Marble移动安全实验室最近对50000个 Android应用程序进行了分析,其结果不容乐观。一些类似短消息服务(SMS)等的应用程序可以读取地址簿等信息，其足以构成对企业安全的巨大威胁。许多公司认为, Android和iOS等移动平台的核心安全在于保证他们端点安全即可。但这项研究表明：员工下载应用程序，危害不仅在于他们设备上的数据和文件，其设备上的用户名和密码等也能使攻击者对其公司及其他员工构成高度威胁。

一、近三分之一的移动应用程序会访问用户的谷歌账户

一些应用程序自动登录到用户的谷歌帐户、个人和企业的电子邮件、文档等。然后他们可以访问存储在谷歌文档中的文件，并可能造成设备关闭，对企业和用户数据进行曝光或盗窃，或通过这一手段进一步进行网络渗透。这无疑是一个巨大的威胁。

二、17%的应用程序会将IMEI/SIM卡的ID发送至网络服务器

IMEI和SIM卡是用于识别移动设备的独一无二的号码，电信运营商可以通过它们验证您和您的设备。当应用程序获取和发送这些标识符到第三方服务器,他们便可以对您和您的设备进行跟踪。此外，有了这些标识符，罪犯还可以克隆一个设备，并以此接收用户的电话和短信。

三、12%的应用程序读取用户的短信通信信息

如果一个应用程序可以读取移动设备上的短信文本,那么其同样也会得到用户的通讯信息。对于企业员工来说，这意味着一个重要的安全漏洞,因为罪犯可能用它来冒充熟悉的人，或者通过其他渠道更成功的进行钓鱼攻击。如果短信信息被第三方或恶意程序所见，那么其轻易就可以击败由Google、Twitter和许多银行提供的短信的双重认证。

四、9%的应用程序读取用户的电话的通话记录

正如被读取的短息文本,一个应用程序如果能够读取用户的移动电话的通话记录，便可以帮助罪犯开始构建社对特定用户的社会工程学攻击。罪犯将利用现在已知的用户通话和短信服务诱使被联系人信任，并用这种信任对特定的公司发动攻击，获取网络登录和敏感信息等。

(责任编辑：)