高危預警！移動設備安全面臨的5大新型威脅

背景概述

十年前，移動惡意軟體還被認為是一種新的可怕的威脅。許多移動設備用戶甚至心存僥倖地認為自己可以免遭這種威脅侵害。但是根據邁克菲實驗室（McAfee Labs）的研究數據顯示，僅在今年第一季度就發現了150萬起新的移動惡意軟體事件，截至目前共發生了超過1600萬起移動惡意軟體事件。

如今，移動設備正在面臨越來越嚴峻的攻擊趨勢——沒有人可以幸免於難！Dimensional Research的調查結果顯示，20%的受訪企業表示，他們的移動設備遭到了破壞。1/4的受訪者甚至不知道自己是否經歷過攻擊。幾乎全部（94%）的受訪者預計稱，移動攻擊的頻率將會增加，79%的受訪者認為保護移動設備安全的工作將變得更加艱難。

Check Point移動威脅研究員丹尼爾·帕東（Daniel Padon）表示：

人們現在越來越重視一些潛在的威脅，確實，國家級惡意軟體以及那些可以影響數百萬設備的大型惡意病毒（如Gooligan和Hummingbad等）僅僅是冰山一角。

雖然，蘋果和安卓在創建更安全、強大的操作系統方面取得了長足的進步，但是惡意軟體也在不斷推出新的、更具欺騙性的惡意軟體。此外，安全性仍未成為應用程序設計的首要任務，一些應用程序允許用戶在未經加密的情況下傳輸隱私數據或是使用弱密碼。

將這些不足和移動設備以及BYOD策略在辦公場合逐漸普及的現象結合，是的，你已經成為企業移動攻擊的完美獵物。

據Forrester的年度安全調查顯示，如今有近一半的信息工作者正在使用自己的筆記本電腦進行辦公；68%的使用自己的智能手機以及69%的使用自己的平板電腦進行辦公。Forrester高級分析師Chris Sherman說：

很顯然，如此一來的安全風險很高，尤其是當你利用這些設備查看公司數據（如客戶信息、知識產權、合同、競爭性數據和發票等）時，更不用說用這些私人設備訪問公司網路的風險了。

5大移動安全威脅

移動威脅研究人員確定了以下5類移動安全風險，可能會對公司業務造成無法挽回的影響：

1. 持久的、企業級間諜軟體

員工的移動設備可謂不離身，隨時都在使用。在辦公室當然要連接企業網路，再激活個語音和GPS追蹤，好了，留給攻擊者可乘之機了。現在，國家級攻擊者正在試圖通過間諜軟體感染移動設備，而這種方式在iOS和Android設備上已經證明是可用的。

去年8月出現的Pegasus就是這樣一款智能手機間諜軟體，它是由以色列監控公司NSO Group開發的，被認為是目前為止最危險的間諜軟體之一。其功能包括：記錄鍵盤、捕獲截圖、捕獲實時音頻、通過簡訊遠程控制這款惡意軟體、傳送來自常用應用程序（包括WhatsApp、Skype、Facebook、Twitter、Viber和Kakao）的數據滲漏、滲漏瀏覽器歷史、滲漏來自安卓Native Email客戶端的電子郵件、聯繫人和簡訊等。

2016年8月，Pegasus間諜軟體對iPhone設備實施了攻擊，它能夠劫持任何iPad或iPhone設備，來收集關於受害者的數據，並對受害者進行監視。此外，研究人員還發現Pegasus正是利用3個當時未被發現的iOS系統「0day」漏洞實施了此次間諜活動，破壞了蘋果公司強大的安全環境。之後蘋果在其9.3.5補丁中迅速修復了所有三個Trident iOS漏洞。

到2017年4月，該惡意軟體開發者捲土重來，帶來了用於Android設備的Pegasus間諜軟體版本。它可以偽裝成正常的應用程序下載，同時秘密地獲得設備的root訪問許可權，以便對用戶進行監視活動。此後，Google加強了其安全措施，包括Play Store中的Play Protect安全性。

Shier表示：

如果你是一個國家級黑客，想要入侵一家企業，有一種可能的路徑就是入侵可以進入這家企業的移動設備。現在還有很多企業允許將移動設備和其他更具價值的設備共存於企業網路中。如此安全，引人擔憂！

