仰仗着新的攻击手段或改进后的旧手段,网络罪犯们对移动设备的攻击达到了新高度。
就在十年前,手机恶意软件还被认为是过于超前的、难以实现的威胁。许多移动设备用户甚至认为自己不会遭受这类威胁。时间快进到2017年,仅仅第一季度McAfee实验室就检测到了超过150万起新的移动设备恶意事件,截至目前该实验室已累计检测到了超过1600万起移动设备上的恶意事件。
今天,移动设备正受到越来越猛烈的攻击,没有人能侥幸逃脱。根据Dimensional Research,约20%的受访企业说他们的移动设备已经遭到过渗透。四分之一的受访者甚至不知道他们是否曾受到过了攻击。几乎所有(94%)的受访者同意移动设备攻击的频率将持续增加,79%的受访者则承认维护移动设备的安全正日趋困难。
“人们开始逐渐意识到恶意攻击的潜在威胁,”Check Point的移动设备威胁研究员Daniel Padon说,“真实存在的、国家范围的恶意软件和恶性攻击,结合大规模活动影响到了上百万台设备,我们所熟知的Gooligan或Hummingbad都只是冰山一角。”
虽然苹果和安卓在搭建更安全、更健壮的操作系统方面已经取得了长足的进步,但是恶意攻击者也在持续开发新的、更具欺骗性的恶意软件。更重要的是,在程序设计的过程中,安全仍然不被当做核心问题,有一些应用程序允许用户通过不设防或弱加密方式存储或传输凭证。
Sophos的高级安全顾问,John Shier批评说:“这种情况仍然存在,但是它应该被制止。”
如果你能将这些弱点利用到遍及工作环境的移动设备及BYOD规定上,那么你就能完美地策划针对企业的移动攻击。
根据Forrester的年度安全调查,近半的信息行业从业者自带笔记本电脑办公,68%的从业者使用自己的智能手机,69%的人则用在工作时携带自己的平板电脑。
Forrester公司高级分析师Chris Sherman分析道:“这其中的风险显然很高,当你看到这些设备上保存的企业数据时你恐怕会更认同这一点,这些数据包括客户信息、知识产权、合同、竞争数据和发票。”不仅仅是数据,这些可以接入企业网络的设备本身也充满隐患。
移动设备威胁研究人员发现了以下五个可能通过移动设备影响业务的新威胁。
1. 长期潜伏的企业级间谍软件
移动设备出现在员工们生活里的方方面面,员工习惯了移动设备不离身。由于移动设备和公司的网络访问、语音激活、GPS定位联系如此密切,攻击者们一直在寻找方法和合适的间谍软件感染移动设备。这类攻击已被证实对iOS和Android设备都有效。
去年8月揭露的Pegasus间谍软件能够窃听iPad或iPhone,从而窃取数据、实施监控。而这只是一个开始。研究人员还发现了三个iOS的零日漏洞,这三个漏洞可以被用来形成攻击链,完全可以毁坏苹果强大的安全环境。苹果很快通过9.3.5补丁修复了这三个iOS 漏洞。
在2017年4月,恶意软件发布者们攻势再起,这一次是Android版本的Pegasus间谍软件,该软件往往伪装成一个正常的应用程序被下载,同时秘密获得设备的root访问权限从而全方位全天候地监视用户。从这个事件起,谷歌开始支持安全方案(比如安卓市场内的Play Protect)。
如果你是一个民族国家主义者,你想渗透一个公司,方法之一就是渗透一个可进入特定机构的移动设备。我们的很多企业仍然允许移动设备和一些具有更高的价值的其他设备接入同一网络。
2. 移动僵尸网络
黑客可以通过新式恶意软件迅速把大批的移动设备整合成一个僵尸网络,而不惊动设备的主人。
