手机应用程序,和他们的移动数据消费增长。这种趋势不仅是可见的开发者,他们总是试图提供一个平滑的和方便的应用经验,还要各种各样的黑客,有兴趣获得个人信息使用恶意的方式对用户没有意识到。

2.1。可用性和用户体验与安全

可用性的主要参考定义在桌面20.)和移动设置(21)是由ISO 9241 - 11标准,可用性是“产品在多大程度上可以使用指定的用户实现指定目标有效性、效率和满意度在特定上下文中使用。“(22)最近,用户体验(UX)已成为一个研究人机交互的重要参考。根据定义,用户体验是一个“人的感知和反应生成的使用和/或预期使用的产品、系统或者服务,”包括“所有用户的情感、信仰、喜好、认知、生理和心理反应、行为和成就出现之前,期间和之后使用。“(23]

首先,它可以注意到所有的可用性和用户体验的定义包括或指向安全。实际上,根据我们的最新研究结果20.),产品质量安全几乎没有讨论的范围。相反,用户安全需求通常实施障碍(如密码或其他身份验证机制),而设计人员和开发人员试图最大限度地减少其影响应用程序的性能和用户体验。

其次,从两个角度研究的安全是一个主题:技术和人为因素(24]。前者侧重于发展的系统,方法,和技术,旨在减轻风险与应用程序代码相关联,用户数据,网络流量,和其他人,以及,相反,测试和评估现有机制和解决方案。后者检查安全和设计等因素之间的关系(25)、易用性(26),和人类残疾(27]。因此,我们区分安全,这通常是一个技术问题,和隐私,这主要是一个社会问题。自然地,这两个概念通常是相关的和相互依存的。

最后但并非最不重要,它是经常建议(28]“用户是无望的懒惰和懈怠在安全问题上,”,相反,他们“执行隐式成本/收益计算当决定是否遵守安全建议。“没有权衡,这意味着,为了设计和开发可用的和安全的移动应用程序,我们必须首先理解用户对安全和隐私的态度。我们在进一步反思和讨论解决这个问题,希望研究者和实践者参与更广泛的对话到这个程度。

3所示。移动安全威胁

用户的移动设备或所谓的手机用户越来越多地受到恶意行为,主要是关于推动恶意软件应用智能手机,平板电脑,使用移动操作系统或其他设备。这些手持设备,在我们的口袋里,用于存储和保护敏感信息。尽管谷歌和苹果提供分布环境封闭和控制,用户仍然暴露在各种各样的攻击。其中一些给出以下(29日]:(我)钓鱼在一个应用程序:我们观察到一种罪犯可以绕过应用市场源代码检查不包括任何恶意应用程序本身,而是通过一个应用程序,从本质上说,是一个钓鱼网站的浏览器窗口。这样的应用程序,在这种情况下,设计与网络钓鱼网站,以便用户无缝体验。(2)供应链妥协:这是观察到的trojanized版本一个合法的应用已经包括在工厂固件从一个小手机制造商和运到客户全新的手机。原始应用程序,称为录音机,发现已经修改为包含的代码并不是其目的的一部分:它可以拦截和秘密发送SMS消息。恶意的应用程序可以被插入到供应链在许多不同的地方。它从来没有通过任何应用程序商店,但只有在一个特定的固件图像在一个特定的模型,一个便宜的Android手机。(3)Cryptominer代码在游戏或公用事业:我们遇到一个重要的应用程序的数量激增,没有通知给用户,包括Cryptominer代码在代码将运行应用。应用程序本身是否运行和充当一个常数消耗手机(或其他设备)的电池。(iv)点击欺诈广告嵌入在应用程序:广告欺诈,令人惊讶的是,现在最赚钱的犯罪企业之一,移动应用程序似乎这种微妙的犯罪的一个关键部分。广告行业估计,今天,欺诈的成本向广告商“点击”广告,世界广告主联合会发布的数据显示,每年超过190亿美元。

根据Landmann [30.],前所未有的增长,智能手机和移动工作者的数量直接影响攻击部署在移动设备的数量。今天智能手机存储巨大数量的数据和操作在国际蜂窝网络、无线局域网和蓝牙锅。他们运行等各种复杂的操作系统塞班,iOS,黑莓操作系统,Android和Windows Mobile。大多数智能手机也支持Java平台为移动设备,J2ME,各种各样的扩展。所有这些网络连接和多样丰富的代码使这些设备比传统电脑更脆弱,通常运行标准操作系统的许多安全产品是现成的(31日]。

