移動(dòng)化的不斷推進(jìn)讓人們?cè)谙硎芗夹g(shù)帶來(lái)便捷的同時(shí)也無(wú)法規(guī)避“硬幣的另一面”——更多的移動(dòng)設(shè)備帶來(lái)更大的攻擊面,移動(dòng)威脅持續(xù)演進(jìn),而應(yīng)對(duì)移動(dòng)攻擊的防御策略并未能跟上移動(dòng)威脅變化的步伐。不久前,研究機(jī)構(gòu)賽門(mén)鐵克發(fā)布公告稱Android威脅現(xiàn)新變種,現(xiàn)可攻擊Android最新運(yùn)行系統(tǒng)Marshmallow中的授權(quán)模式。
根據(jù)Android最新系統(tǒng)授權(quán)模式,通常在安裝移動(dòng)應(yīng)用時(shí),會(huì)向所安裝的應(yīng)用授予權(quán)限,并不直接接受所有安裝要求,而新的Android威脅變種通過(guò)非法獲取所需權(quán)限進(jìn)行惡意活動(dòng)。
新的威脅攻擊機(jī)制
如前所述,移動(dòng)應(yīng)用會(huì)在需要時(shí)申請(qǐng)所需權(quán)限(但不會(huì)申請(qǐng)所有權(quán)限)。如果移動(dòng)應(yīng)用的“target_sdk”屬性設(shè)置小于23,則可避免申請(qǐng)授權(quán),例如某款應(yīng)用的開(kāi)發(fā)者有意將“target_sdk”屬性設(shè)置為22,用戶則會(huì)在安裝期間授予該應(yīng)用所有的申請(qǐng)權(quán)限。
不過(guò)在Marshmallow中用戶能夠隨時(shí)撤銷應(yīng)用的權(quán)限,而無(wú)需考慮“target_sdk”值。鑒于越來(lái)越多采用Marshmallow系統(tǒng)的用戶學(xué)習(xí)手動(dòng)撤銷權(quán)限,惡意軟件Android.Bankosy和Cepsohord的開(kāi)發(fā)者已經(jīng)開(kāi)始遷移代碼,以應(yīng)對(duì)運(yùn)行時(shí)權(quán)限模式。
金融木馬Bankosy能夠在執(zhí)行代碼前,檢查應(yīng)用權(quán)限是否處于未撤銷狀態(tài)。Bankosy惡意軟件能調(diào)用特殊的服務(wù)代碼,并在受感染的設(shè)備上進(jìn)行無(wú)條件呼叫轉(zhuǎn)移;而最近演化后的Bankosy可檢查用戶是否授予呼叫此號(hào)碼的權(quán)限。而點(diǎn)擊式欺詐惡意軟件Cepsohord則能夠檢查權(quán)限的授權(quán)狀態(tài),還能要求用戶授予權(quán)限,以防止權(quán)限被撤銷。
相關(guān)應(yīng)對(duì)措施
盡管谷歌Android團(tuán)隊(duì)在不斷加強(qiáng)移動(dòng)操作系統(tǒng)上的安全措施,然而惡意軟件開(kāi)發(fā)者總會(huì)通過(guò)各種手段“鉆空子”,躲避安全措施并實(shí)施攻擊。且對(duì)于企業(yè)來(lái)說(shuō),往往是由于一些管理方面的疏漏以及員工缺乏足夠的安全意識(shí)而導(dǎo)致企業(yè)遭到攻擊。
在防御移動(dòng)威脅時(shí),有一些措施需實(shí)施或參考。首先要確保軟件為最新版本,并安裝來(lái)自可靠來(lái)源的應(yīng)用,避免從未知網(wǎng)站下載應(yīng)用,同時(shí)需要密切注意應(yīng)用權(quán)限的申請(qǐng)。此外,可安裝一款移動(dòng)安全軟件來(lái)保護(hù)移動(dòng)設(shè)備和數(shù)據(jù),并對(duì)重要數(shù)據(jù)進(jìn)行定期備份。