第一个针对Android设备的移动僵尸网络被称为维京部落,该事件在一年前被披露。维京部落可以在已扎根设备或非扎根设备上建立一个僵尸网络,该网络使用代理IP地址伪装广告点击行为,从而为攻击者创造收入。自从维京部落被揭露时起,恶意软件研究人员已经确定了十几个更多的移动僵尸网络,其中Hummingbad曾在2016年中感染了超过1000万的Android操作系统。用户的个人信息被兜售,并且用户在不知情的情况下设备进行了广告点击,从而产生了虚假广告收入。
起初,我们发现移动设备上的僵尸网络仅仅被用于赚取广告收入,而现在我们发现,随着恶意软件通过感染的设备大开后门,数以百万计的设备已经被僵尸网络扎根,这些僵尸网络可能被用于任何目的,包括窃取敏感数据。
由于移动设备没有台式机的带宽和计算吞吐量,僵尸网络功能不需要大量的计算能力就能构成威胁。更重要的是,移动设备通常全天开启,这让僵尸网络所有者可以一周七天、每天二十四小时地寻找大量的潜在僵尸机器人。
3. 广告和点击欺诈
研究人员表示,移动设备广告和点击欺诈是一个日益严重的问题。Shier表示,通过广告和点击恶意软件渗透移动设备将是入侵企业内部网络的理想方式,具体方法可以是发送短信进行网络钓鱼,让别人点击一个链接导致下载恶意程序,之后恶意软件就潜入并操纵手机,它们可以窃取凭证或访问内部网络。”
Padon则表示,更可怕的是“这些恶意软件最初可能只是广告软件,但是一旦需要,它们可以轻而易举地监控整个僵尸网络。于是会有1000万设备记录他们的主人的一举一动。而这种毁灭性的灾难可能仅仅开始于点击一个应用。”
4. 物联网
物联网恶意软件仍然处于起步阶段,但是这并没有阻止恶意软件作者尝试成为首批吃螃蟹的人。
McAfee移动设备恶意软件研究的高级管理人员Irfan Asrar表示,现有的物联网恶意软件家族只有10个,并且它们中的大多数只是同一代码基础的不同变化。但是我们注意到,网络黑市里已经开始兜售手机恶意软件并且试图攻入物联网领域。很多物联网设备可以被智能手机等设备连接和配置,比如进入建筑或通过检查点时的移动设备口令。
Asrar说:“就针对性攻击而言,它们往往关注攻入某个特定地点而不在乎使用哪种方式,这就意味着这些攻击会选用阻力最小的攻击途径。现如今这种途径就是物联网。物联网设备的安全措施很少,而设备制造商现在才勉强开始遵循一些标准。”
5. 废弃的应用
Asrar说,员工需要定期检查他们的移动应用程序的状态,然后更新它们或删除那些谷歌或苹果商店不再支持的应用。两个操作系统的安全团队都在默不作声地从应用商店里下架应用,并且下架速度日益增长,但是他们没有透露被下架的应用程序的列表,也不提供下架应用的原因,具体原因可能包括恶意软件因素、侵犯版权问题、应用被发现泄漏数据给第三方应用等。这种透明度的缺乏可能会影响到企业,这会导致更多的敏感数据处于网络被渗透的危险中。
他指出:“尤其是如果你有一个Android设备,你的设备里总是有几个已经从应用商店里下架的应用,而你也很可能早就不想要这些应用了。”
企业能做些什么?
Padon说:“要保护企业的整个移动网络真的很难,因为它太分散了。”
他建议每个移动设备安装安全软件,并补充说:“如果你玩的Candy Crush仅仅安装了一个更新,这不是什么大事,但是如果它下载了更新,然后启动了一个恶意行为,这可就不妙了。这正是谷歌和苹果缺乏管控的地方。”
移动设备研究人员表示,应当将移动威胁加入到用户行为意识和培训工作中。Shier补充说,应当对能访问网络的所有设备保证加密和可见,而“这都是为了降低风险”。
相关阅读
2017年Q2中国手机安全状况报告(全文)
访谈|一家专注移动安全整体解决方案的公司
