导语:根据迈克菲实验室(McAfee Labs)的研究数据显示,仅在今年第一季度就发现了150万起新的移动恶意软件事件,截至目前共发生了超过1600万起移动恶意软件事件。
背景概述
十年前,移动恶意软件还被认为是一种新的可怕的威胁。许多移动设备用户甚至心存侥幸地认为自己可以免遭这种威胁侵害。但是根据迈克菲实验室(McAfee Labs)的研究数据显示,仅在今年第一季度就发现了150万起新的移动恶意软件事件,截至目前共发生了超过1600万起移动恶意软件事件。
如今,移动设备正在面临越来越严峻的攻击趋势——没有人可以幸免于难!Dimensional Research的调查结果显示,20%的受访企业表示,他们的移动设备遭到了破坏。1/4的受访者甚至不知道自己是否经历过攻击。几乎全部(94%)的受访者预计称,移动攻击的频率将会增加,79%的受访者认为保护移动设备安全的工作将变得更加艰难。
Check Point移动威胁研究员丹尼尔·帕东(Daniel Padon)表示:
人们现在越来越重视一些潜在的威胁,确实,国家级恶意软件以及那些可以影响数百万设备的大型恶意病毒(如Gooligan和Hummingbad等)仅仅是冰山一角。
虽然,苹果和安卓在创建更安全、强大的操作系统方面取得了长足的进步,但是恶意软件也在不断推出新的、更具欺骗性的恶意软件。此外,安全性仍未成为应用程序设计的首要任务,一些应用程序允许用户在未经加密的情况下传输隐私数据或是使用弱密码。
将这些不足和移动设备以及BYOD策略在办公场合逐渐普及的现象结合,是的,你已经成为企业移动攻击的完美猎物。
据Forrester的年度安全调查显示,如今有近一半的信息工作者正在使用自己的笔记本电脑进行办公;68%的使用自己的智能手机以及69%的使用自己的平板电脑进行办公。Forrester高级分析师Chris Sherman说:
很显然,如此一来的安全风险很高,尤其是当你利用这些设备查看公司数据(如客户信息、知识产权、合同、竞争性数据和发票等)时,更不用说用这些私人设备访问公司网络的风险了。
5大移动安全威胁
移动威胁研究人员确定了以下5类移动安全风险,可能会对公司业务造成无法挽回的影响:
1. 持久的、企业级间谍软件
员工的移动设备可谓不离身,随时都在使用。在办公室当然要连接企业网络,再激活个语音和GPS追踪,好了,留给攻击者可乘之机了。现在,国家级攻击者正在试图通过间谍软件感染移动设备,而这种方式在iOS和Android设备上已经证明是可用的。
去年8月出现的Pegasus就是这样一款智能手机间谍软件,它是由以色列监控公司NSO Group开发的,被认为是目前为止最危险的间谍软件之一。其功能包括:记录键盘、捕获截图、捕获实时音频、通过短信远程控制这款恶意软件、传送来自常用应用程序(包括WhatsApp、Skype、Facebook、Twitter、Viber和Kakao)的数据渗漏、渗漏浏览器历史、渗漏来自安卓Native Email客户端的电子邮件、联系人和短信等。
2016年8月,Pegasus间谍软件对iPhone设备实施了攻击,它能够劫持任何iPad或iPhone设备,来收集关于受害者的数据,并对受害者进行监视。此外,研究人员还发现Pegasus正是利用3个当时未被发现的iOS系统“0day”漏洞实施了此次间谍活动,破坏了苹果公司强大的安全环境。之后苹果在其9.3.5补丁中迅速修复了所有三个Trident iOS漏洞。
到2017年4月,该恶意软件开发者卷土重来,带来了用于Android设备的Pegasus间谍软件版本。它可以伪装成正常的应用程序下载,同时秘密地获得设备的root访问权限,以便对用户进行监视活动。此后,Google加强了其安全措施,包括Play Store中的Play Protect安全性。
Shier表示:
如果你是一个国家级黑客,想要入侵一家企业,有一种可能的路径就是入侵可以进入这家企业的移动设备。现在还有很多企业允许将移动设备和其他更具价值的设备共存于企业网络中。如此安全,引人担忧!