也提到十大关键web应用程序安全风险根据全球最突出的安全社区命名OWASP的基础。减轻这些威胁的第一步生产安全的代码移动应用(32]:(我)注射(2)破碎的身份验证(3)敏感数据暴露(iv)XML外部实体(XXE)(v)破碎的访问控制(vi)安全错误配置(七)跨站点脚本XSS(八)不安全的反序列化(第九)使用组件与已知的漏洞(x)日志和监测不足

传统病毒没有智能手机,他们需要电脑的主要威胁。多,威胁仅仅是流氓代码或故障而杀毒应用程序不能解决供应商集中在毒力更强,很容易被电脑病毒(30.]。威胁也存在丢失或被盗设备或意外或恶意的最终用户。管理员通常不能远程审计的内容智能手机作为授权在国际标准化组织(ISO) 27001安全需求。他们常常不知道什么信息被存储在一个电话,可能无法远程删除数据或“杀死”设备(33]。

全球信息安全市场预计将达到1704亿年的2022美元(34];最常见的移动威胁包括以下30.,35- - - - - -38]:(我)数据泄漏:71%的违反是出于财务方面和25%的间谍活动(2)恶意软件或恶意软件:在大多数恶意电子邮件附件. doc . dot占37%,第二个最高. exe(3)网络钓鱼和社会工程:62%的业务在2018年经历过这种类型的攻击(iv)直接黑客攻击:数据泄露暴露在2019年上半年的41亿条记录(v)拦截交流:全球黑客攻击使每39秒,平均每天2244次(vi)被盗和丢失手机:到2020年,估计使用的密码用户数量将增长到3万亿(七)用户行为:64%的美国人从来没有检查他们是否受到数据泄露的影响

3.1。恶意软件

智能手机正迅速接近电脑功能,同样的动机存在黑客:欺诈、窃取个人和商业信息,和extortion-hackers准备攻击时,可以使用许多不同的途径传播恶意软件(35]。以下简要回顾智能手机恶意软件显示,黑客的恶意功能已经明显证明;这些只是在报告中列出的一些恶意软件的威胁,MobileIron [39,40]:(我)Android GMBot-spyware,通常由第三方应用商店,试图欺骗用户放弃他们的银行凭证(2)AceDeceiver iOS malware-malware工作窃取用户的苹果ID(3)游行者Android malware-malware假装银行网站,希望用户将放弃他们的登录凭证(iv)通过谷歌玩商店后门families-distributed trojanized应用程序隐藏在不同类型的应用程序(v)移动miners-distributed通过垃圾电子邮件或短信,移动设备的应用程序使用处理权力(vi)假的应用更恶意软件类别的应用程序模仿流行和有用的应用程序,一旦安装要求用户为移动验证或者重定向到一个链接的指示

最后但并非最不重要的是,应用程序和操作系统应该保持最新最大化他们的保护,并运行一个防病毒应用程序也是推荐的。

3.2。网络钓鱼和社会工程

网络钓鱼攻击的主要平台是垃圾邮件,发送的大量网络犯罪。最近,我们见证了一个新形式的网络钓鱼,这是使用SMS文本消息传递(所谓的“短信诈骗”)将欺诈链接发送到移动设备。社交媒体也被黑客利用移动电话用户。

这种类型的攻击是直接面向用户,最常利用人类心理而不是使用技术黑客技术。这个目标是(41](我)赚钱从一小部分收件人回复消息(2)运行网络钓鱼欺诈获得密码、信用卡号码,银行帐户细节等等(3)恶意代码传播到接受者的设备

防止这种类型的攻击是基于常识和问题主要不是应对可疑的消息,使应用程序保持最新,等等。42]。

3.3。直接的黑客攻击和拦截通信

当代用户访问复杂的移动设备,是日常生活的一部分,这直接导致的用户数量的增加。这种快速增长的用户故事吸引黑客截获通信或直接攻击移动设备。

主教说,有三个主要目标黑客(43]:(我)Data-mobile设备存储数据和可能包含敏感数据的类型(2)Identity-mobile设备是可定制的,所以很容易将一个设备与一个特定的人,所以偷来的身份可能会被用来犯下其他罪行(3)Availability-limiting访问设备,甚至剥夺了其使用的所有者

拦截通信问题的情况2移动设备通信,通常通过一个公共局域网成为了用户认为他们直接沟通。这个拦截的交流被称为中间人攻击(MITM);罪犯重定向数据路由,窃听或冒充一方,窃取个人资料。为了防止这种类型的攻击,用户应该(我)避免公共wi - fi或nonpassword-protected连接(2)注意通知浏览器(3)通过安全连接进行敏感的事务

