本周美国政府问责局(Government Accountability Office，GAO)向美国国会提交了关于移动设备安全状态的报告，报告的结论是：当涉及安全性时，大多数移动设备都是等待被攻击的目标。

　　移动设备缺乏安全性，并且它们已经成为网络攻击者的目标，可见，当前移动设备面临着严峻的态势。GAO指出，在不到一年的时间内，针对移动设备的恶意软件变体数量已经从1.4万上升到4万，或者说185%的增长。

　 　“移动设备面临着各种威胁，攻击者往往利用这些设备中很多常见的漏洞来发动攻击。这些漏洞可能是技术控制不足的结果，也可能源自消费者糟糕的安全做 法，”GAO指出，“私有企业和相关联邦机构已经采取措施来提高移动设备的安全性，包括为消费者提供某些安全控制以供他们使用，以及向消费者推荐移动安全 最佳做法。然而，安全控制很少真正被部署到移动设备上，并且，我们也不清楚消费者是否意识到在其设备上启用安全控制以及部署最佳安全做法的重要性。”

　　GAO报告中列出了所有移动平台都存在的最常见问题，并且提供了一些解决方法：

　 　•移动设备往往没有启用密码。移动设备没有设置密码来验证用户以及控制对存储在设备上数据的访问。很多设备能够支持密码、个人识别码(PIN)或者身份 验证式的屏幕解锁，一些移动设备还包含一个生物识别读卡器，可以扫描指纹来验证身份。然而，根据报告指出，消费者很少使用这些验证机制。此外，即使用户使 用密码或者PIN来验证身份，他们往往会选择很容易被破解的密码，例如1234或者0000。如果没有使用密码或PIN来锁定设备，被盗或丢失手机上的信 息可能被未经授权用户查看。

　　•当在移动设备上进行敏感交易时，并没有总是使用双因素身份验证。根据研究显示，在使用移动设备进行敏感交 易时，消费者通常使用静态密码，而非双因素身份验证。使用静态密码进行身份验证存在安全缺陷：密码可能被猜出、忘记、写下来或者丢失，甚至窃听。与传统的 密码或者PIN相比，双因素身份验证能够提供更高水平的安全性，这种安全性对于敏感交易非常重要。双因素身份验证指的是用户需要使用至少两种不同的“因 素”—你知道的东西、你拥有的东西或者你本身，来进行身份验证。在某些双因素身份验证中，移动设备可以作为第二个因素。移动设备可以产生代码，或者代码可 以通过短信发送到手机。如果没有双因素身份验证，未经授权用户可能获取移动设备中的敏感信息，并滥用移动设备。