如今大多企業員工幾乎每天都需要用到移動端的某些應用來完成相關工作,但是一旦惡意攻擊者盯上了你手機上的某個應用,那么設備遭受攻擊所帶來的影響可能就是連鎖式的。
一、五大危害企業的移動端威脅
Lookout產品總監David Richardson和他的團隊研究總結出五大移動端惡意軟件家族,冒充真正的企業應用,引誘員工下載惡意軟件。研究顯示,這五個活躍的移動惡意軟件家族通常通過竊取合法應用的名稱和包名稱來模擬一些企業應用,例如思科的商務電子郵件應用、ADP、Dropbox、FedEx Mobile、Zendesk、VMware的Horizon Client、Blackboard的Mobile Learn等等。
1. Shuanet
Shuanet能夠將其自身自動安裝在設備的系統分區上,獲得設備root權限,達到進一步安裝其它應用的目的。這些應用程序可能是惡意的也可能是良性的,推送至手機,提高惡意軟件的下載幾率。Shuanet可能也會向設備推送各種小廣告。
企業將面臨的風險
被root設備的安全狀態已經發生改變。很多人會利用root權限對設備進行自定義設置,但是他們往往都不會去做安全性的合理配置,可能也不會進行定期的軟件更新。另外,Shuanet這樣的惡意軟件會在系統分區中自動安裝,即使恢復出廠設置也難以去除。最后,安裝應用的惡意軟件可能會將更多的惡意應用程序植入該設備,使設備及數據暴露在更高的風險中。
受害應用程序舉例:ADP Mobile Solutions、CamCard Free、Cisco Business Class Email(BCE)、Duo Mobile、Google Authenticator、VMWare Horizon Client、Zendesk、Okta Verify。
2. AndroRAT
AndroRAT開發初衷是完成一個大學研究項目——創建一個“遠程管理工具”,允許第三方控制某設備并從麥克風收集聯系人、通話記錄、短信、設備位置和音頻等信息。但是該工具目前被一些不法份子惡意利用。
企業將面臨的風險
隱藏的遠程訪問軟件能夠幫助攻擊者輕易地從移動設備獲取到企業和個人的數據。另外,對某個移動設備的持續性遠程訪問也會幫助攻擊者對感染設備所連接的公司Wi-Fi和VPN展開入侵行動。
受害應用程序舉例:Dropbox、Skype、Business Calendar
3. UnsafeControl
UnsafeControl能夠收集聯系信息并將其下載到第三方服務器,還能夠對聯系人列表發送垃圾郵件或向其命令和控制(CNC)服務器指定的電話號碼發送短信。消息內容也由CNC控制。
企業將面臨的風險
像UnsafeControl這樣的惡意軟件能夠竊取聯系人信息,這對很多企業來說都屬于敏感信息。比如,銷售總裁或副總設備上的聯系人信息就是一個公司極大的競爭優勢與虛擬財富。
受害應用程序舉例:FedEx Mobile、Google Keep、遠程VNC Pro、Sky Drive、PocketCloud、Skype
4. PJApps
PJApps可能會收集并泄露受害者的電話號碼、移動設備的唯一標識符(IMEI)及位置。為了擴大非法盈利范圍,它也可能會向一些優質的短信號碼發送釣魚信息。另外, PJApps也能夠進一步下載應用程序到相應設備。
企業將面臨的風險
像PJApps這樣的惡意軟件通常利用其功能來獲取收益,但同時也具有一定技術相關性,例如手機位置信息帶來的威脅,尤其是針對高管們的移動設備。這些信息可能關乎企業的商業計劃。該惡意軟件將其它應用程序下載至設備的功能其實也為新型惡意軟件進入設備提供了通關密語。
受害應用程序舉例:CamScanner
5. Ooqqxx
Ooqqxx實際是一個廣告網絡,將廣告推送至通知欄,發送彈窗廣告,在主屏幕上創建快捷方式,未經許可下載大型文件。
企業將面臨的風險
這些廣告會往往會打斷員工的正常工作,員工因此可能也會向IT部門提出改進意見,這些行為都在一定程度上影響了公司員工的工作效率。Time is money!
受害應用程序舉例:Mobile從Blackboard、Evernote、PocketCloud、Remote Decktop、Adobe Reader、aCalendar
二、從開發者角度談移動端威脅的安全防御措施
每個人的手機、iPad等智能設備上大概都有26-55個應用程序,通常包括以下這些類型:娛樂和游戲、銀行app、一些社交媒體app、瘦身塑形的軟件以及網購應用等。
如果只是普通的游戲軟件遭到攻擊,你也許不會在意。但事實上,很多應用其實都收集了很多你不想讓別人看到的個人信息,比如你的位置、銀行卡信息和某些照片。
從開發的角度來看,你必須通過某些協議確保應用程序的代碼不被黑客入侵。Codal首席執行官Keval Baxi主要從開發者的角度給出了一些保護手機應用安全的干貨建議。
1. 使用基于令牌的身份驗證方式訪問API
很多移動應用程序都沒有設計恰當的身份驗證方法,這種行為的本質其實就是數據泄露。“令牌”是指一些本身不帶任何意義的數據,但令牌系統準確率高,它是保護移動端應用程序的關鍵方式。基于令牌的身份驗證需要驗證每個向服務器發送的API請求的真實性,只有通過驗證程序才會對請求作出響應。
2. 使用Android KeyChain和iCloud Keychain存儲敏感信息
移動設備上的keychain是一個安全的存儲容器,能夠保存所有應用程序的登錄名、用戶名和密碼等數據。建議開發人員充分利用操作系統的這一功能進行數據存儲,而不是通過p-list文件或NSUserDefaults來存儲。使用keychain功能也可以為用戶帶來便利,不需要每次登錄都輸入用戶名密碼。
3. 在本地數據庫中保存用戶數據時對數據進行加密
加密是將數據和明文轉換為“密碼”的過程,也就是密文。要想讀取密文就必須經過解密或使用密鑰的過程,因此加密數據保護最有效的方法之一。
4. 登錄應用程序時選擇指紋鎖而不是用戶名和密碼
蘋果公司研究人員表示,指紋匹配的概率是1:50000,而四位數密碼的匹配概率是1:10000。因此指紋登錄比使用傳統密碼的方式更加安全。指紋是每個用戶獨特的生命體征,而密碼不是。在iOS版本8之前,蘋果公司為開發人員開通了Touch ID的權限,API能夠在SDK(軟件開發工具包)中使用。
5. 可疑活動的實時通知
當用戶在新的設備或新的未知位置登錄某應用程序時,可以通過電子郵件或推送通知向用戶發送登錄異常的消息,完成驗證過程。很少會有應用程序達到這一要求,而Gmail是其中之一。登錄驗證通知能夠讓用戶獲知他的賬戶是否遭到了非法入侵。
6. 始終使用https(SSL)
將SSL安裝到服務器后,開發人員就能夠使用HTTPS協議,該協議安全性高,有助于防止入侵者干擾應用程序及其服務器之間的數據傳輸。
7. 提防逆向工程
開發人員對應用程序進行逆向工程、把數據和源代碼移走也不是不可能發生的事。為了防止這種情況的出現,你可以通過更改預處理器中重要類別和方法的名稱來迷惑黑客。第二個辦法則是在項目完成后對符號表進行拆分。
京公網安備 11010502049343號