报告显示：供应链不安全 移动威胁被低估

根据佐治亚理工学院就新兴威胁发布的一份报告，由于嵌入式系统中的电子组件以及软件中的恶意代码所带来的潜在危险，全球供应链已经成为“主要的忧虑”。

该报告在该大学的2012年网络安全峰会上发布，概述了那些需要由研究人员解决的新兴安全威胁。供应链的保障受到许多问题阻碍，包括复杂的全球化经济和司法问题、难于监控和控制各种组件的制造过程，以及能够毫不费力地隐藏在嵌入式系统中的改动。

根据佐治亚理工学院的“2013年新兴网络威胁报告”，当前通过供应链来发现任何攻击的策略大多数将会失败。一些公司正在对设备实施随机性测试，其目的是侦测仿造的硬件或是定位检查是否存在嵌入的恶意软件。“发现改动是一项艰难的、耗时的过程”，该报告说： “为数不多的公司开始使用更加偏执的方法，他们根本不信任供应链。” 该报告表示佐治亚理工学院的研究人员正在考虑更为积极主动的策略。他们正在想办法开发以测试信息技术系统中的基础组件，来侦测任何改动。

去年美国国会报告警告到电信提供商华为和中兴不能信任，供应链的安全问题到了非解决不可的地步。国会报告“强烈建议”企业不要考虑和这个来自中国的电信巨人做生意。在最近一个关于云安全问题的大会上，华为的CSO David Andy Purdy表示他的公司承诺与美国政府合作，并且补充说在其设备中的数百个组件是来自美国本土的厂商。

移动电子生态系统保持设备安全

与此同时，该报告认为强大和多样化的移动电子生态系统让移动设备相对安全。该报告表示：人们已经意识到由于移动恶意软件以及其它针对智能手机、平板电脑和设备的攻击所造成的威胁，而且受到监管的应用商店、以及能够将恶意的应用从设备上删让利用大量设备的漏洞更为困难。

该报告强调了恶意安卓应用的增长是一个值得关注的领域。这个问题在美国不算太大的问题，但是在中国和俄罗斯恶意软件感染率高达40%。该报告谈到运营商和厂家很少打补丁造成找个严重问题，电子钱包的发展很可能吸引到网络罪犯们的注意。

但是该报告发现对于攻击者来说，依靠短信木马以及其它基于消息的攻击(它们从移动设备的额外使用付费中获取利润的)，从入侵的设备上攫取利益一直不容易。“移动设备无处不在意味着安全研究人员以及网络罪犯们会同样地继续测试其平台的安全性，我们可能会看到来从移动设备上获取利益的新攻击和新方法。”