Mobilne zabezpieczenia - Mobile security

Bezpieczeństwo mobilne , a dokładniej bezpieczeństwo urządzeń mobilnych , to ochrona smartfonów, tabletów i laptopów przed zagrożeniami związanymi z przetwarzaniem bezprzewodowym . Staje się coraz ważniejszy w komputerach przenośnych . Szczególne obawy budzi bezpieczeństwo informacji osobistych i biznesowych przechowywanych obecnie na smartfonach .

Coraz więcej użytkowników i firm używa smartfonów do komunikacji, ale także do planowania i organizowania pracy swoich użytkowników, a także życia prywatnego. W firmach technologie te powodują głębokie zmiany w organizacji systemów informatycznych i dlatego stały się źródłem nowych zagrożeń . Rzeczywiście, smartfony gromadzą i kompilują coraz większą ilość poufnych informacji, do których dostęp musi być kontrolowany, aby chronić prywatność użytkownika i własność intelektualną firmy.

Wszystkie smartfony, podobnie jak komputery, są preferowanym celem ataków. Dzieje się tak, ponieważ te urządzenia mają zdjęcia rodzinne, zdjęcia zwierząt domowych, hasła i inne. Dla napastników te elementy są cyfrowym paszportem umożliwiającym dostęp do wszystkiego, co muszą wiedzieć o danej osobie. Dlatego rośnie liczba ataków na urządzenia mobilne. Ataki te wykorzystują słabości tkwiące w smartfonach, które mogą pochodzić z trybu komunikacji — takich jak usługa krótkich wiadomości (SMS, czyli wiadomości tekstowe), usługa wiadomości multimedialnych (MMS), WiFi , Bluetooth i GSM , de facto globalny standard komunikacji mobilnej. Istnieją również exploity, które atakują luki w oprogramowaniu w przeglądarce lub systemie operacyjnym, podczas gdy niektóre złośliwe oprogramowanie opiera się na słabej wiedzy przeciętnego użytkownika.

Opracowywane są i stosowane w smartfonach środki zaradcze dotyczące bezpieczeństwa, od zabezpieczeń w różnych warstwach oprogramowania po rozpowszechnianie informacji wśród użytkowników końcowych. Istnieją dobre praktyki, których należy przestrzegać na wszystkich poziomach, od projektu do użytkowania, poprzez tworzenie systemów operacyjnych , warstw oprogramowania i aplikacji do pobrania.

