移动应用泄漏设备和位置数据，可见移动安全的重要性！

Android和iOS应用程序都会泄露数据，从而使用户易受数据窃取，拒绝服务攻击和远程SIM卡生根的侵害。

在周四发布的一份报告中，“ 移动应用程序在企业中是否漏洞？“几维安全的研究人员断言，Android和iOS用户同样容易受到与移动应用程序相关的各种移动安全威胁的影响。

据报道，企业面临越来越多的BYOD设备入侵工作场所以及用户从第三方来源下载风险应用程序的挑战。几维安全在三个月内对4500万笔交易进行研究，发现隐私泄露是将开发人员服务器或广告服务器发送元数据，位置信息和个人身份信息的应用程序数量过多的最严重问题。该报告呼吁企业执行更严格的移动设备管理程序，以保护用户和网络资产。

IT管理员说：“应该采用严格的MDM政策并教育员工了解应用程序的安全性，以避免任何形式的  数据  丢失或安全漏洞。”管理员需要采取控制允许安装在设备上的应用程序类型，并且需要监视通过公司网络的应用程序流量并执行策略。

当涉及到四分之一的监控2000万Android应用程序交易时，研究报告说，0.3％的数据导致一些第三方私人数据可用。几维安全表示，其中58％的Android交易泄漏与手机的国际移动设备身份（IMEI）号码，媒体访问控制地址和国际移动用户身份（IMSI）号码的曝光有关。

“这些数据可以用于跟踪设备并创建有针对性的攻击。在这些情况下，用户数据以明文方式与服务器或广告服务器共享。

Android交易泄漏的另一个很高比例（39.3％）与用户的位置相关，包括精确的纬度和经度坐标。丢失的数据不太重要，揭示了Android用户的个人身份信息，可以让第三方访问用户的手机号码和电子邮件地址。

说到iOS应用程序时，iPhone和iPad在安全风险方面不是灵丹妙药。事实上，通过头发，iOS应用程序会显示比Android对手更多的私人数据。但是，iOS放弃的数据类型并不严重。

根据三个月的iOS帐户2600万的样本量，0.5％的用户共享隐私相关信息。

大部分数据是72.3％，是iOS设备元数据。另有27％的iOS数据是位置数据。在iOS设备上泄露的大约0.2％的数据是个人身份信息。在发送隐私相关信息的所有iOS交易中，有5％是恶意感染。

大的外包是，无论移动操作系统如何，泄漏的数据都可以用于更复杂的攻击。几维安全断言，个人信息加上位置数据可以很容易地用于精心制作的网络钓鱼攻击。

“因为像MAC，GSM IMEI，IMSI和UDID这样的硬件标识是全球唯一的，并且在设备的整个生命周期内不会改变，所以这样的ID的集合允许跟踪和物理设备关联。这些标识符可以被一系列攻击所利用，“报告中写道。

攻击可能包括GSM空中接口攻击，黑客装备目标的IMEI可以执行远程SMS拒绝服务攻击或远程SIM卡生根。

“在这个全球时代，任何人的确切位置是非常有价值的，在这个时代，大量的间谍和欺骗已经完成; 这些信息可能导致大规模的妥协和/或有针对性的攻击。写道：电话号码和电子邮件地址是达到任何个人的最快方法，可以用于垃圾邮件和网络钓鱼攻击。“

在引用IBM和Ponemon研究所的一项研究报告中指出，40％的企业不会扫描内部开发的应用程序来实现安全漏洞。这些内部开发商中有百分之五十没有任何资金用于安全漏洞测试。