考虑上述规则,用户的移动设备大大降低了沟通的拦截的可能性和敏感数据的损失。

3.4。被盗和丢失的手机

手机被认为是个人设备,用户存储大量的不同类型的数据,无论是个人或业务。表1提出了设备损失案件类型。根据研究[42),移动设备用户,最频繁,只是失去他们的设备。

表1
类型的盗窃和丢失的频率(来源:42])。

移动设备用户本身的最大威胁时失去敏感数据,然而,同时,适当的行为可以帮助保护这些数据。实现2 fa(双因素身份验证),避免自动登录,并使用password-lock应用程序可以减少损失的概率敏感数据。

当公众和媒体图片的最大威胁到移动设备的损失,他们通常描绘强盗和小偷的主要嫌疑人,而根据研究[41的两倍),用户可能会失去他们的设备(69%)比偷来的(31%)。

3.5。用户行为

移动设备用户经常创建漏洞由于模糊的分界线的个人和商业使用。应受谴责的行为包括关闭所有类型的安全应用,从第三方应用商店下载应用程序,共享机密信息未经授权的接受者。随着智能手机,就更容易获得受欢迎的信息。控制用户行为被认为是在移动设备安全的最大挑战之一30.]。

有利于组织的实践过程中关于用户行为的安全问题,我们可以指出安全意识培训44),提供详细信息最新的网上诈骗技术45],现有安全程序和审查[46]。也可以考虑采用协作游戏之一,通过设计,激发创造性思维47,48),因此作为有效的学习工具49]。

4所示。移动安全最佳实践

移动安全最佳实践建议的指导方针和安全措施保护移动设备和用户的数据(50]。一般来说,硬件和软件供应商的轮廓,促进程序和指令,正确应用,应维持或提高安全级别。虽然没有办法保证100%安全,不可预见的漏洞可以被发现和被攻击者利用,让我们看看一些最近开发的移动设备和应用程序的最佳实践(51- - - - - -55]。(1)让用户认证最高优先级:大多数移动设备可以锁定屏幕锁,解锁密码,生物特征(如指纹和人脸识别)或个人识别码(PIN) (56]。如今,多因素身份验证被认为是最佳实践,以保护用户的数据(57]。相反,安全是完全基于密码的复杂性和用户的关注其机密性。(2)更新移动操作系统和车载应用安全补丁:保持操作系统(Android和iOS)和更新已安装的应用程序是必须的。谷歌和苹果为用户提供定期更新,解决最近的漏洞或其他威胁,以及分享额外的性能和安全特性(58]。然而,更新一个应用程序是一把双刃剑,因为新版本可以减少其整体性能和用户的生产力。从安全的角度来看,更新可以触发重新审核流程确认安全调查。移动应用程序,以确保符合组织的安全需求和没有漏洞,一系列的严格和全面的分析。必须记住,应用审查可能还包含更新外部组件(如第三方库)和新的强制性版本的操作系统。(3)定期备份用户的数据,备份是防止数据丢失或删除的基本方法。一个备份计划应该适应随着时间的推移增加数据。用户数据的例子包括个人用户文件(文档和电子表格),媒体文件(例如,图片和视频),联系人,和其他敏感数据(59]。在移动设备的情况下,显而易见的选择是一个远程备份,也就是说复制和存储文件在一个私人或公共云。然而,在这种情况下,主要是考虑到传输速度。即使高速连接用于发送数据,上传限制,杀毒扫描器,防火墙可以大大减缓速度。另一个限制涉及移动互联网上传设置的数据提供者的成本。相反,无法保证数据存储在云将会保密。然而,这可以很容易克服,大多数建议数据文件被加密反过来可能延长整体备份任务持续时间,如果执行。(4)利用加密:数据加密将数据转换为另一种形式,或代码,只有经过授权的政党可以解密和读取这些数据。加密功能是用于数据存储在移动设备和网络上的数据传输。然而,默认情况下,加密需要密码加密和解密数据文件。如果一个人忘记密码,数据恢复通常是有问题的,而不是总是成功的。相反,依靠公开的解决方案可以让用户产生一种错误无可辩驳的安全感。此外,也强烈建议不要连接和使用公共和不安全的无线现场没有使用安全传输选项,如虚拟专用网(VPN) (60]。在这种情况下,与常规的互联网连接相比,vpn仍几乎总是慢,取决于服务器和客户端之间的距离,当前的服务器负载,应用的加密级别。(5)启用远程数据擦:如果一个用户设备与敏感数据被盗了,很少有机会获取他们在一个相对短的时间内,一个人应该考虑打开设备能力允许远程执行工厂重置信息(59,61年]。此外,远程数据擦除必须终止就业或感染恶意软件无法卸载或删除。而现有的解决方案有明显的优势,他们不是包治百病的移动安全。例如,仅仅一些工具擦除数据的一部分,其他人擦除整个内容,包括应用程序和个人数据。因此,每个人都应该考虑部署安全的容器,通过设计,将应用程序从个人数据,使选择性擦除的安全事件。此外,积极的方法跟踪敏感数据的使用将提高安全通过早期检测和预防滥用或盗窃。(6)在不需要时关闭蓝牙和wifi:最小化蓝牙和无线网络的使用可以减少暴露在有漏洞,虽然在这些缺陷并不标准,但在他们的实现62年]。这里,应该注意到,禁用行动需要一个故意从用户交互。然而,有工具(例如,AutoBluetooth),打开或关闭蓝牙没有任何用户交互,基于用户定义的规则。(7)注意社会工程技术:社会工程是一个术语,包括广泛的恶意活动,如钓鱼,借口,引诱,交换条件,借道(“捎带”)。这种以人为中心的焦点,由一个用户需要注意的恶意“演员”从事社会工程攻击寻找人类的贪婪和无知59,63年]。组织,特别是安全分析师,也可能考虑开展社会工程渗透测试(也称为社会笔测试)的员工。通过设计、社会笔测试的实践应用社会工程诈骗组织的员工评估他们的能力提供敏感信息。这样的评估是通过提供一个有益的认证水平的遵守公司的安全政策由特定个人。(8)确保不要越狱你的设备:越狱是一种特权升级,目的是消除软件限制的设备制造商。换句话说,部署一系列的内核补丁允许根访问软件,可以通过应用程序商店,没有和分布式安装。越狱会严重暴露更多的操作系统漏洞,有效利用攻击者(59,64年]。还应该记住,在删除制造商限制的情况下,设备的保修很可能无效。此外,降低总体系统稳定性的可能发生自车应用程序倾向于使用大量的硬件资源。(9)确保不要不必要的权限授予应用程序:特权应用程序权限也反映能够访问外设如相机、联系人列表,或位置。当前版本的操作系统有不同的风味取决于制造商。主要宗旨是只授予那些必需的权限,应用程序能够正常工作。换句话说,用户应该使用最小特权原则(PoLP) [65年]。相反,授予权限可以被描述为钥匙,打开应用程序的功能。因此,一个好的设计针运行时权限具体行动和任务,证明许可请求。(10)安装手机安全与防病毒应用程序:由于没有额外的保护在默认情况下,移动安全杀毒软件实时扫描仪和病毒防范恶意应用程序,以及识别盗窃,ransomware, cryptominers。此外,有些工具还可以扫描url和阻止危险场所,监控短信中的链接,并提供家长控制(59,66年]。毫无疑问,专家强烈建议使用这样的工具,但没有什么是免费的。在他们的情况下,副作用是指额外的硬件资源分配和增加电池消耗由于过程在后台执行。