Wyzwania bezpieczeństwa mobilnego smartfona

Zagrożenia

Użytkownik smartfona jest narażony na różne zagrożenia podczas korzystania z telefonu. Według ABI Research tylko w ostatnich dwóch kwartałach 2012 r. liczba unikalnych zagrożeń mobilnych wzrosła o 261% . Zagrożenia te mogą zakłócać działanie smartfona oraz przesyłać lub modyfikować dane użytkownika. Dlatego aplikacje muszą gwarantować prywatność i integralność przetwarzanych informacji. Ponadto, ponieważ niektóre aplikacje mogą same być złośliwym oprogramowaniem , ich funkcjonalność i działania powinny być ograniczone (na przykład ograniczanie dostępu aplikacji do informacji o lokalizacji przez GPS , blokowanie dostępu do książki adresowej użytkownika, uniemożliwianie przesyłania danych w sieci , wysyłanie wiadomości SMS , którymi obciąża się użytkownika itp.). Od czasu niedawnego wzrostu liczby ataków mobilnych hakerzy coraz częściej atakują smartfony poprzez kradzież danych uwierzytelniających i podsłuchiwanie. Liczba ataków na smartfony i inne urządzenia wzrosła o 50 procent. Jak wynika z badania, za wzrost ataków odpowiadają aplikacje bankowości mobilnej. Złośliwe oprogramowanie jest dystrybuowane przez atakujących, aby mogli przejąć informacje o transakcjach celu, jego prawa do logowania i pieniądze. Opracowywane są również różne rodzaje złośliwego oprogramowania z technikami zapobiegania wykrywaniu, aby uniknąć wykrycia. Triade malware jest preinstalowane na niektórych urządzeniach mobilnych. Oprócz Haddada istnieje również Lotoor, który wykorzystuje luki w systemie do przepakowywania legalnych aplikacji. Urządzenia są również podatne na ataki ze względu na oprogramowanie szpiegujące i nieszczelne zachowania za pośrednictwem aplikacji. Urządzenia podłączone do sieci publicznych są narażone na ataki. Urządzenia mobilne są również skutecznymi systemami przenoszenia zagrożeń złośliwym oprogramowaniem, naruszeń informacji i kradzieży. Potencjalni napastnicy szukali możliwych słabych punktów, gdy iPhone firmy Apple i pierwsze urządzenia z Androidem pojawiły się na rynku. Departament ds. cyberbezpieczeństwa Departamentu Bezpieczeństwa Wewnętrznego twierdzi, że wzrosła liczba podatnych na ataki punktów w systemach operacyjnych smartfonów. Ponieważ telefony komórkowe są podłączone do narzędzi i urządzeń, hakerzy, cyberprzestępcy, a nawet urzędnicy wywiadu mają dostęp do tych urządzeń. W 2011 r. coraz popularniejsze stało się umożliwienie pracownikom korzystania z własnych urządzeń do celów związanych z pracą. Opublikowane w 2017 r. badanie Crowd Research Partners informuje, że w 2017 r. większość firm nakazywała korzystanie z urządzeń mobilnych była poddawana atakom złośliwego oprogramowania i naruszeniom. Stało się powszechne, że nieuczciwe aplikacje są instalowane na urządzeniach użytkowników bez jego zgody. Mimo to naruszają prywatność, co utrudnia działanie urządzeń. Oprócz wpływu na urządzenie, ukryte złośliwe oprogramowanie jest szkodliwe. Mobilne szkodliwe oprogramowanie zostało również opracowane w celu wykorzystania luk w zabezpieczeniach urządzeń mobilnych. Niektóre typy to ransomware, robaki, botnety, trojany i wirusy. Od czasu wprowadzenia aplikacji bankowości mobilnej i innych aplikacji, które są istotnym celem hakerów, złośliwe oprogramowanie szerzy się. Trojany droppery mogą również uniknąć wykrycia złośliwego oprogramowania. Osoby atakujące, które wykorzystują złośliwe oprogramowanie na urządzeniu, są w stanie uniknąć wykrycia, ukrywając złośliwy kod. Pomimo tego, że złośliwe oprogramowanie wewnątrz urządzenia nie zmienia się, dropper za każdym razem generuje nowe skróty. Dodatkowo droppery mogą również tworzyć wiele plików, co może prowadzić do tworzenia wirusów. Urządzenia mobilne z systemem Android są podatne na trojany droppery. Trojany bankowe umożliwiają również ataki na aplikacje bankowe w telefonie, co prowadzi do kradzieży danych do wykorzystania w kradzieży pieniędzy i funduszy. Dodatkowo istnieją jailbreaki dla urządzeń iOS, które działają poprzez wyłączenie podpisywania kodów na iPhone'ach, aby można było obsługiwać aplikacje niepobrane z App Store. W ten sposób wszystkie warstwy ochrony oferowane przez iOS zostają zakłócone, narażając urządzenie na działanie złośliwego oprogramowania. Te aplikacje zewnętrzne nie działają w piaskownicy, w wyniku czego ujawniają potencjalne problemy z bezpieczeństwem. Instalując złośliwe dane uwierzytelniające i wirtualne sieci prywatne w celu kierowania informacji do złośliwych systemów, powstają wektory ataku mające na celu zmianę ustawień konfiguracyjnych urządzeń mobilnych. Ponadto istnieje oprogramowanie szpiegujące, które zwykle instaluje się na urządzeniach mobilnych w celu śledzenia osoby. Urządzenia docelowe są instalowane z aplikacjami bez zgody lub wiedzy właścicieli. Technologie zakłócające Wi-Fi mogą również atakować urządzenia mobilne za pośrednictwem potencjalnie niezabezpieczonych sieci. Włamując się do sieci, hakerzy mogą uzyskać dostęp do kluczowych danych. Z drugiej strony VPN może służyć do zabezpieczania sieci. Gdy tylko system zostanie zagrożony, aktywna sieć VPN będzie działać. Istnieją również techniki socjotechniki, takie jak phishing . W przypadku phishingu niczego niepodejrzewające ofiary otrzymują odsyłacze prowadzące do złośliwych stron internetowych. Atakujący mogą następnie włamać się do urządzenia ofiary i skopiować wszystkie jego informacje. Jednak atakom na urządzenia mobilne można zapobiec za pomocą technologii. Przykładem jest konteneryzacja, która pozwala na stworzenie infrastruktury sprzętowej, która oddziela dane biznesowe od innych danych. Wykrywanie złośliwego ruchu i nieuczciwych punktów dostępowych zapewnia ochronę sieci. Bezpieczeństwo danych zapewniane jest również poprzez uwierzytelnianie.

Atakujący mają trzy główne cele:

  • Dane: smartfony są urządzeniami do zarządzania danymi i mogą zawierać dane wrażliwe, takie jak numery kart kredytowych, informacje uwierzytelniające, informacje prywatne, dzienniki aktywności (kalendarz, dzienniki połączeń);
  • Tożsamość: smartfony są wysoce konfigurowalne, więc urządzenie lub jego zawartość można łatwo skojarzyć z konkretną osobą.
  • Dostępność: zaatakowanie smartfona może ograniczyć do niego dostęp i pozbawić właściciela możliwości korzystania z niego.

Istnieje wiele zagrożeń dla urządzeń mobilnych, w tym irytacja, kradzież pieniędzy, naruszanie prywatności, propagacja i złośliwe narzędzia. Luka w urządzeniach mobilnych to słaby punkt, który pozwoli atakującemu zmniejszyć bezpieczeństwo systemów. Istnieją trzy elementy, które przechwytują, gdy pojawia się luka i są to słabość systemu, dostęp atakującego do luki oraz zdolność atakującego do wykorzystania luki.

