不要害怕1337次移动网络漏洞攻击，一个大的企业IT安全威胁：网络钓鱼

移动安全专家乔治·魏德曼周四在伦敦举行的AppSec欧盟会议上表示，AppSec EU IT管​​理员应该专注于网络安全的基础，而不是担心复杂的国家赞助的零日攻击。

移动安全测试公司Shevirah的创始人兼首席技术官Weidman六年前在行业中崭露头角，与黑帽人群混在一起，精英安全研究人员试图通过异国情调的攻击来超越对方，并在基于攻击的攻击中瞧不起他们的鼻子。网络钓鱼电子邮件和链接。

自从她开始帮助企业客户测试他们的移动设备管理和其他技术以来，Weidman意识到这是导致绝大多数问题的简单因素。

不要害怕一个国家的高级政府黑客滥用前所未闻的漏洞，你应该留意阻止网络钓鱼链接，狡猾的应用程序以及阻止从手持设备通过蓝牙泄漏文件的防御措施。这些更有可能。

“它正在修补或被钓鱼，”Weidman 在她的主题演讲后告诉The Register。“这不是民族国家在零日的时候花上帝知道的。我们还没有得到正确的基础知识。”

企业在其工作人员使用的移动设备中寻找剥削迹象的企业经常寻找Cydia，这是苹果App Store中用于越狱iOS iThings的替代品。违反企业安全策略的越狱设备可能是一个问题，但Cydia的存在是不够的。数据窃取应用程序更具威胁性。

同样，Weidman表示员工应接受培训，警惕移动网络钓鱼攻击，这种攻击可以通过多种通信渠道和电子邮件来打击设备。

控件在那里，所以使用它们

在她的演讲中，Weidman运行了市场上可用的企业级安全控制 - 例如移动威胁防御和移动应用程序管理 - 同时提供了他们如何在攻​​击中失败的示例。

Weidman在世界各地的场馆提供或进行了培训，包括NSA，West Point和Black Hat安全会议。她获得了DARPA网络快速通道奖，以继续她在移动设备安全方面的工作，最终发布了开源智能手机Pentest框架（SPF）。

这些天，她正在开发用于测试目的的概念验证iOS和Android漏洞。Weidman在她的演讲中说，Android是如此分散，以至于难以开发可靠的漏洞。

私下里，在她的谈话之后，Weidman称赞谷歌通过其零度计划和其他渠道开放其移动开发研究。®