当然,以下十个最佳实践不会100%保证移动设备安全;然而,它将利用安全级别降低攻击向量和降低系统中断的风险和畸形的请求。

5。调查报告

本研究收集的数据通过使用测量仪器由于我们的目的是制定一个相关的回答第三个研究问题。我们选择这种类型的研究方法有三个原因:第一,由于描述性的本质问题,仅仅旨在描述旨在测量的变量。其次,调查声称是一个很好的工具获取实证描述关于人们的态度和意见67年]。第三,我们的目标受访者地理上分散的和在家工作,因为限制的力量由于COVID-19流行病。

5.1。设计和设置

这项调查由两部分组成。第一部分包括十个问题解决的最佳实践的使用移动应用程序的用户。第二部分,包括五个问题,旨在收集人口数据(性别和年龄),以及受教育程度,工作经验(年)和该行业的专业活动(年)。我们使用谷歌的形式来收集数据以来他们的好处是用户友好的,免费的。

自行管理的,匿名的形式通过电子邮件传播之间移动应用程序用户,发布在论坛组可供Gdańsk科技大学的学生(内脏)和弗罗茨瓦夫大学经济学(问题)。因此,我们应用便利抽样,非概率抽样,成员愿意自愿参与的一项研究。

最后推出之前,草案问卷由三个独立审阅专家,以确保内容的可靠性和有效性。特别是,评价旨在评估的准确性测量量表(可靠性)和评价措施规模的程度是什么打算测量(有效性)。

调查是在5月1日和2020年5月19日关闭。之后,主数据进一步处理在电子表格的编辑器,让我们执行必要的计算和操作,比如数据聚合,比较,和可视化。

5.2。受访者

总共20天期间,我们收集的数据来自167名受访者,其中63.5%(106)(61)是女性是男性和36.5%。年龄分布表明,大多数(77%)为20 - 29岁,17.8%是30岁以上的,只有5.3%是19还是下。因此,59.9%的受访者宣称中等教育,而其余部分(40.1%)拥有研究生学位。专业经验的分布是相对较低,这是合理的考虑到受访者的年龄:65.3%宣布在两年或更少,而其余部分(34.7%)可能是温和的专业经验。人口数据的总结表2