  • Botnety : osoby atakujące infekują wiele komputerów złośliwym oprogramowaniem, które ofiary zazwyczaj pozyskują za pośrednictwem załączników do wiadomości e-mail lub z zainfekowanych aplikacji lub witryn internetowych. Następnie złośliwe oprogramowanie umożliwia hakerom zdalne sterowanie urządzeniami „zombie”, które następnie mogą zostać poinstruowane, aby wykonywały szkodliwe działania.
  • Złośliwe aplikacje: hakerzy przesyłają złośliwe programy lub gry na zewnętrzne rynki aplikacji na smartfony. Programy kradną dane osobowe i otwierają kanały komunikacji backdoora, aby instalować dodatkowe aplikacje i powodować inne problemy.
  • Złośliwe linki w sieciach społecznościowych: skuteczny sposób rozprzestrzeniania złośliwego oprogramowania, w którym hakerzy mogą umieszczać trojany, oprogramowanie szpiegujące i tylne drzwi.
  • Oprogramowanie szpiegujące : hakerzy wykorzystują to do przechwytywania telefonów, umożliwiając im słyszenie połączeń, przeglądanie wiadomości tekstowych i e-maili, a także śledzenie czyjejś lokalizacji za pomocą aktualizacji GPS.

Źródłem tych ataków są ci sami aktorzy, którzy znajdują się w niemobilnej przestrzeni obliczeniowej:

  • Profesjonaliści, zarówno komercyjni, jak i wojskowi, którzy koncentrują się na trzech wymienionych powyżej celach. Kradną poufne dane od ogółu społeczeństwa, a także podejmują szpiegostwo przemysłowe. Będą również wykorzystywać tożsamość zaatakowanych osób do przeprowadzania innych ataków;
  • Złodzieje, którzy chcą uzyskać dochód dzięki skradzionym przez siebie danym lub tożsamościom. Złodzieje zaatakują wiele osób, aby zwiększyć ich potencjalny dochód;
  • Hakerzy w czarnych kapeluszach, którzy atakują w szczególności dostępność. Ich celem jest tworzenie wirusów i powodowanie uszkodzeń urządzenia. W niektórych przypadkach hakerzy są zainteresowani kradzieżą danych na urządzeniach.
  • Hakerzy w szarych kapeluszach, którzy ujawniają luki w zabezpieczeniach. Ich celem jest ujawnienie podatności urządzenia. Hakerzy w szarych kapeluszach nie zamierzają uszkadzać urządzenia ani wykradać danych.

Konsekwencje

Gdy smartfon zostanie zainfekowany przez atakującego, osoba atakująca może spróbować kilku rzeczy:

  • Atakujący może manipulować smartfonem jako maszyną zombie , czyli maszyną, z którą atakujący może się komunikować i wysyłać polecenia, które będą wykorzystywane do wysyłania niechcianych wiadomości ( spamu ) za pośrednictwem sms lub e-maili ;
  • Atakujący może łatwo zmusić smartfon do wykonywania połączeń telefonicznych . Można na przykład skorzystać z API (biblioteki zawierającej podstawowe funkcje nieobecne w smartfonie) PhoneMakeCall firmy Microsoft , która zbiera numery telefonów z dowolnego źródła, takiego jak żółte strony, a następnie dzwoni do nich. Jednak atakujący może również użyć tej metody do wywołania płatnych usług, co skutkuje obciążeniem właściciela smartfona opłatą. Jest to również bardzo niebezpieczne, ponieważ smartfon może wezwać służby ratunkowe, a tym samym zakłócić te usługi;
  • Zhakowany smartfon może nagrywać rozmowy między użytkownikiem a innymi osobami i wysyłać je do osoby trzeciej. Może to powodować problemy z prywatnością użytkowników i bezpieczeństwem przemysłowym;
  • Atakujący może również ukraść tożsamość użytkownika, uzurpować sobie jego tożsamość (z kopią karty SIM użytkownika lub nawet samego telefonu), a tym samym podszyć się pod właściciela. Rodzi to obawy o bezpieczeństwo w krajach, w których smartfony mogą być używane do składania zamówień, przeglądania kont bankowych lub są używane jako dowód osobisty;
  • Atakujący może zmniejszyć użyteczność smartfona, rozładowując baterię. Na przykład mogą uruchomić aplikację, która będzie działać nieprzerwanie na procesorze smartfona, wymagając dużo energii i rozładowując baterię. Jednym z czynników, który odróżnia przetwarzanie mobilne od tradycyjnych komputerów stacjonarnych, jest ich ograniczona wydajność. Frank Stajano i Ross Anderson po raz pierwszy opisali tę formę ataku, nazywając ją atakiem „wyczerpywania się baterii” lub „tortur pozbawiania snu”;
  • Atakujący może uniemożliwić działanie i/lub uruchomić smartfon, uniemożliwiając mu korzystanie z niego. Atak ten może albo usunąć skrypty rozruchowe, w wyniku czego telefon bez działającego systemu operacyjnego , albo zmodyfikować pewne pliki, aby uczynić go bezużytecznym (np. skrypt uruchamiający się przy starcie, który wymusza ponowne uruchomienie smartfona) lub nawet osadzić aplikację startową, która byłaby pusta bateria;
  • Atakujący może usunąć dane osobiste (zdjęcia, muzyka, filmy itp.) lub zawodowe (kontakty, kalendarze, notatki) użytkownika.

Ataki oparte na komunikacji

Atak oparty na SMS-ach i MMS-ach

Niektóre ataki wynikają z błędów w zarządzaniu SMS - ami i MMS - ami .