2. 移動殭屍網路

萬物互聯時代，殭屍網路正在經歷一次重大的進化，從PC向手機等移動設備甚至智能設備蔓延。近年來，移動殭屍網路更是成為移動通信和網路安全的最大威脅。

第一個針對Android設備的移動殭屍網路是一年前曝光的「Viking Horde」，這款病毒能夠執行廣告欺詐，還能進行DDoS攻擊、發送垃圾信息等。無論是在已root或是未root的設備上，Viking Horde都會創建一個殭屍網路，用經過代理的IP地址偽裝廣告點擊，這樣攻擊者就能賺錢。而在已root的設備上，Viking Horde還能夠傳輸額外的惡意payload，從而遠程執行任意代碼，它還會利用root許可權使得自身難以刪除。

此後，惡意軟體研究人員又陸續確認了大約十多種移動殭屍網路，包括Hummingbad等，該殭屍網路在2016年年中感染了超過1000萬個運行Android操作系統的設備。

Padon表示：

剛開始，它們只要用於廣告目的來獲取收益，但是現在我們可以看到，它們已經可以創建包含數百萬設備的殭屍網路，進而實現各種目的，包括竊取敏感數據等。

雖然移動設備不具備台式機的帶寬和吞吐量，但是殭屍網路的性能不需要如此多的計算能力就能構成足夠的威脅。而且，移動設備通常是全天使用的，這樣也是的殭屍網路操縱者能夠全天候地訪問大量潛在殭屍機器人。

3. 廣告和點擊欺詐

研究人員表示，移動設備中的廣告和點擊欺詐是一個需要加強重視的問題。Shier解釋稱：

通過廣告和點擊惡意軟體破壞移動設備將成為犯罪分子入侵企業內部網路的好方法，他們可能會通過發送釣魚簡訊，讓受害者點擊下載惡意程序的鏈接，然後他們就可以對該移動設備進行控制，竊取訪問內部網路的登陸憑證。

Padon表示，可怕的是，他們開始為廣告惡意軟體，但是他們可以很輕易地將間諜軟體傳播到整個殭屍網路中。如此一來，就有100萬台設備來記錄其用戶的一舉一動。只要輕輕點擊一下應用程序就可以造成毀滅性的後果。

4. 物聯網

McAfee移動惡意軟體研究高級經理Irfan Asrar表示，物聯網惡意軟體尚在起步階段，但這並沒有阻止惡意軟體開發者的步伐。他說：

物聯網惡意軟體家族的數量只有10個，且其中大部分都是相同代碼庫的變體，但是我們發現人們正在地下黑市兜售移動惡意軟體包，這種現象正往物聯網領域移動。

需要注意的是，許多物聯網設備都需要連接到智能手機，並由智能手機對設備進行配置，例如通過手機操控物聯網設備進入建築物或繞過檢查點等。

Asrar表示：

有針對性的攻擊活動只會關注最終結果，而不在意要使用何種手段。那麼現在阻力最小的一個就是物聯網，因為它安全防護措施相對較少，設備製造商們也是剛剛開始遵循一些標準進行生產設計，產品自身安全性較低。

5. 淘汰的應用程序

Asrar表示，員工需要定期檢查他們的移動應用程序的狀態，及時更新或刪除那些Google或Apple商店不再支持的應用。蘋果和安卓操作系統的安全團隊正在努力將一些存在安全威脅的應用程序從自家的商店中移除，但是他們並未透露已刪除的應用列表，也沒有提供任何刪除的理由。Asrar表示，缺乏透明度可能會影響企業，因為通過滲透企業網路可以挖掘更多的敏感數據。

他解釋稱，

如果你有一個Android設備，那麼不可避免地肯定會有一些已經從商店中移除的應用程序，但是它們依然存在於你的設備上，不是你不想移除，只是你沒有得到『它是有害』的消息或移除它的理由。如果你知道它是惡意軟體，一定不會願意將其放在你的設備上。

企業可以做什麼？

Padon說：

想要保護整個移動網路真的很難實現，因為它是分散的。

他建議在每個移動設備上安裝安全軟體。他補充道，

如果你的應用程序下載了一個簡單的更新程序這是一回事，而如果下載更新程序後啟動了惡意活動就是完全不同的另一回事了。這正是蘋果和谷歌商店缺乏管控的地方。

移動研究人員Shier補充道，用戶行為認知和培訓也應該隨著威脅發展而發展，這一切都是為了降低風險，此外，還應該對所有可以訪問企業網路的設備進行加密和可視化處理，以便更有效地處理意外事故。

本文翻譯自：https://www.siemens.com/cert/pool/cert/siemens_security_advisory_ssa-822184.pdf，如若轉載，請註明來源於嘶吼： http://www.4hou.com/info/news/7057.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：