表2
人口统计资料的受访者。

最后,我们想强调调查的多样性,它广泛涉及范围广泛的受访者不仅代表it部门还别人。值得注意的是这里更多样化的样本带来减少偏见的承诺(68年]。

5.3。结果和讨论

作为数据在本质上是定量的,每一个最佳实践,结果和讨论,已补充和充实论证由数值数据。因此,回顾和分析现有的知识领域导致了定性信息。我们认为,应用混合方法方法带来附加值通过强调其他相关的问题没有直接包含在调查问题池。Q1。你使用哪个认证方法来保护你的智能手机?(我)指纹扫描仪:53.3% (89)(2)销比例:12.6% (21)(3)锁定模式:12% (20)(iv)人脸识别:10.2% (17)(v)密码:4.8% (8)(vi)虹膜扫描仪:1.2% (2)(七)没有:6% (10)

超过一半的受访者(53.3%)已经宣布使用指纹扫描仪的方法来识别他们的身份。第二最常见(12.6%)的身份验证方法是基于一个销,相对强劲,作为一个典型的四位数选项提供了104可能的组合。百分之十二的用户使用模式锁定方法依赖于一个预选的模式的网格点解锁手机。第二个生物识别方法,即面部识别,也基于“用户是谁,”声称使用超过百分之十(10.2%)的用户。“老备用”密码是很少使用,只有4.8%的用户指出这种方法。最后但并非最不重要,虹膜扫描角度和距离遵循屏幕上的反馈,很很少使用(1.2%)的用户。

这里值得注意的是,特定的生物识别方法是强制使用移动应用程序需要一个更高层次的安全移动银行(手机银行)等在线支付和在线金融交易(69年]。此外,生物方法易于使用,因为用户不必记住一个大头针,模式,或密码。此外,自销-模式-,和密码的安全方法无法解决的要求限制和高度敏感数据在移动应用程序中,语音识别系统目前经常被实现在各种移动服务70年]。显然,攻击的声音是可行的因为这样的系统可以欺骗如果攻击者记录用户的声音,扮演它在验证时间窗口(71年]。Q2。你更新的移动应用程序安装在你的手机吗?(我)是的,但我在方便的时候(例如,无线网络可用性):50.9% (85)。(2)是的,后立即通知的相关通知:21% (35)。(3)自动安装更新:21% (35)。(iv)不。我故意阻止所有更新:5.4% (9)。(v)我不知道:1.8% (3)。

绝大多数的用户(92.9%)宣布他们的移动应用程序更新,而71.9%有意识地授予许可程序更新过程。值得注意的是,超过百分之五的用户指出调用更新过程。一个很小的比例(1.8%)是无法给出答案。

保持应用程序更新的原因可能包括期待新特性,以及受益于性能改进和修复错误和安全漏洞(72年]。此外,开发人员可以为每个更新设置优先级,考虑三种不同的类型:低、中、或高。第三季。你执行备份你的智能手机上的应用程序收集的数据?(我)是的,数据备份是自动执行:47.3% (79)(2)是的,我手动执行数据备份:19.2% (32)(3)没有:31.1% (52)(iv)我不知道:2.4% (4)

近三分之二(66.5%)的受访者宣布执行数据备份,自动(47.3%)或手动(19.2%)。相反,近三分之一(31.1%)的被忽视的数据备份的移动设备维护。绝大少数不知道他们的数据备份的状态。

在这里,另一个问题出现了,(不幸的是)不包含在调查:你怎么回来了?不可否认的方法是复制一切,特别是用户生成的内容,如文档、图片、视频等内容。相反,用户也可以考虑设置数据备份保存他们的个人喜好如果数据恢复新设备(73年]。第四季度。你使用数据加密你的智能手机吗?(我)是的:24% (40)(2)没有:50.3% (84)(3)我不知道:25.7% (43)

不到四分之一的受访者承认,他们的智能手机上使用数据加密。相反,在一个一半承认没有启用任何可用的特性或第三方应用程序加密数据。有趣的是,超过四分之一的用户没有意识到对他们的智能手机收集的数据的状态。

承包商杂志预测(74年),2019年,移动平台将是最大的网络安全威胁是正确的(75年]。此外,感染Mac App Store和谷歌继续增加。根据霍奇(76年iOS),多年来,一直保持“牢牢控制着它的声誉是最安全的移动操作系统。“然而,即将到来的Android 11显示了谷歌的努力集中在隐私保护功能。然而,在iOS,驱动器加密是一个标准,而Android用户必须启用该特性(77年]。Q5。你知道远程数据擦除功能的智能手机?(我)是的:81.4% (136)(2)没有:18.6% (31)

