如今大多企業(yè)員工幾乎每天都需要用到移動端的某些應(yīng)用來完成相關(guān)工作,但是一旦惡意攻擊者盯上了你手機(jī)上的某個應(yīng)用,那么設(shè)備遭受攻擊所帶來的影響可能就是連鎖式的。
一、五大危害企業(yè)的移動端威脅
Lookout產(chǎn)品總監(jiān)David Richardson和他的團(tuán)隊研究總結(jié)出五大移動端惡意軟件家族,冒充真正的企業(yè)應(yīng)用,引誘員工下載惡意軟件。研究顯示,這五個活躍的移動惡意軟件家族通常通過竊取合法應(yīng)用的名稱和包名稱來模擬一些企業(yè)應(yīng)用,例如思科的商務(wù)電子郵件應(yīng)用、ADP、Dropbox、FedEx Mobile、Zendesk、VMware的Horizon Client、Blackboard的Mobile Learn等等。
1. Shuanet
Shuanet能夠?qū)⑵渥陨碜詣影惭b在設(shè)備的系統(tǒng)分區(qū)上,獲得設(shè)備root權(quán)限,達(dá)到進(jìn)一步安裝其它應(yīng)用的目的。這些應(yīng)用程序可能是惡意的也可能是良性的,推送至手機(jī),提高惡意軟件的下載幾率。Shuanet可能也會向設(shè)備推送各種小廣告。
企業(yè)將面臨的風(fēng)險
被root設(shè)備的安全狀態(tài)已經(jīng)發(fā)生改變。很多人會利用root權(quán)限對設(shè)備進(jìn)行自定義設(shè)置,但是他們往往都不會去做安全性的合理配置,可能也不會進(jìn)行定期的軟件更新。另外,Shuanet這樣的惡意軟件會在系統(tǒng)分區(qū)中自動安裝,即使恢復(fù)出廠設(shè)置也難以去除。最后,安裝應(yīng)用的惡意軟件可能會將更多的惡意應(yīng)用程序植入該設(shè)備,使設(shè)備及數(shù)據(jù)暴露在更高的風(fēng)險中。
受害應(yīng)用程序舉例:ADP Mobile Solutions、CamCard Free、Cisco Business Class Email(BCE)、Duo Mobile、Google Authenticator、VMWare Horizon Client、Zendesk、Okta Verify。
2. AndroRAT
AndroRAT開發(fā)初衷是完成一個大學(xué)研究項目——創(chuàng)建一個“遠(yuǎn)程管理工具”,允許第三方控制某設(shè)備并從麥克風(fēng)收集聯(lián)系人、通話記錄、短信、設(shè)備位置和音頻等信息。但是該工具目前被一些不法份子惡意利用。
企業(yè)將面臨的風(fēng)險
隱藏的遠(yuǎn)程訪問軟件能夠幫助攻擊者輕易地從移動設(shè)備獲取到企業(yè)和個人的數(shù)據(jù)。另外,對某個移動設(shè)備的持續(xù)性遠(yuǎn)程訪問也會幫助攻擊者對感染設(shè)備所連接的公司W(wǎng)i-Fi和VPN展開入侵行動。
受害應(yīng)用程序舉例:Dropbox、Skype、Business Calendar
3. UnsafeControl
UnsafeControl能夠收集聯(lián)系信息并將其下載到第三方服務(wù)器,還能夠?qū)β?lián)系人列表發(fā)送垃圾郵件或向其命令和控制(CNC)服務(wù)器指定的電話號碼發(fā)送短信。消息內(nèi)容也由CNC控制。
企業(yè)將面臨的風(fēng)險
像UnsafeControl這樣的惡意軟件能夠竊取聯(lián)系人信息,這對很多企業(yè)來說都屬于敏感信息。比如,銷售總裁或副總設(shè)備上的聯(lián)系人信息就是一個公司極大的競爭優(yōu)勢與虛擬財富。
受害應(yīng)用程序舉例:FedEx Mobile、Google Keep、遠(yuǎn)程VNC Pro、Sky Drive、PocketCloud、Skype
4. PJApps
PJApps可能會收集并泄露受害者的電話號碼、移動設(shè)備的唯一標(biāo)識符(IMEI)及位置。為了擴(kuò)大非法盈利范圍,它也可能會向一些優(yōu)質(zhì)的短信號碼發(fā)送釣魚信息。另外, PJApps也能夠進(jìn)一步下載應(yīng)用程序到相應(yīng)設(shè)備。
企業(yè)將面臨的風(fēng)險
像PJApps這樣的惡意軟件通常利用其功能來獲取收益,但同時也具有一定技術(shù)相關(guān)性,例如手機(jī)位置信息帶來的威脅,尤其是針對高管們的移動設(shè)備。這些信息可能關(guān)乎企業(yè)的商業(yè)計劃。該惡意軟件將其它應(yīng)用程序下載至設(shè)備的功能其實也為新型惡意軟件進(jìn)入設(shè)備提供了通關(guān)密語。
受害應(yīng)用程序舉例:CamScanner
5. Ooqqxx
Ooqqxx實際是一個廣告網(wǎng)絡(luò),將廣告推送至通知欄,發(fā)送彈窗廣告,在主屏幕上創(chuàng)建快捷方式,未經(jīng)許可下載大型文件。
企業(yè)將面臨的風(fēng)險
這些廣告會往往會打斷員工的正常工作,員工因此可能也會向IT部門提出改進(jìn)意見,這些行為都在一定程度上影響了公司員工的工作效率。Time is money!
