https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

商務人士能否安心擁抱iPhone

2007 / 12 / 18
編輯部
商務人士能否安心擁抱iPhone

商務人士是否適用?
不論是上市前的話題製造,或是6月底上市後神秘的行銷手法,蘋果電腦日前公佈第三季財報,在第三季結算前30小時,iPhone共賣出27萬支。儘管售價貴的令人咋舌,仍有為數不少的蘋果迷趨之若鶩。

通常商務人士與科技玩家是高階手機鎖定的目標客群,然而比較起iPhone與黑苺機或其他針對商務使用的智慧型手機,iPhone是否適合商務人士使用?在企業資安管理的角度上又該注意哪些事呢?

iPhone雖然能開啟郵件附件的Word、Excel檔,目前尚不能編輯;在與Exchange Server的郵件同步、行動上網的傳輸速度等方面的表現,也差強人意。此外,不僅需限用AT&T的門號才能開通使用手機,其操作介面也有過多的限制,例如不能讓使用者隨意更換手機桌布、功能圖示排列位置等,尚有許多實務應用上的強化空間。



iPhone 引發破解熱潮
另一方面,科技玩家們則宣示要突破iPhone上的重重限制。這一連串的破解進程首先由挪威駭客Jon Lech Johanson拔得頭籌,他就是幾年前曾破解DVD防盜版保護措施的DVD Jon。他突破了iPhone必須先開通AT&T的服務才能使用大部份手機功能的限制,讓使用者不需多花35美元的開通費。但透過他的破解程式Phone Activation Server v1.0所啟動的手機,卻不具備通話功能,只能使用iPod聽音樂及連結上Wi-Fi無線網路。

緊接著,在YouTube網站上,有人上傳一段影片,播放出在他iPhone上的自訂鈴聲。另外在IRC聊天室#iPhone中,iPhone系統底層被破解的消息也已傳出。原本被放在下層的功能,如手機通話、郵件、iPod、Safari瀏覽器等圖示已可被拉到上層(如圖1),使用者可任意改變iPhone的介面,代表iPhone底層作業系統的安全認證機制已被破解。

而在駭客們聚集討論破解進度的iPhone Dev Wiki網站,則表示透過他們開發出的工具程式iASign,便可讓iPhone以其他AT&T的SIM卡或Cingular的預付卡啟動。此外,在此Dev Wiki網站,還排定了iPhone破解進度表,從繞過啟動程序、Toolchain的開發、能執行第三方的應用程式,直到最後完全破解iPhone。

但另一方面,駭客也擔心在蘋果電腦後續釋出的iTunes更新版中,會解決這些問題,那麼他們的破解就得重來了。

至截稿前,又有三位安全研究人員發布iPhone版的Safari瀏覽器漏洞,他們同時寫出了概念性攻擊代碼(PoC),透過這個代碼可以連結到惡意網站,或者透過中間人攻擊讓iPhone連結上惡意的無線網路基地台,之後就可竊取該台iPhone的簡訊紀錄、通訊錄、語音郵件等資料。而蘋果電腦必須趕在8月2日前完成修補程式,否則這三人宣稱將在即將到來的Black Hat 2007上公佈此一漏洞與攻擊代碼。



分析師認為iPhone不適用於企業環境
在這一波的iPhone熱潮當中,不只科技玩家一頭栽入,商務人士也頻頻關注能否收發公司郵件與行動上網的傳輸效能。因此,究竟行動化企業是否可開放iPhone進入到企業內網來?成為IT部門主管頭痛的問題。然而研究調查機構Gartner與Forrester的分析師卻都直言iPhone是消費性產品,不適合企業商務人士使用,因為有一些問題尚待克服:

1.郵件同步

在iPhone上不能直接支援Microsoft Exchange或Lotus Notes,因此無法像使用其他高階手機可直接做同步(如圖2)。但也有一群人認為蘋果最終還是將會授權使用ActiveSync,等到能直接同步的時候再來考慮選購iPhone。另外也有人認為就直接套用IMAP協定,但這麼一來會有一些安全上的問題。因為若要對外開啟IMAP服務必須更改防火牆設定,開啟特定通訊埠,但這樣卻可能提高了安全上的風險,甚至也許Port Scanner就在企業網路外偵測。

