Marble移動(dòng)安全實(shí)驗(yàn)室最近對(duì)50000個(gè) Android應(yīng)用程序進(jìn)行了分析,其結(jié)果不容樂(lè)觀。一些類似短消息服務(wù)(SMS)等的應(yīng)用程序可
以讀取地址簿等信息,其足以構(gòu)成對(duì)企業(yè)安全的巨大威脅。許多公司認(rèn)為, Android和iOS等移動(dòng)平臺(tái)的核心安全在于保證他們端點(diǎn)安全即可。但這項(xiàng)研究表明:?jiǎn)T工下載應(yīng)用程序,危害不僅在于他們?cè)O(shè)備上的數(shù)據(jù)和文件,其設(shè)備上的用戶名和密碼等也能使攻擊者對(duì)其公司及其他員工構(gòu)成高度威脅。
一、近三分之一的移動(dòng)應(yīng)用程序會(huì)訪問(wèn)用戶的谷歌賬戶
一些應(yīng)用程序自動(dòng)登錄到用戶的谷歌帳戶、個(gè)人和企業(yè)的電子郵件、文檔等。然后他們可以訪問(wèn)存儲(chǔ)在谷歌文檔中的文件,并可能造成設(shè)備關(guān)閉,對(duì)企業(yè)和用戶數(shù)據(jù)進(jìn)行曝光或盜竊,或通過(guò)這一手段進(jìn)一步進(jìn)行網(wǎng)絡(luò)滲透。這無(wú)疑是一個(gè)巨大的威脅。
二、17%的應(yīng)用程序會(huì)將IMEI/SIM卡的ID發(fā)送至網(wǎng)絡(luò)服務(wù)器
IMEI和SIM卡是用于識(shí)別移動(dòng)設(shè)備的獨(dú)一無(wú)二的號(hào)碼,電信運(yùn)營(yíng)商可以通過(guò)它們驗(yàn)證您和您的設(shè)備。當(dāng)應(yīng)用程序獲取和發(fā)送這些標(biāo)識(shí)符到第三方服務(wù)器,他們便可以對(duì)您和您的設(shè)備進(jìn)行跟蹤。此外,有了這些標(biāo)識(shí)符,罪犯還可以克隆一個(gè)設(shè)備,并以此接收用戶的電話和短信。
三、12%的應(yīng)用程序讀取用戶的短信通信信息
如果一個(gè)應(yīng)用程序可以讀取移動(dòng)設(shè)備上的短信文本,那么其同樣也會(huì)得到用戶的通訊信息。對(duì)于企業(yè)員工來(lái)說(shuō),這意味著一個(gè)重要的安全漏洞,因?yàn)樽锓缚赡苡盟鼇?lái)冒充熟悉的人,或者通過(guò)其他渠道更成功的進(jìn)行釣魚(yú)攻擊。如果短信信息被第三方或惡意程序所見(jiàn),那么其輕易就可以擊敗由Google、Twitter和許多銀行提供的短信的雙重認(rèn)證。
四、9%的應(yīng)用程序讀取用戶的電話的通話記錄
正如被讀取的短息文本,一個(gè)應(yīng)用程序如果能夠讀取用戶的移動(dòng)電話的通話記錄,便可以幫助罪犯開(kāi)始構(gòu)建社對(duì)特定用戶的社會(huì)工程學(xué)攻擊。罪犯將利用現(xiàn)在已知的用戶通話和短信服務(wù)誘使被聯(lián)系人信任,并用這種信任對(duì)特定的公司發(fā)動(dòng)攻擊,獲取網(wǎng)絡(luò)登錄和敏感信息等。
五、9%的應(yīng)用程序讀取用戶的聯(lián)系人數(shù)據(jù)庫(kù)
如果一個(gè)公司的聯(lián)系人數(shù)據(jù)庫(kù)被第三方廣告服務(wù)器連接到互聯(lián)網(wǎng)上,那這將是一個(gè)嚴(yán)重的安全漏洞。因?yàn)樗┞读吮挥糜诎l(fā)送垃圾郵件、進(jìn)行網(wǎng)絡(luò)釣魚(yú)和社會(huì)工程學(xué)攻擊的關(guān)鍵數(shù)據(jù)??此茻o(wú)害的嵌入式應(yīng)用程序,比如游戲和應(yīng)用軟件,可以直接將聯(lián)系人數(shù)據(jù)庫(kù)轉(zhuǎn)移到在互聯(lián)網(wǎng)的服務(wù)器上。
六、6%的應(yīng)用程序會(huì)讀取設(shè)備上的Web瀏覽器歷史
企業(yè)并不希望自己?jiǎn)T工的瀏覽歷史被暴露,因?yàn)樗梢允棺锓噶私獾絾T工訪問(wèn)過(guò)哪些網(wǎng)站、在哪里工作、他們銀行在哪里、企業(yè)的url訪問(wèn)地址,甚至包括郵箱服務(wù)器和SharePoint站點(diǎn)。有了員工瀏覽歷史和登錄憑據(jù),犯罪可以很容易地訪問(wèn)公司網(wǎng)絡(luò),因?yàn)樵S多人在訪問(wèn)需要驗(yàn)證的網(wǎng)站時(shí)都使用的是相同的或略有變化的密碼。
七、2.8%的應(yīng)用程序會(huì)修改設(shè)備的無(wú)線設(shè)置
應(yīng)用程序會(huì)自動(dòng)更改員工移動(dòng)設(shè)備上的無(wú)線網(wǎng)絡(luò)設(shè)置,以發(fā)動(dòng)各種各樣的網(wǎng)絡(luò)攻擊。員工使用被網(wǎng)絡(luò)罪犯控制的無(wú)線網(wǎng)絡(luò)時(shí),他們所有的流量都可以被監(jiān)控,或是受到“中間人攻擊”。
八、1.6%的應(yīng)用程序試圖在設(shè)備上安裝其他應(yīng)用程序或惡意軟件
在一些舊版本的Android手機(jī)上,應(yīng)用程序可以在用戶不知道的情況下安裝其他應(yīng)用程序或惡意軟件。事實(shí)上,1.6%的Android應(yīng)用程序都會(huì)請(qǐng)求許可安裝應(yīng)用程序。任何移動(dòng)應(yīng)用都沒(méi)有理由將另一個(gè)程序安裝在設(shè)備上。這些額外的應(yīng)用程序可以被罪犯進(jìn)行修改,并在員工不知情的情況下完全控制其設(shè)備,以跟蹤短信文本、監(jiān)控電話、讀取瀏覽器歷史和修改無(wú)線網(wǎng)絡(luò)設(shè)置,讓員工和企業(yè)暴露在無(wú)數(shù)形式的攻擊之下。
九、應(yīng)用程序的惡意軟件版本可以預(yù)裝在設(shè)備上
Marble安全實(shí)驗(yàn)室已經(jīng)確認(rèn)了惡意應(yīng)用程序可以被預(yù)裝在設(shè)備上,一個(gè)特定的案例是Netflix被發(fā)現(xiàn)出現(xiàn)了惡意程序的頂替者。這個(gè)應(yīng)用程序大約有10到12版本,其中一個(gè)惡意程序版本旨在竊取信用卡信息并可供下載。實(shí)驗(yàn)室發(fā)現(xiàn)該惡意版本經(jīng)常被預(yù)裝在手機(jī)和平板電腦中。類似的方法還可以針對(duì)企業(yè)進(jìn)行應(yīng)用,尋求員工遠(yuǎn)程登錄信息和密碼,這也是發(fā)動(dòng)高級(jí)持續(xù)性威脅(APT)的第一步。