对于拥有移动设备的任何人来说,这是令人恐惧的一年,这些移动设备在Android和iOS用户上都存在多个引人注目的漏洞和攻击。7月,9.5亿台Android设备的所有者获悉,他们很容易受到Stagefright攻击,可以通过多种方式启动,包括通过一条短信。iOS受到Masque Attack和XcodeGhost的恐惧,导致风险软件和恶意软件通过合法和欺骗性应用程序在App Store内外分发。
回顾最近发现的所有移动安全漏洞,仅在2015年,受影响的用户总数就超过10亿。但就今年受移动安全问题影响的用户而言,这些数字只是冰山一角。更可怕的是在幕后冒出的数百个其他漏洞。尽管从未被命名,但它们同样至关重要,甚至更多。
幸运的是,我们可以从已公开的安全问题中吸取一些教训,并将其应用于防止其他未知和未命名的漏洞。
1. Stagefright
Stagefright已成为许多漏洞的通用名称,这些漏洞在Android设备上的默认媒体播放框架中继续发现,这使其成为不断为漏洞研究人员提供的礼物。仅在10月,每月的Android补丁程序周期就覆盖了15个远程代码可执行漏洞,这些漏洞被标记为严重漏洞,并且与Stagefright直接相关。
由于Android设备距离获取这些类型的漏洞的迫切需要的补丁程序还有数月(甚至数年)的时间,因此该漏洞将产生持久影响。展望未来,我们应该解决问题的核心,即使用很大程度上未经审计的代码库。如果不仔细检查这些库并继续在移动设备和应用程序中使用它们,则会导致这些类型的漏洞持续存在。
2. iOS XcodeGhost
XcodeGhost恶意软件值得注意,因为它不是源自Apple的iOS,而是源自用于构建iOS应用程序的工具。iOS开发人员不经意间使用了Xcode开发工具的恶意版本,并将潜在的恶意代码烘焙到他们的应用程序中。结果是武器化的应用程序从用户设备收集了敏感信息。
自发现以来,Apple一直在努力从App Store中删除受感染的应用程序,但这并不意味着问题已经结束。由于XCodeGhost已使恶意行为者意识到在开发人员级别进行攻击是一种有效的方法,因此这种利用可能再次发生。就其本身而言,开发人员必须确保其工具来自受信任的来源-否则会使用户的数据面临风险。
3.认证
Certifi-gate是一个漏洞,影响已在野外使用的Android应用程序。它允许应用程序通过移动远程支持工具(mRST)应用程序的安全证书获得非法的特权访问。这些工具-的TeamViewer,RSUPPORT和CommuniTake远程护理仅举几例-往往预装和通常具有流行制造商优先获得功能在Android设备上。利用此漏洞的漏洞利用将通过模拟应用程序来控制设备,使用户完全脆弱。
这种攻击是一个完美的例子,说明了为什么制造商在向第三方授予特权的应用程序功能时应该格外小心,以及为什么移动开发人员需要变得更加精通安全性才能在开发周期的早期发现这些问题。
4.面具攻击
在因黑客小组漏洞而泄漏的400 GB信息中,FireEye发现了Masque Attack的新迭代。它涉及反向工程和重新包装合法应用程序(如Facebook,Twitter和WhatsApp),以窃取用户的敏感信息并将其上传到远程服务器。
发现了11个Masque Attack应用程序,其中任何一个都可以替换受害者设备上下载的合法应用程序。重要的是要注意,这种攻击是通过欺骗合法应用程序来实现的,即使采用了最基本的防篡改控件来防止攻击者渗透和反向设计应用程序源代码,也可以防止这种攻击。
在上述所有情况下,以及我们仍在学习的最新Android和iOS恶意软件发现(例如YiSpecter,KeyRaider和Ghost Push)中,都有一个通用的底层线程-缺乏足够的设备和操作系统安全性。即使提供了补丁并进行了公开发布,由于设备制造商和移动运营商使用复杂的方法来推出补丁,因此也无法保证您的特定设备会收到补丁。例如,第二阶段的Stagefright补丁仅适用于某些Android型号,例如Google的Nexus品牌,尽管需要保护所有Android设备。
最终,由于操作系统固有的漏洞和新漏洞利用的迅捷步伐,我们-消费者,企业和开发人员-都无法再信任默认设备安全措施,必须将我们的注意力进一步转移到移动堆栈中。需要在应用程序级别上更靠近数据地应用保护措施,以在OS提供商,设备制造商和运营商无法解决的范围内提高移动安全性。这样做将大大确保明年我们不会看到太多的移动恐怖故事。