超过四分之三的受访者(81.4%)都知道远程数据擦除特性,可供使用的设备损失(盗窃)。相反,其余(18.6%)宣布不知道。

通过设计,远程数据擦除允许用户远程删除数据通过发送一个擦除命令通过短信或网络设备。其他研究显示这种意识的程度的差异。2015年,超过百分之四十的受访用户(42.27%)总部设在英国,当被问及采用物理安全控制的智能手机,宣布使用远程数据擦[78年]。然而,四年前,从另一个调查结果显示,在希腊,预装的采用安全控制较差。例如,远程数据擦除被只有15.1%的用户(79年]。Q6。你故意禁用/启用蓝牙或无线智能手机吗?(我)是的:85% (142)(2)没有:4.8% (8)(3)偶尔,但我不认为这是一个习惯:10.2% (17)

大多数的受访者(85%)故意使用蓝牙和无线网络设置,根据情况禁用或启用这些功能。只有10.2%的受访者打开或关闭蓝牙或wi - fi偶尔而不考虑它作为一种习惯。据调查,4.8%的人宣称他们不会禁用/启用蓝牙或wi - fi功能。

根据FCC(联邦通信委员会)80年),蓝牙和无线网络连接可以脆弱点的访问数据或身份盗窃。当传输敏感信息通过wi - fi,推荐使用手机而不是公共网络的数据计划。关闭蓝牙不使用时保护设备免受“可见的”,因此砍。此外,关闭这两个特性保证延长了电池的使用寿命。迄今为止。你的关于社会工程技术知识是什么?(我)我有基本知识:46.7% (78)(2)我有中级知识:29.9% (50)(3)我拥有先进的知识:9.6% (16)(iv)我不知道:13.8% (23)

在受访者中,近一半(46.7%)宣布他们关于社会工程基本知识,29.9%的人宣称他们有中级水平的知识,,9.6%的人认为自己是先进的。

社会工程攻击的数量正在迅速增长,削弱了网络安全链,他们主要针对操纵个人和企业泄露价值和敏感数据81年]。人类更容易信任其他人类与电脑或技术;因此,它们是安全链中最薄弱的环节82年]。上述就是如此重要的原因,教育用户对他们可以采取什么措施来保护他们的敏感数据。最后,根据一项由美国电信公司Verizon (83年》,在41868年安全事故记录,33%担心社会的攻击。处置。你有没有你的智能手机上使用根帐户吗?(我)是的:32.3% (54)(2)没有:67.7 (113)

超过三分之二(67.7%)声称使用根帐户,其余(32.3%)从来没有利用根帐户的智能手机。

我们可以观察到,手机用户越来越意识到技术噱头有关他们的设备,可以提高他们的设备速度、外观、和功能。相反,制造商不希望用户修改可能导致事故无法修复。值得注意的是扎根设备更容易受到攻击,尤其是iOS设备。在2015年,一块恶意软件,称为KeyRaider,感染225000台iphone,窃取个人资料(84年]。在谷歌的情况下,其应用市场与根设备不允许用户下载特定的移动应用程序(85年]。九方。你验证权限(如GPS、摄像头和麦克风)要求应用程序?(我)是的,我检查他们所有人:49.1% (82)(2)它取决于我的熟悉应用程序:44.3% (74)(3)很难说:5.4% (9)(iv)没有:1.2% (2)

近一半的受访者(49.1%)宣布哪些应用程序通知需要验证的所有权限。超过百分之四十(44.3%)表示,他们验证请求基于应用程序的熟悉水平。只有1.2%的人不感兴趣检查应用程序的权限授予。最后,超过百分之五(5.4%)还没有完全意识到或在这个程度上愿意承认自己的行为。

这种类型的权限通常出现在第一次使用给定相应的应用程序来访问内置的硬件设备或数据文件夹。这些权限存在保护智能手机资源免受未经授权的访问。超水准的应用引入生态系统安全威胁到移动设备,构成各种声誉风险等在线市场Android市场(86年]。从2016年的一项研究表明,用户,一般来说,做出一致的选择默认愿意授权访问(87年]。Q10。下面哪个维护应用程序安装在你的智能手机吗?(我)杀毒软件:27.5% (46)(2)防火墙:10.2% (17)(3)以上:47.9% (80)(iv)我不知道:12.0% (20)(v)其他:2.4% (4)

超过四分之一(27.5%)的受访者称杀毒软件安装在智能手机上。百分之十(10.2%)添加一个额外的层使用防火墙的保护。然而,几乎一半的人(47.9%)表示,目前使用杀毒软件和防火墙软件,但2.4%表示使用其他未公开的软件。有趣的是,百分之十二实际上并没有承认任何维护的应用程序被日常操作。