Niektóre modele telefonów komórkowych mają problemy z zarządzaniem binarnymi wiadomościami SMS. Możliwe jest, poprzez wysłanie źle sformułowanego bloku, spowodowanie ponownego uruchomienia telefonu, co prowadzi do ataków typu „odmowa usługi”. Jeśli użytkownik z Siemens S55 otrzymał wiadomość tekstową zawierającą chiński znak, doprowadziłoby to do odmowy usługi. W innym przypadku, podczas gdy standard wymaga, aby maksymalny rozmiar adresu Nokia Mail wynosił 32 znaki, niektóre telefony Nokia nie weryfikowały tego standardu, więc jeśli użytkownik wprowadzi adres e-mail powyżej 32 znaków, prowadzi to do całkowitej dysfunkcji e-maila. -obsługa poczty i wyłącza ją z prowizji. Atak ten nazywany jest „przekleństwem milczenia”. Badanie dotyczące bezpieczeństwa infrastruktury SMS wykazało, że wiadomości SMS wysyłane z Internetu mogą zostać wykorzystane do przeprowadzenia ataku typu rozproszona odmowa usługi (DDoS) na infrastrukturę telefonii komórkowej dużego miasta. Atak wykorzystuje opóźnienia w dostarczaniu wiadomości do przeciążenia sieci.

Kolejny potencjalny atak może rozpocząć się od telefonu, który wysyła wiadomość MMS do innych telefonów wraz z załącznikiem. Ten załącznik jest zainfekowany wirusem. Po otrzymaniu wiadomości MMS użytkownik może otworzyć załącznik. Jeśli zostanie otwarty, telefon jest zainfekowany, a wirus wysyła wiadomość MMS z zainfekowanym załącznikiem do wszystkich kontaktów w książce adresowej. Oto prawdziwy przykład takiego ataku: wirus Commwarrior wykorzystuje książkę adresową i wysyła do odbiorców wiadomości MMS zawierające zainfekowany plik. Użytkownik instaluje oprogramowanie otrzymane w wiadomości MMS. Następnie wirus zaczął wysyłać wiadomości do odbiorców pobranych z książki adresowej.

Ataki oparte na sieciach komunikacyjnych

Ataki oparte na sieciach GSM

Atakujący może próbować złamać szyfrowanie sieci komórkowej. W GSM algorytmy szyfrowania sieci należą do rodziny algorytmów nazwie A5 . Ze względu na politykę bezpieczeństwa poprzez ukrywanie nie było możliwe otwarte przetestowanie odporności tych algorytmów. Pierwotnie istniały dwa warianty algorytmu: A5/1 i A5/2 (szyfry strumieniowe), przy czym pierwszy został zaprojektowany jako stosunkowo silny, a drugi został zaprojektowany jako słaby celowo, aby umożliwić łatwą kryptoanalizę i podsłuchiwanie. ETSI zmusił niektóre kraje (zwykle poza Europą) do używania A5/2 . Ponieważ algorytm szyfrowania został upubliczniony, udowodniono, że można złamać szyfrowanie: A5/2 można złamać w locie, a A5/1 w około 6 godzin. W lipcu 2007 r. 3GPP zatwierdziło wniosek o zmianę zakazu wdrażania A5/2 w nowych telefonach komórkowych, co oznacza, że ​​został wycofany i nie jest już wdrażany w telefonach komórkowych. Do standardu GSM dodano silniejsze algorytmy publiczne , A5/3 i A5/4 ( szyfr blokowy ), inaczej zwane KASUMI lub UEA1 opublikowane przez ETSI . Jeżeli sieć nie obsługuje algorytmu A5/1 ani żadnego innego algorytmu A5 zaimplementowanego przez telefon, to stacja bazowa może określić A5/0, który jest algorytmem zerowym, dzięki czemu ruch radiowy jest przesyłany w postaci niezaszyfrowanej. Nawet w przypadku, gdy telefony komórkowe są w stanie korzystać z 3G lub 4G, które mają znacznie silniejsze szyfrowanie niż 2G GSM , stacja bazowa może obniżyć komunikację radiową do 2G GSM i określić A5/0 (bez szyfrowania). Jest to podstawa do podsłuchiwania ataków na mobilne sieci radiowe z wykorzystaniem fałszywej stacji bazowej zwanej potocznie IMSI catcherem .

Ponadto śledzenie terminali mobilnych jest trudne, ponieważ za każdym razem, gdy terminal mobilny uzyskuje dostęp lub uzyskuje dostęp przez sieć, do terminala mobilnego przydzielana jest nowa tożsamość tymczasowa (TMSI). TMSI jest używany jako tożsamość terminala mobilnego przy następnym dostępie do sieci. TMSI jest wysyłany do terminala mobilnego w postaci zaszyfrowanych wiadomości.

Gdy algorytm szyfrowania GSM zostanie złamany, atakujący może przechwycić całą niezaszyfrowaną komunikację na smartfonie ofiary.