2.行動上網

在上網方面,目前iPhone提供可連結上公用無線熱點的Wi-Fi無線網路,以及透過EDGE(Enhanced Data rates for GSM Evolution)行動上網。但EDGE系統僅能達到2.75G的傳輸速度,比起其他3.5G的高階手機,可說遜色許多。但蘋果電腦執行長賈伯斯卻回應說,這是評估手機電池耗電的問題、產品尺寸後所做的考量,且EDGE系統的頻寬對多數應用來說應該夠用了。但既然iPhone當初信誓旦旦定位為Web 2.0多媒體娛樂手機,就是要讓使用者利用iPhone頻繁地上傳、下載數位內容,這樣的傳輸速度恐怕只能由消費者的反應來知道究竟是否夠用了。

3.安全性

這是由於iPhone採用OS X作業系統的封閉性,目前iPhone不像其他作業系統的手機,能夠直接安裝手機防火牆軟體或其他資訊安全軟體,來保護不受惡意程式的威脅。加上,瀏覽器Safari的漏洞問題,也一直被拿出來討論。因此,透過iPhone上網、收發郵件時恐怕更容易受到安全威脅的攻擊。

4.資料安全

對商務人士來說,手機所存放的資料、往來郵件等,可能都是商業機密。因此手機遺失所導致的企業資料外洩,是IT管理不得不考慮的風險之一。但iPhone目前無法提供當手機遺失時,遠端對手機做鎖住或毀壞資料的功能。此外,許多高階手機由於記憶體容量大,多半會提供記憶卡插槽,方便使用者做資料備份,這點在iPhone上也還沒有看到。

上述原因都是造成分析師之所以評論iPhone進入企業後,可能對IT管理所產生的衝擊,有意為使用者引進iPhone的企業必須先做好因應之道。


IT廠商看好iPhone商務市場紛推出解決方案
儘管有這些先天上的限制,但許多IT廠商卻也看好企業對iPhone的需求,尤其當企業內部高階主管使用者對IT部門提出需求時,IT部門還是必須找出解決之道。因此廠商們把握時機推出了解決上述問題的產品,例如英國Synchronica就是其中之一。

Synchronica的Mobile Gateway 3.0即為企業解決iPhone與企業郵件伺服器同步的安全問題,他們也是利用微軟的OWA(Outlook Web Access)來讀取Exchange Serve中的信件,再將信透過內建於iPhone中的信件用戶端軟體來傳遞。因此,不需更改任何防火牆設定或安裝任何connector,即能做到與企業郵件伺服器同步。還包括與Lotus Notes、Sun JES等企業郵件伺服器。

無怪乎賈伯斯對於iPhone進軍商務市場信心滿滿,甚至在接受華爾街日報採訪時表示,蘋果電腦計劃將推出針對企業用戶的iPhone服務。



M化企業更應注重安全議題
iPhone儘管現在在美國引發熱烈討論,但在亞太區市場直到2008年才會上市,因此目前蘋果電腦台灣分公司也無法對上述問題或者未來計畫提出評論。儘管目前看起來iPhone不太適合企業引進使用,但許多評論家都認為,iPhone勢必引發其它高階智慧型手機在功能設計上,要做出更符合使用者需求的研發趨勢。

因此當越來越多的行動工作者使用手機、PDA,甚至UMPC穿梭在機場、咖啡店、辦公室的同時,IT部門不能只以使用者對行動裝置的功能需求來選購設備,而必須正視這些行動裝置的安全議題。包括需透過MVPN或SSL VPN來確保與內網的傳輸安全;手持設備上要有資料加密或遠端抹除功能,以避免設備遺失所造成的資料外洩損失;手機防毒或防火牆軟體能否支援該款設備的作業系統等,都是企業必須考量之處。畢竟,先做好安全的規劃,M化才能真正為企業競爭力加分。

iPhone的無按鍵觸控式面板、內建感應器的螢幕畫面、YouTube上拆解iPhone的影片、駭客破解系統的進度等,都引起眾人關注。然而這麼一支結合娛樂性能的智慧型手機,究竟是否適合商務人士使用呢?