专家们认为,在智能手机上安装杀毒软件是至关重要的(88年- - - - - -90年]。事实上,移动安全应用提供保护一系列功能,包括防盗、防病毒功能,以及实时保护web浏览器、远程定位检测和锁定功能。一个有趣的人是所谓的自动驾驶仪,能够使智能推荐为安全的行为取决于操作系统的类型和频繁的使用模式。

考虑安全,移动操作系统的工作不同于他们的桌面等价物。在实践中,这意味着用户不需要在他们的移动设备上安装一个防火墙程度类似于他们的电脑。由于其内置的电源管理功能,移动设备不是不断开放交通,和被攻击和黑客攻击的风险大大降低。然而,随着时间的推移,人能注意到越来越多的应用要求一个永久连接(91年,92年]。

使用VPN客户端网关快速添加一个额外的安全层任何网络设备,包括移动计算。VPN还回答用户的请求保持在线保密和保护他们的在线活动。换句话说,在一个基本水平,VPN技术提供了两个主要的好处93年]:隐私和安全。前者关注“隐藏”的IP地址,位置,和浏览历史,而后者与使用加密层隧道协议相关联。vpn还可以授权访问屏蔽网站。根据全球市场洞察报告从2018年开始,云VPN市场当时价值180亿美元,预计将在2024年达到540亿美元(94年]。

6。讨论

这是后续研究的早期,类似的研究关于移动安全(3,95年- - - - - -98年]。我们同意Gkioulos et al。95年]安全以来当代移动设备领域的两项研究显示,用户,一般来说,往往对自己的能力信心增加保护他们的移动设备。然而,我们认为增加警觉性当可能的威胁是常识,或者为用户变得明显。然而,用户仍然没有意识到特定的风险,也可用的对策可以显著提高他们的安全。类似的观察也关注用户的行为倾向于优先访问特定应用程序的安全问题。

阿明et al。96年)提出了一个自动程序漏洞检测移动(android)应用程序。上述研究的成果有互补性的呈现在他们的研究中从作者关注一个自动化的发展模式在移动应用程序找到缺陷。这些调查的共同点是什么他们关注的方面,检测安全威胁,。然而,区分它们是,在阿明等的研究96年),重点放在技术方面的安全问题,并基于应用程序的运行时行为。与此同时,我们的研究的重点是在分析实际用户的行为和习惯宣布和通过问卷调查收集。

Mavoungou et al。3),在他们的分析中,专注于移动网络漏洞和攻击,这代表一个重大担忧他们的安全性和性能。研究集中在画一个库存的攻击而分类和分类他们强烈关注基于IP攻击,信号和干扰。除了提出分类的威胁,作者提出适当的对策和缓解的解决方案。中讨论的许多漏洞,他们也表示了移动设备,应用程序安全性和濒危用户身份保密的重要性。他们的研究是一个集中分类技术的移动网络运营商可能的危险。然而,它具有相应的价值,提出了爆炸以来,移动用户/用户的数量和他们的安全习惯影响整体移动安全水平。

瓦尔克(97年)提出了银行业的一般检查和移动安全上下文中的缺陷。网络罪犯的目标是金融机构通过他们的移动应用程序,对不同类型的安全网关滥用。作者主张注重提高客户端保护(各种登录方法),加强客户端-服务器通信的安全性,并主动与欺诈预防。除了所述安全挑战,瓦尔克强调了应用程序的开发人员的角色应该密切关注移动应用的安全方面,同时,与此同时,尊重用户体验指南(95年]。这两项研究关注用户行为的相似性是移动安全的基本因素之一。一个完美的总结这篇文章作者的声明:“你还必须平衡安全性与易用性,你仍然必须确保核心业务逻辑也不受任何攻击。“(3]

Hatamian [98年),在他的论文中,主要关注应用程序开发商对欺诈的第一道防线,针对手机用户的威胁和攻击。作者提出了“隐私和安全设计指南目录应用程序开发者帮助他们理解和采用最相关的隐私和安全的原则在智能手机应用程序的上下文中。“(98年]与此同时,作者指出,开发人员与负责满足隐私和安全的原则,使他们保持移动安全指导方针的一个重要因素。

通过设计,移动设备往往是相对较小的,使他们容易放错地方或者丢失。因此,一个还应该考虑到人身安全,目前是一个主要关心的移动设备(99年]。最明显的问题不仅是设备本身的损失,而且它所存储的数据的内存,以及任何额外的证书用于获得内部和外部的信息来源(例如,电子邮件或银行账户,公司内部网,和社交媒体)。在这种情况下,风险要高得多,涉及敲诈和勒索赎金要求,针对个人和组织。本文中讨论的对策旨在减轻风险损失相关的物理设备。然而,随着网络攻击工具的持续进步,没有通用的方法来保存移动安全对抗这种威胁。

