研究者發(fā)現(xiàn)，當(dāng)智能手機(jī)用戶(hù)上傳文件至基于云的服務(wù)后，即便數(shù)據(jù)注定會(huì)只存儲(chǔ)在云上，文件的殘余部分還是經(jīng)常留在了用戶(hù)們的手持設(shè)備上。

文件殘留導(dǎo)致的后果就是黑客可以使用大安卓設(shè)備、蘋(píng)果手機(jī)或者其他智能手機(jī)上殘留的數(shù)據(jù)，偷偷地訪(fǎng)問(wèn)云上的文件或者獲取云賬戶(hù)。

“智能手機(jī)可以本質(zhì)上記住已經(jīng)被刪除的信息，為企業(yè)機(jī)構(gòu)帶來(lái)巨大額風(fēng)險(xiǎn)，智能手機(jī)使企業(yè)及雇員清楚明白地使用個(gè)人設(shè)備用于與工作相關(guān)的計(jì)算”，云加密軟件制造商CipherCloud創(chuàng)始人兼CEO Pravin Kothari說(shuō)道。

智能手機(jī)上的殘留數(shù)據(jù)痕跡不是供外行使用的，Kothari強(qiáng)調(diào)，但這些個(gè)人信息可以在類(lèi)似于現(xiàn)代的垃圾箱潛水設(shè)備上查看到。

格拉斯哥大學(xué)的研究人員運(yùn)作了大量不同測(cè)試以得到最終結(jié)論，測(cè)試的手機(jī)型號(hào)包括安卓2.1版本的HTC渴望系列，以及運(yùn)行iOS3版本的蘋(píng)果iPhone3S。此外，研究人員還測(cè)試了基于云的文件存儲(chǔ)系統(tǒng)Box、Dropbox和SugarSync。

研究人員首先對(duì)被測(cè)試的手機(jī)進(jìn)行重新調(diào)整歸零，然后將20項(xiàng)文件安裝至手機(jī)上，其中包含圖像、文檔、PDF文件和音樂(lè)文件等。然后，研究人員不斷地操控手機(jī)，不是突然關(guān)機(jī)，就是緩存應(yīng)用程序，或者兩項(xiàng)都做。作為某種控制手段，有些手機(jī)被保持在活躍狀態(tài)，不允許任何緩存。最后，研究人員把手機(jī)存儲(chǔ)內(nèi)容復(fù)制到U盤(pán)中，將手機(jī)“數(shù)據(jù)轉(zhuǎn)儲(chǔ)”，方便他們進(jìn)行下一步的分析。

研究人員發(fā)現(xiàn)，在文件已經(jīng)上傳到云服務(wù)后，手機(jī)上依然留存了大量的元數(shù)據(jù)。例如，用戶(hù)的郵件地址和執(zhí)行的操作記錄即便已經(jīng)上傳到云上，依然可以在手機(jī)上看到。研究人員稱(chēng)他們能輕易地將不同的元數(shù)據(jù)組合在一起，用以獲取存儲(chǔ)在Box云上的文件的URL地址。他們還發(fā)現(xiàn)所有注明了“離線(xiàn)訪(fǎng)問(wèn)”的文件，在安卓手機(jī)和蘋(píng)果設(shè)備上都能被恢復(fù)，即便是某些已經(jīng)刪除了的文件，在安卓設(shè)備下依然可以通過(guò)SD卡追蹤。

在多數(shù)情況下，研究人員發(fā)現(xiàn)如果應(yīng)用已經(jīng)緩存過(guò)，那么恢復(fù)這些文件會(huì)更加困難，除非在iOS設(shè)備上使用Box，只要這種情形下，同樣數(shù)量的文件即使在緩存后依然能夠恢復(fù)。

“智能手機(jī)設(shè)備訪(fǎng)問(wèn)云存儲(chǔ)服務(wù)，可以潛在地獲取存儲(chǔ)在云存儲(chǔ)服務(wù)商的數(shù)據(jù)的查看代理權(quán)”，研究總結(jié)到。研究還補(bǔ)充，訪(fǎng)問(wèn)代理數(shù)據(jù)能導(dǎo)致更多的數(shù)據(jù)暴露。無(wú)法在智能手機(jī)上看到，但可以在用戶(hù)的云存儲(chǔ)賬戶(hù)上看到的文件，是不能恢復(fù)的文件。盡管在某些情況下，一張極小的JPEG圖片，雖然不能在手機(jī)上顯示，但還是可以看到。

研究人員表示，許多不同工具都能用于獲取來(lái)自智能手機(jī)上的數(shù)據(jù)，其中包括來(lái)自以色列私營(yíng)企業(yè)Cellebrite的產(chǎn)品，這家公司生產(chǎn)了便攜式通用手機(jī)取證設(shè)備(UFED)。瑞典科研公司MicroSystemation推出的安卓強(qiáng)行解鎖工具XPY，用于對(duì)數(shù)據(jù)進(jìn)行刪除取證。

與之相應(yīng)的，Box公司一名發(fā)言人指出研究人員使用的是企業(yè)移動(dòng)應(yīng)用(安卓版本1.6.7;蘋(píng)果iOS版本2.7.1)的過(guò)時(shí)版本，兩種版本都已經(jīng)接近1年了。在這兩版本之后，Box已經(jīng)開(kāi)始對(duì)所有供離線(xiàn)使用的已保存文件進(jìn)行加密，現(xiàn)有的安卓應(yīng)用自動(dòng)加密，蘋(píng)果版本則提供可加密的屬性。Box同時(shí)補(bǔ)充到，文件預(yù)覽也同樣進(jìn)行了加密。

研究者坦承需要更多測(cè)試來(lái)確定更新型的設(shè)備、運(yùn)營(yíng)系統(tǒng)和云平臺(tái)到底有多脆弱。

來(lái)自CipherCloud的Kothari稱(chēng)，IT管理人員可以采取一些相應(yīng)措施，幫助在智能手機(jī)上運(yùn)行的企業(yè)數(shù)據(jù)抵御黑客的攻擊。其中一款來(lái)自CipherCloud的加密工具還可以用于增加或替代云服務(wù)提供商提供的其他任何安全措施：數(shù)據(jù)丟失阻止(DLP)與審核監(jiān)測(cè)服務(wù)都可以用于確保雇員不會(huì)在智能手機(jī)上訪(fǎng)問(wèn)敏感信息，同時(shí)確保絕不會(huì)第一時(shí)間獲取在智能手機(jī)上的信息，從而絕不允許黑客稍后恢復(fù)數(shù)據(jù)。