仰仗著新的攻擊手段或改進后的舊手段,網絡罪犯們對移動設備的攻擊達到了新高度。
就在十年前,手機惡意軟件還被認為是過于超前的、難以實現的威脅。許多移動設備用戶甚至認為自己不會遭受這類威脅。時間快進到2017年,僅僅第一季度McAfee實驗室就檢測到了超過150萬起新的移動設備惡意事件,截至目前該實驗室已累計檢測到了超過1600萬起移動設備上的惡意事件。
今天,移動設備正受到越來越猛烈的攻擊,沒有人能僥幸逃脫。根據Dimensional Research,約20%的受訪企業說他們的移動設備已經遭到過滲透。四分之一的受訪者甚至不知道他們是否曾受到過了攻擊。幾乎所有(94%)的受訪者同意移動設備攻擊的頻率將持續增加,79%的受訪者則承認維護移動設備的安全正日趨困難。
“人們開始逐漸意識到惡意攻擊的潛在威脅,”Check Point的移動設備威脅研究員Daniel Padon說,“真實存在的、國家范圍的惡意軟件和惡性攻擊,結合大規模活動影響到了上百萬臺設備,我們所熟知的Gooligan或Hummingbad都只是冰山一角。”
雖然蘋果和安卓在搭建更安全、更健壯的操作系統方面已經取得了長足的進步,但是惡意攻擊者也在持續開發新的、更具欺騙性的惡意軟件。更重要的是,在程序設計的過程中,安全仍然不被當做核心問題,有一些應用程序允許用戶通過不設防或弱加密方式存儲或傳輸憑證。
Sophos的高級安全顧問,John Shier批評說:“這種情況仍然存在,但是它應該被制止。”
如果你能將這些弱點利用到遍及工作環境的移動設備及BYOD規定上,那么你就能完美地策劃針對企業的移動攻擊。
根據Forrester的年度安全調查,近半的信息行業從業者自帶筆記本電腦辦公,68%的從業者使用自己的智能手機,69%的人則用在工作時攜帶自己的平板電腦。
Forrester公司高級分析師Chris Sherman分析道:“這其中的風險顯然很高,當你看到這些設備上保存的企業數據時你恐怕會更認同這一點,這些數據包括客戶信息、知識產權、合同、競爭數據和發票。”不僅僅是數據,這些可以接入企業網絡的設備本身也充滿隱患。
移動設備威脅研究人員發現了以下五個可能通過移動設備影響業務的新威脅。
1. 長期潛伏的企業級間諜軟件
移動設備出現在員工們生活里的方方面面,員工習慣了移動設備不離身。由于移動設備和公司的網絡訪問、語音激活、GPS定位聯系如此密切,攻擊者們一直在尋找方法和合適的間諜軟件感染移動設備。這類攻擊已被證實對iOS和Android設備都有效。
去年8月揭露的Pegasus間諜軟件能夠竊聽iPad或iPhone,從而竊取數據、實施監控。而這只是一個開始。研究人員還發現了三個iOS的零日漏洞,這三個漏洞可以被用來形成攻擊鏈,完全可以毀壞蘋果強大的安全環境。蘋果很快通過9.3.5補丁修復了這三個iOS 漏洞。
在2017年4月,惡意軟件發布者們攻勢再起,這一次是Android版本的Pegasus間諜軟件,該軟件往往偽裝成一個正常的應用程序被下載,同時秘密獲得設備的root訪問權限從而全方位全天候地監視用戶。從這個事件起,谷歌開始支持安全方案(比如安卓市場內的Play Protect)。
如果你是一個民族國家主義者,你想滲透一個公司,方法之一就是滲透一個可進入特定機構的移動設備。我們的很多企業仍然允許移動設備和一些具有更高的價值的其他設備接入同一網絡。
2. 移動僵尸網絡
黑客可以通過新式惡意軟件迅速把大批的移動設備整合成一個僵尸網絡,而不驚動設備的主人。