2. 移动僵尸网络
万物互联时代,僵尸网络正在经历一次重大的进化,从PC向手机等移动设备甚至智能设备蔓延。近年来,移动僵尸网络更是成为移动通信和网络安全的最大威胁。
第一个针对Android设备的移动僵尸网络是一年前曝光的“Viking Horde”,这款病毒能够执行广告欺诈,还能进行DDoS攻击、发送垃圾信息等。无论是在已root或是未root的设备上,Viking Horde都会创建一个僵尸网络,用经过代理的IP地址伪装广告点击,这样攻击者就能赚钱。而在已root的设备上,Viking Horde还能够传输额外的恶意payload,从而远程执行任意代码,它还会利用root权限使得自身难以删除。
此后,恶意软件研究人员又陆续确认了大约十多种移动僵尸网络,包括Hummingbad等,该僵尸网络在2016年年中感染了超过1000万个运行Android操作系统的设备。
Padon表示:
刚开始,它们只要用于广告目的来获取收益,但是现在我们可以看到,它们已经可以创建包含数百万设备的僵尸网络,进而实现各种目的,包括窃取敏感数据等。
虽然移动设备不具备台式机的带宽和吞吐量,但是僵尸网络的性能不需要如此多的计算能力就能构成足够的威胁。而且,移动设备通常是全天使用的,这样也是的僵尸网络操纵者能够全天候地访问大量潜在僵尸机器人。
3. 广告和点击欺诈
研究人员表示,移动设备中的广告和点击欺诈是一个需要加强重视的问题。Shier解释称:
通过广告和点击恶意软件破坏移动设备将成为犯罪分子入侵企业内部网络的好方法,他们可能会通过发送钓鱼短信,让受害者点击下载恶意程序的链接,然后他们就可以对该移动设备进行控制,窃取访问内部网络的登陆凭证。
Padon表示,可怕的是,他们开始为广告恶意软件,但是他们可以很轻易地将间谍软件传播到整个僵尸网络中。如此一来,就有100万台设备来记录其用户的一举一动。只要轻轻点击一下应用程序就可以造成毁灭性的后果。
4. 物联网
McAfee移动恶意软件研究高级经理Irfan Asrar表示,物联网恶意软件尚在起步阶段,但这并没有阻止恶意软件开发者的步伐。他说:
物联网恶意软件家族的数量只有10个,且其中大部分都是相同代码库的变体,但是我们发现人们正在地下黑市兜售移动恶意软件包,这种现象正往物联网领域移动。
需要注意的是,许多物联网设备都需要连接到智能手机,并由智能手机对设备进行配置,例如通过手机操控物联网设备进入建筑物或绕过检查点等。
Asrar表示:
有针对性的攻击活动只会关注最终结果,而不在意要使用何种手段。那么现在阻力最小的一个就是物联网,因为它安全防护措施相对较少,设备制造商们也是刚刚开始遵循一些标准进行生产设计,产品自身安全性较低。
5. 淘汰的应用程序
Asrar表示,员工需要定期检查他们的移动应用程序的状态,及时更新或删除那些Google或Apple商店不再支持的应用。苹果和安卓操作系统的安全团队正在努力将一些存在安全威胁的应用程序从自家的商店中移除,但是他们并未透露已删除的应用列表,也没有提供任何删除的理由。Asrar表示,缺乏透明度可能会影响企业,因为通过渗透企业网络可以挖掘更多的敏感数据。
他解释称,
如果你有一个Android设备,那么不可避免地肯定会有一些已经从商店中移除的应用程序,但是它们依然存在于你的设备上,不是你不想移除,只是你没有得到‘它是有害’的消息或移除它的理由。如果你知道它是恶意软件,一定不会愿意将其放在你的设备上。
企业可以做什么?
Padon说:
想要保护整个移动网络真的很难实现,因为它是分散的。
他建议在每个移动设备上安装安全软件。他补充道,
如果你的应用程序下载了一个简单的更新程序这是一回事,而如果下载更新程序后启动了恶意活动就是完全不同的另一回事了。这正是苹果和谷歌商店缺乏管控的地方。
移动研究人员Shier补充道,用户行为认知和培训也应该随着威胁发展而发展,这一切都是为了降低风险,此外,还应该对所有可以访问企业网络的设备进行加密和可视化处理,以便更有效地处理意外事故。