Ataki oparte na Wi-Fi

Podszywanie się pod punkt dostępu

Atakujący może próbować podsłuchiwać komunikację Wi-Fi w celu uzyskania informacji (np. nazwy użytkownika, hasła). Ten rodzaj ataku nie jest unikalny dla smartfonów, ale są one bardzo podatne na te ataki, ponieważ bardzo często Wi-Fi jest jedynym środkiem komunikacji, jaki mają, aby uzyskać dostęp do Internetu. Bezpieczeństwo sieci bezprzewodowych (WLAN) jest więc ważnym tematem. Początkowo sieci bezprzewodowe były zabezpieczone kluczami WEP . Słabością WEP jest krótki klucz szyfrowania, który jest taki sam dla wszystkich podłączonych klientów. Ponadto badacze odkryli kilka redukcji w przestrzeni wyszukiwania kluczy. Obecnie większość sieci bezprzewodowych jest chronionych protokołem bezpieczeństwa WPA . WPA opiera się na protokoleTemporal Key Integrity Protocol (TKIP)”, który został zaprojektowany, aby umożliwić migrację z WEP do WPA na już wdrożonym sprzęcie. Głównymi ulepszeniami bezpieczeństwa są dynamiczne klucze szyfrowania. W przypadku małych sieci WPA jest „ kluczem wstępnym ”, opartym na kluczu współdzielonym. Szyfrowanie może być podatne na ataki, jeśli długość współdzielonego klucza jest krótka. Mając ograniczone możliwości wprowadzania danych (tj. tylko klawiatura numeryczna), użytkownicy telefonów komórkowych mogą definiować krótkie klucze szyfrowania zawierające tylko cyfry. Zwiększa to prawdopodobieństwo sukcesu ataku brute-force. Następca WPA, zwany WPA2 , ma być wystarczająco bezpieczny, aby wytrzymać atak brute force. Bezpłatna sieć Wi-Fi jest zwykle oferowana przez organizacje takie jak lotniska, kawiarnie i restauracje z wielu powodów. Oprócz spędzania większej ilości czasu w siedzibie, dostęp do sieci Wi-Fi pomaga im zachować produktywność. Prawdopodobnie wydadzą więcej pieniędzy, jeśli spędzą więcej czasu w lokalu. Kolejnym powodem jest usprawnienie śledzenia klientów. Wiele restauracji i kawiarni zbiera dane o swoich klientach, dzięki czemu mogą kierować reklamy bezpośrednio na swoje urządzenia. Oznacza to, że klienci wiedzą, jakie usługi świadczy obiekt. Ogólnie rzecz biorąc, osoby fizyczne filtrują lokale biznesowe w oparciu o połączenia internetowe jako kolejny powód do uzyskania przewagi konkurencyjnej. Możliwość dostępu do bezpłatnego i szybkiego Wi-Fi daje firmie przewagę nad tymi, którzy tego nie robią. Za bezpieczeństwo sieci odpowiadają organizacje. Istnieje jednak wiele zagrożeń związanych z niezabezpieczonymi sieciami Wi-Fi. Atak typu man-in-the-middle polega na przechwyceniu i modyfikacji danych między stronami. Ponadto złośliwe oprogramowanie może być dystrybuowane za pośrednictwem bezpłatnej sieci Wi-Fi, a hakerzy mogą wykorzystywać luki w oprogramowaniu do przemycania złośliwego oprogramowania na podłączone urządzenia. Możliwe jest również podsłuchiwanie i podsłuchiwanie sygnałów Wi-Fi za pomocą specjalnego oprogramowania i urządzeń, przechwytywanie danych logowania i przejmowanie kont.

Podobnie jak w przypadku GSM, jeśli atakującemu uda się złamać klucz identyfikacyjny, możliwe będzie zaatakowanie nie tylko telefonu, ale także całej sieci, do której jest podłączony.

Wiele smartfonów obsługujących bezprzewodowe sieci LAN pamięta, że ​​są już połączone, a ten mechanizm zapobiega ponownej identyfikacji użytkownika przy każdym połączeniu. Jednak osoba atakująca może stworzyć bliźniaczy punkt dostępowy WIFI o takich samych parametrach i właściwościach jak prawdziwa sieć. Wykorzystując fakt, że niektóre smartfony pamiętają sieci, mogą pomylić dwie sieci i połączyć się z siecią atakującego, który może przechwycić dane, jeśli nie prześle swoich danych w postaci zaszyfrowanej.

Lasco to robak, który początkowo infekuje zdalne urządzenie przy użyciu formatu pliku SIS . Format pliku SIS (Software Installation Script) to plik skryptu, który może być wykonywany przez system bez interakcji użytkownika. Smartphone wierzy w ten sposób plik pochodzi z zaufanego źródła i pobiera go, zainfekowaniu maszyny.

Zasada ataków opartych na technologii Bluetooth

Zagadnienia bezpieczeństwa związane z Bluetooth na urządzeniach mobilnych zostały zbadane i wykazały liczne problemy na różnych telefonach. Jedna łatwa do wykorzystania luka : niezarejestrowane usługi nie wymagają uwierzytelniania, a aplikacje zawierające lukę mają wirtualny port szeregowy używany do kontrolowania telefonu. Atakujący musiał jedynie połączyć się z portem, aby przejąć pełną kontrolę nad urządzeniem. Inny przykład: telefon musi być w zasięgu i Bluetooth w trybie wykrywania. Atakujący wysyła plik przez Bluetooth. Jeśli odbiorca zaakceptuje, przesyłany jest wirus. Na przykład: Cabir to robak, który rozprzestrzenia się za pośrednictwem połączenia Bluetooth. Robak wyszukuje pobliskie telefony z Bluetooth w trybie wykrywalnym i wysyła się do urządzenia docelowego. Użytkownik musi zaakceptować przychodzący plik i zainstalować program. Po zainstalowaniu robak infekuje maszynę.