第一個針對Android設備的移動僵尸網絡被稱為維京部落,該事件在一年前被披露。維京部落可以在已扎根設備或非扎根設備上建立一個僵尸網絡,該網絡使用代理IP地址偽裝廣告點擊行為,從而為攻擊者創造收入。自從維京部落被揭露時起,惡意軟件研究人員已經確定了十幾個更多的移動僵尸網絡,其中Hummingbad曾在2016年中感染了超過1000萬的Android操作系統。用戶的個人信息被兜售,并且用戶在不知情的情況下設備進行了廣告點擊,從而產生了虛假廣告收入。
起初,我們發現移動設備上的僵尸網絡僅僅被用于賺取廣告收入,而現在我們發現,隨著惡意軟件通過感染的設備大開后門,數以百萬計的設備已經被僵尸網絡扎根,這些僵尸網絡可能被用于任何目的,包括竊取敏感數據。
由于移動設備沒有臺式機的帶寬和計算吞吐量,僵尸網絡功能不需要大量的計算能力就能構成威脅。更重要的是,移動設備通常全天開啟,這讓僵尸網絡所有者可以一周七天、每天二十四小時地尋找大量的潛在僵尸機器人。
3. 廣告和點擊欺詐
研究人員表示,移動設備廣告和點擊欺詐是一個日益嚴重的問題。Shier表示,通過廣告和點擊惡意軟件滲透移動設備將是入侵企業內部網絡的理想方式,具體方法可以是發送短信進行網絡釣魚,讓別人點擊一個鏈接導致下載惡意程序,之后惡意軟件就潛入并操縱手機,它們可以竊取憑證或訪問內部網絡。”
Padon則表示,更可怕的是“這些惡意軟件最初可能只是廣告軟件,但是一旦需要,它們可以輕而易舉地監控整個僵尸網絡。于是會有1000萬設備記錄他們的主人的一舉一動。而這種毀滅性的災難可能僅僅開始于點擊一個應用。”
4. 物聯網
物聯網惡意軟件仍然處于起步階段,但是這并沒有阻止惡意軟件作者嘗試成為首批吃螃蟹的人。
McAfee移動設備惡意軟件研究的高級管理人員Irfan Asrar表示,現有的物聯網惡意軟件家族只有10個,并且它們中的大多數只是同一代碼基礎的不同變化。但是我們注意到,網絡黑市里已經開始兜售手機惡意軟件并且試圖攻入物聯網領域。很多物聯網設備可以被智能手機等設備連接和配置,比如進入建筑或通過檢查點時的移動設備口令。
Asrar說:“就針對性攻擊而言,它們往往關注攻入某個特定地點而不在乎使用哪種方式,這就意味著這些攻擊會選用阻力最小的攻擊途徑。現如今這種途徑就是物聯網。物聯網設備的安全措施很少,而設備制造商現在才勉強開始遵循一些標準。”
5. 廢棄的應用
Asrar說,員工需要定期檢查他們的移動應用程序的狀態,然后更新它們或刪除那些谷歌或蘋果商店不再支持的應用。兩個操作系統的安全團隊都在默不作聲地從應用商店里下架應用,并且下架速度日益增長,但是他們沒有透露被下架的應用程序的列表,也不提供下架應用的原因,具體原因可能包括惡意軟件因素、侵犯版權問題、應用被發現泄漏數據給第三方應用等。這種透明度的缺乏可能會影響到企業,這會導致更多的敏感數據處于網絡被滲透的危險中。
他指出:“尤其是如果你有一個Android設備,你的設備里總是有幾個已經從應用商店里下架的應用,而你也很可能早就不想要這些應用了。”
企業能做些什么?
Padon說:“要保護企業的整個移動網絡真的很難,因為它太分散了。”
他建議每個移動設備安裝安全軟件,并補充說:“如果你玩的Candy Crush僅僅安裝了一個更新,這不是什么大事,但是如果它下載了更新,然后啟動了一個惡意行為,這可就不妙了。這正是谷歌和蘋果缺乏管控的地方。”
移動設備研究人員表示,應當將移動威脅加入到用戶行為意識和培訓工作中。Shier補充說,應當對能訪問網絡的所有設備保證加密和可見,而“這都是為了降低風險”。