受害應(yīng)用程序舉例:Mobile從Blackboard、Evernote、PocketCloud、Remote Decktop、Adobe Reader、aCalendar
二、從開發(fā)者角度談移動端威脅的安全防御措施
每個人的手機(jī)、iPad等智能設(shè)備上大概都有26-55個應(yīng)用程序,通常包括以下這些類型:娛樂和游戲、銀行app、一些社交媒體app、瘦身塑形的軟件以及網(wǎng)購應(yīng)用等。
如果只是普通的游戲軟件遭到攻擊,你也許不會在意。但事實上,很多應(yīng)用其實都收集了很多你不想讓別人看到的個人信息,比如你的位置、銀行卡信息和某些照片。
從開發(fā)的角度來看,你必須通過某些協(xié)議確保應(yīng)用程序的代碼不被黑客入侵。Codal首席執(zhí)行官Keval Baxi主要從開發(fā)者的角度給出了一些保護(hù)手機(jī)應(yīng)用安全的干貨建議。
1. 使用基于令牌的身份驗證方式訪問API
很多移動應(yīng)用程序都沒有設(shè)計恰當(dāng)?shù)纳矸蒡炞C方法,這種行為的本質(zhì)其實就是數(shù)據(jù)泄露。“令牌”是指一些本身不帶任何意義的數(shù)據(jù),但令牌系統(tǒng)準(zhǔn)確率高,它是保護(hù)移動端應(yīng)用程序的關(guān)鍵方式。基于令牌的身份驗證需要驗證每個向服務(wù)器發(fā)送的API請求的真實性,只有通過驗證程序才會對請求作出響應(yīng)。
2. 使用Android KeyChain和iCloud Keychain存儲敏感信息
移動設(shè)備上的keychain是一個安全的存儲容器,能夠保存所有應(yīng)用程序的登錄名、用戶名和密碼等數(shù)據(jù)。建議開發(fā)人員充分利用操作系統(tǒng)的這一功能進(jìn)行數(shù)據(jù)存儲,而不是通過p-list文件或NSUserDefaults來存儲。使用keychain功能也可以為用戶帶來便利,不需要每次登錄都輸入用戶名密碼。
3. 在本地數(shù)據(jù)庫中保存用戶數(shù)據(jù)時對數(shù)據(jù)進(jìn)行加密
加密是將數(shù)據(jù)和明文轉(zhuǎn)換為“密碼”的過程,也就是密文。要想讀取密文就必須經(jīng)過解密或使用密鑰的過程,因此加密數(shù)據(jù)保護(hù)最有效的方法之一。
4. 登錄應(yīng)用程序時選擇指紋鎖而不是用戶名和密碼
蘋果公司研究人員表示,指紋匹配的概率是1:50000,而四位數(shù)密碼的匹配概率是1:10000。因此指紋登錄比使用傳統(tǒng)密碼的方式更加安全。指紋是每個用戶獨特的生命體征,而密碼不是。在iOS版本8之前,蘋果公司為開發(fā)人員開通了Touch ID的權(quán)限,API能夠在SDK(軟件開發(fā)工具包)中使用。
5. 可疑活動的實時通知
當(dāng)用戶在新的設(shè)備或新的未知位置登錄某應(yīng)用程序時,可以通過電子郵件或推送通知向用戶發(fā)送登錄異常的消息,完成驗證過程。很少會有應(yīng)用程序達(dá)到這一要求,而Gmail是其中之一。登錄驗證通知能夠讓用戶獲知他的賬戶是否遭到了非法入侵。
6. 始終使用https(SSL)
將SSL安裝到服務(wù)器后,開發(fā)人員就能夠使用HTTPS協(xié)議,該協(xié)議安全性高,有助于防止入侵者干擾應(yīng)用程序及其服務(wù)器之間的數(shù)據(jù)傳輸。
7. 提防逆向工程
開發(fā)人員對應(yīng)用程序進(jìn)行逆向工程、把數(shù)據(jù)和源代碼移走也不是不可能發(fā)生的事。為了防止這種情況的出現(xiàn),你可以通過更改預(yù)處理器中重要類別和方法的名稱來迷惑黑客。第二個辦法則是在項目完成后對符號表進(jìn)行拆分。
| 