Ataki oparte na lukach w aplikacjach

Inne ataki opierają się na błędach w systemie operacyjnym lub aplikacjach w telefonie.

przeglądarka internetowa

Mobilna przeglądarka internetowa to nowy wektor ataku na urządzenia mobilne. Podobnie jak zwykłe przeglądarki internetowe, mobilne przeglądarki internetowe są rozwinięciem czystej nawigacji internetowej za pomocą widżetów i wtyczek lub są całkowicie natywnymi przeglądarkami mobilnymi.

Jailbreaking na iPhone z firmware 1.1.1 została oparta wyłącznie na luki w przeglądarce internetowej. W rezultacie wykorzystanie opisanej tutaj luki uwydatnia znaczenie przeglądarki internetowej jako wektora ataku na urządzenia mobilne. W tym przypadku wystąpiła luka polegająca na przepełnieniu bufora opartego na stosie w bibliotece używanej przez przeglądarkę internetową ( Libtiff ).

Luka w przeglądarce internetowej dla systemu Android została odkryta w październiku 2008 roku. Podobnie jak w przypadku opisanej powyżej luki w zabezpieczeniach iPhone'a, była ona spowodowana przestarzałą i podatną biblioteką . Istotną różnicą w stosunku do luki w iPhone'ie była architektura sandboxingu Androida, która ograniczała skutki tej luki w procesie przeglądarki internetowej.

Smartfony są również ofiarami klasycznego piractwa związanego z internetem: phishingiem , złośliwymi stronami internetowymi, oprogramowaniem działającym w tle itp. Duża różnica polega na tym, że smartfony nie mają jeszcze silnego oprogramowania antywirusowego .

Internet oferuje wiele interaktywnych funkcji, które zapewniają wyższy wskaźnik zaangażowania, przechwytywanie większej ilości istotnych danych oraz zwiększenie lojalności wobec marki. Blogi, fora, sieci społecznościowe i wiki to jedne z najpopularniejszych interaktywnych witryn internetowych. Ze względu na ogromny rozwój Internetu nastąpił gwałtowny wzrost liczby naruszeń bezpieczeństwa, których doświadczyły osoby fizyczne i firmy w ciągu ostatnich kilku lat. Użytkownicy mogą na kilka sposobów zrównoważyć potrzebę korzystania z funkcji interaktywnych, zachowując jednocześnie ostrożność w kwestii bezpieczeństwa. Regularne sprawdzanie zabezpieczeń komputera oraz poprawianie, aktualizowanie i wymiana niezbędnych funkcji to tylko niektóre ze sposobów na to. Instalacja programów antywirusowych i antyspyware to najskuteczniejszy sposób ochrony komputera, który zapewnia ochronę przed złośliwym oprogramowaniem, oprogramowaniem szpiegującym i wirusami. Ponadto używają zapór ogniowych, które są zwykle instalowane między Internetem a siecią komputerową, aby znaleźć równowagę. Działając jako serwer sieciowy, zapora uniemożliwia użytkownikom zewnętrznym dostęp do wewnętrznego systemu komputerowego. Ponadto bezpieczne hasła i nieudostępnianie ich pomagają zachować równowagę.

System operacyjny

Czasami możliwe jest obejście zabezpieczeń poprzez modyfikację samego systemu operacyjnego. Jako przykłady z życia wzięte, w tej sekcji opisano manipulowanie certyfikatami oprogramowania układowego i złośliwych podpisów. Te ataki są trudne.

W 2004 roku ujawniono luki w maszynach wirtualnych działających na niektórych urządzeniach. Udało się ominąć weryfikator kodu bajtowego i uzyskać dostęp do natywnego systemu operacyjnego. Wyniki tych badań nie zostały szczegółowo opublikowane. Bezpieczeństwo oprogramowania układowego Symbian Platform Security Architecture (PSA) firmy Nokia opiera się na centralnym pliku konfiguracyjnym o nazwie SWIPolicy. W 2008 roku można było manipulować oprogramowaniem Nokii przed jego zainstalowaniem, aw rzeczywistości w niektórych jego wersjach do pobrania plik ten był czytelny dla człowieka, dzięki czemu można było modyfikować i zmieniać obraz oprogramowania. Tę usterkę rozwiązała aktualizacja firmy Nokia.

Teoretycznie smartfony mają przewagę nad dyskami twardymi, ponieważ pliki systemu operacyjnego znajdują się w pamięci ROM i nie mogą zostać zmienione przez złośliwe oprogramowanie . Jednak w niektórych systemach można było to obejść: w systemie Symbian OS możliwe było nadpisanie pliku plikiem o tej samej nazwie. W systemie operacyjnym Windows można było zmienić wskaźnik z ogólnego pliku konfiguracyjnego na plik edytowalny.