最近努力结合研究和商业社区的移动安全的程度已经成功地开发创新的解决方案采用和适应人工智能(AI)的方法。为例,该公司北欧已经部署IBM MaaS360沃森客户机(认知系统具有复杂的自然语言处理能力(One hundred.在丹麦])在所有的移动设备上获得用户的数据,更严格的控制以及检测和纠正潜在的安全威胁(101年]。实际上,当考虑某些方面受益于嵌入式智能的网络安全,可以肯定是指保护端点。AI-driven端点保护的行为建立一个基线端点通过一个反复训练过程(102年]。如果一个不寻常的事件发生,那么人工智能将国旗并采取相关行动。此外,为了检测和防止有害的活动,包括零日威胁(也称为零时(103年]),机器学习模型能够确定最相关的特征,最终分类恶性和良性的行动。

此外,面对法律法规,组织可能会发现自己失调为移动设备应用的安全措施,而且,特别是敏感数据(如个人资料)。虽然一些决策者可能忽视实施相关解决方案和相应的程序,但这并不意味着安全违规将偿还。例如,罗切斯特大学医学中心(URMC)确定缺乏加密作为高风险电子受保护的健康信息(ePHI),和负责任的个人允许继续使用未加密的移动设备超过三年。然后,民权办公室URMC (OCR)进行了一项调查,显示,该组织未能使用一种机制来加密和解密电子受保护的健康信息(ePHI),当它是合理的和适当的。最终,URMC同意支付300万美元与美国卫生和人类服务部,采取实质性的纠正措施,解决潜在违反健康保险流通与责任法案(HIPAA)隐私和安全规则(104年]。显然,有很多例子表明,人类的无知导致了巨大的经济损失。

值得注意的是,移动安全威胁和全球最佳实践非常相似,而安全策略管理很多地方,由于这个原因,针对不同的业务场景和应用程序设置105年]。因此,在一开始我们的研究,我们假设只识别和分析通用的知识,有助于研究的主题。已经说过,因此,明确技术代表了一个理解的生成过程,构成了移动安全领域。

理论意义问题的识别和分析大量的问题,关于威胁和在移动应用领域的最佳实践。此外,我们的研究结果引起其他研究主题值得学术界和实践者的社区。的实际意义包括nonlimited应用指定的一组十个人或企业的最佳实践水平,因为他们规范硬件和软件都是不可知论者。

然而,这项研究有其局限性和地区潜在的改进以及未来的工作。首先,结果会更确凿如果更真实的数据和实验结果。第二,认知偏见,包括研究问题的个人看法,应该最小化通过公开讨论移动安全领域的专家。第三,我们的粒度分析是基于通用构件的检索,忽视稀疏问题和具体的案例研究。

尽管如此,本研究探索性的本质;因此,揭示实证证据显示这两个威胁的结果和最佳实践目前存在于移动安全的程度。更大的信度和效度研究结果需要安全从业人员更多的参与来证实本研究的结果一方面深入探索问题和不同的用户组以定量的方式另一方面。

当前先进的安全技术,可以从操作系统或应用程序的水平,揭示了低水平的漏洞和弱点。因此,总体安全取决于演示了用户行为和任意的进行工作。已经说过,我们认为,理解用户的意图和动机影响因素接受和使用特定技术对提高安全性和隐私问题是至关重要的在个体水平。因此,未来的工作将包括识别和建模用户的移动应用程序的安全性和可用性的观念。

7所示。结论

安全始终是一个攻击者之间的军备竞赛和捍卫者。由于移动应用市场增长,与此同时,移动安全将继续提供过多的问题。换句话说,安全往往是平衡风险和回报,国防和方便。在这种思路,潜在的风险和利益,和他们的权衡,无疑值得进一步深入调查。本文的结果是一个整体的照片这一现象,探讨了负面事件、条件和情况下,有可能导致资产的损失,和对策,旨在消除它们,为用户提供足够的和有效的保护。

在2019年的世界经济论坛(106年参与者),得出的结论是,过去十年马克只有全球网络安全的旅程的开始。新的体系结构和合作仍需要我们站在一个网络犯罪的新时代的边缘,这将被赋予新的和新兴技术。这三种技术,即5 g网络和基础设施收敛,人工智能,和生物识别技术,将定义全球网络安全的未来十年。

的利益冲突

作者宣称没有利益冲突。

确认

这个项目是由科技部资助的高等教育在波兰项目下“地区卓越计划”2019 - 2022(项目没有。015 / / 2018/19)。