Po zainstalowaniu aplikacji podpisanie tej aplikacji jest weryfikowane za pomocą serii certyfikatów . Można stworzyć ważny podpis bez użycia ważnego certyfikatu i dodać go do listy. W systemie Symbian OS wszystkie certyfikaty znajdują się w katalogu: c:\resource\swicertstore\dat. Dzięki opisanym powyżej zmianom oprogramowania układowego bardzo łatwo jest wstawić pozornie ważny, ale złośliwy certyfikat.

Ataki oparte na lukach sprzętowych

Przebiegi elektromagnetyczne

W 2015 r. naukowcy z francuskiej agencji rządowej Agence nationale de la sécurité des systèmes d'information (ANSSI) wykazali możliwość zdalnego wyzwalania interfejsu głosowego niektórych smartfonów za pomocą „określonych przebiegów elektromagnetycznych”. Exploit wykorzystywał właściwości anteny przewodów słuchawkowych, gdy był podłączony do gniazd wyjścia audio podatnych smartfonów, i skutecznie sfałszował wejście audio w celu wstrzykiwania poleceń za pośrednictwem interfejsu audio.

Przeciskanie soku

Juice Jacking to fizyczna lub sprzętowa luka w zabezpieczeniach charakterystyczna dla platform mobilnych. Wykorzystując podwójne przeznaczenie portu ładowania USB, wiele urządzeń było podatnych na eksfiltrację danych lub zainstalowanie złośliwego oprogramowania na urządzeniu mobilnym za pomocą złośliwych kiosków ładujących zainstalowanych w miejscach publicznych lub ukrytych w zwykłych adapterach ładowania.

Łamanie więzienia i rootowanie

Jail-breaking to także fizyczna luka w dostępie, w której użytkownicy urządzeń mobilnych inicjują włamywanie się do urządzeń, aby je odblokować i wykorzystywać słabości systemu operacyjnego. Użytkownicy urządzeń mobilnych przejmują kontrolę nad własnym urządzeniem, łamiąc je, i dostosowują interfejs, instalując aplikacje, zmieniając ustawienia systemowe, które nie są dozwolone na urządzeniach. W ten sposób, pozwalając na modyfikowanie procesów systemów operacyjnych urządzeń mobilnych, uruchamianie programów w tle, w ten sposób urządzenia są narażone na różne złośliwe ataki, które mogą prowadzić do złamania ważnych prywatnych danych.

Łamanie hasła

W 2010 roku badacz z University of Pennsylvania zbadał możliwość złamania hasła urządzenia poprzez atak typu „smudge” (dosłownie obrazując smugi palców na ekranie, aby rozpoznać hasło użytkownika). Badacze byli w stanie rozpoznać hasło do urządzenia w 68% przypadków w określonych warunkach. Osoby postronne mogą wykonywać na ofiarach przez ramię, na przykład oglądać określone naciśnięcia klawiszy lub gesty wzorcowe, aby odblokować hasło lub kod dostępu do urządzenia.

Złośliwe oprogramowanie (złośliwe oprogramowanie)

Ponieważ smartfony są stałym punktem dostępu do Internetu (w większości włączonym), można je zhakować tak łatwo, jak komputery ze złośliwym oprogramowaniem. Złośliwe oprogramowanie to program komputerowy, który ma na celu zaszkodzić system, w którym się ona znajduje. Liczba wariantów mobilnego szkodliwego oprogramowania wzrosła o 54% w roku 2017. Wszystkie trojany , robaki i wirusy są uważane za szkodliwe oprogramowanie. Trojan to program, który znajduje się na smartfonie i umożliwia użytkownikom zewnętrznym dyskretne łączenie się. Robak to program, który rozmnaża się na wielu komputerach w sieci. Wirus to złośliwe oprogramowanie zaprojektowane do rozprzestrzeniania się na inne komputery poprzez wstawianie się do legalnych programów i równoległe uruchamianie programów. Trzeba jednak powiedzieć, że złośliwe oprogramowanie jest znacznie mniej liczne i ważne dla smartfonów niż komputerów.

Rodzaje złośliwego oprogramowania na podstawie liczby smartfonów w 2009 r.

Niemniej jednak ostatnie badania pokazują, że ewolucja złośliwego oprogramowania w smartfonach gwałtownie wzrosła w ciągu ostatnich kilku lat, stwarzając zagrożenie dla analizy i wykrywania.

Trzy fazy ataków złośliwego oprogramowania

Zazwyczaj atak złośliwego oprogramowania na smartfon odbywa się w 3 fazach: infekcja hosta, osiągnięcie celu i rozprzestrzenianie się złośliwego oprogramowania na inne systemy. Złośliwe oprogramowanie często wykorzystuje zasoby oferowane przez zainfekowane smartfony. Będzie korzystał z urządzeń wyjściowych, takich jak Bluetooth lub podczerwień, ale może również wykorzystać książkę adresową lub adres e-mail osoby do zainfekowania znajomych użytkownika. Złośliwe oprogramowanie wykorzystuje zaufanie do danych przesyłanych przez znajomego.

Infekcja

Infekcja to sposób, w jaki szkodliwe oprogramowanie przedostaje się do smartfona, może wykorzystywać jedną z wcześniej przedstawionych wad lub wykorzystywać naiwność użytkownika. Infekcje są podzielone na cztery klasy w zależności od stopnia interakcji z użytkownikiem:

Wyraźne pozwolenie
Najbardziej łagodną interakcją jest zapytanie użytkownika, czy może on zainfekować komputer, wyraźnie wskazując na jego potencjalne złośliwe zachowanie. Jest to typowe zachowanie złośliwego oprogramowania typu „ proof of concept” .
Domniemane pozwolenie
Ta infekcja opiera się na fakcie, że użytkownik ma zwyczaj instalowania oprogramowania. Większość trojanów próbuje nakłonić użytkownika do zainstalowania atrakcyjnych aplikacji (gier, przydatnych aplikacji itp.), które faktycznie zawierają złośliwe oprogramowanie.
Wspólna interakcja
Ta infekcja jest związana z typowym zachowaniem, takim jak otwieranie wiadomości MMS lub e-mail.
Brak interakcji
Ostatnia klasa infekcji jest najbardziej niebezpieczna. Rzeczywiście, robak, który mógłby zainfekować smartfon i mógłby zainfekować inne smartfony bez jakiejkolwiek interakcji, byłby katastrofą.

Osiągnięcie celu

Po zainfekowaniu telefonu przez złośliwe oprogramowanie będzie również dążyło do osiągnięcia swojego celu, który zwykle jest jednym z następujących: szkody pieniężne, uszkodzenie danych i/lub urządzenia oraz ukryte uszkodzenia:

Szkody pieniężne
Atakujący może ukraść dane użytkownika i albo sprzedać je temu samemu użytkownikowi, albo sprzedać stronie trzeciej.
Szkoda
Złośliwe oprogramowanie może częściowo uszkodzić urządzenie lub usunąć lub zmodyfikować dane na urządzeniu.
Ukryte uszkodzenia
Dwa wyżej wymienione rodzaje uszkodzeń są wykrywalne, ale złośliwe oprogramowanie może również pozostawić furtkę dla przyszłych ataków, a nawet prowadzić podsłuchy.

Rozprzestrzenianie się na inne systemy

Po zainfekowaniu smartfona przez złośliwe oprogramowanie zawsze dąży do rozprzestrzeniania się w taki czy inny sposób:

  • Może rozprzestrzeniać się za pośrednictwem urządzeń znajdujących się w pobliżu za pomocą Wi-Fi, Bluetooth i podczerwieni;
  • Może również rozprzestrzeniać się za pomocą zdalnych sieci, takich jak rozmowy telefoniczne, SMS-y lub e-maile.

Przykłady złośliwego oprogramowania

Oto różne złośliwe programy, które istnieją w świecie smartfonów, z krótkim opisem każdego z nich.

Wirusy i trojany

  • Cabir (znany również jako Caribe, SybmOS/Cabir, Symbian/Cabir i EPOC.cabir) to nazwa robaka komputerowego opracowanego w 2004 roku, przeznaczonego do infekowania telefonów komórkowych z systemem Symbian OS . Uważa się, że był to pierwszy robak komputerowy, który może infekować telefony komórkowe
  • Commwarrior , wykryty 7 marca 2005 r., był pierwszym robakiem, który może infekować wiele komputerów za pomocą MMS-ów . Jest wysyłany jako COMMWARRIOR.ZIP zawierający plik COMMWARRIOR.SIS. Po uruchomieniu tego pliku Commwarrior próbuje połączyć się z pobliskimi urządzeniami przez Bluetooth lub podczerwień pod losową nazwą. Następnie próbuje wysłać wiadomość MMS do kontaktów w smartfonie z różnymi wiadomościami nagłówka dla każdej osoby, która odbiera MMS i często otwiera je bez dalszej weryfikacji.
  • Phage to pierwszy odkryty wirus Palm OS . Przenosi do Palmy z komputera PC poprzez synchronizację. Infekuje wszystkie aplikacje w smartfonie i osadza własny kod, aby działał bez wykrycia tego przez użytkownika i system. Wszystko, co system wykryje, to działanie zwykłych aplikacji.
  • RedBrowser to trojan oparty na javie. Trojan podszywa się pod program o nazwie „RedBrowser”, który umożliwia użytkownikowi odwiedzanie stron WAP bez połączenia z WAP. Podczas instalacji aplikacji użytkownik widzi na swoim telefonie prośbę o pozwolenie aplikacji na wysyłanie wiadomości. Jeśli użytkownik zaakceptuje, RedBrowser może wysyłać SMSy do płatnych centrów telefonicznych. Ten program wykorzystuje połączenie smartfona z sieciami społecznościowymi ( Facebook , Twitter itp.), aby uzyskać informacje kontaktowe znajomych użytkownika (pod warunkiem, że udzielono im wymaganych uprawnień) i będzie wysyłać im wiadomości.
  • WinCE.PmCryptic.A to złośliwe oprogramowanie na Windows Mobile, którego celem jest zarabianie pieniędzy dla swoich autorów. Wykorzystuje inwazję kart pamięci włożonych do smartfona, aby skuteczniej się rozprzestrzeniać.
  • CardTrap to wirus dostępny na różne typy smartfonów, którego celem jest dezaktywacja systemu i aplikacji firm trzecich. Działa poprzez zastąpienie plików używanych do uruchamiania smartfona i aplikacji, aby uniemożliwić ich wykonanie. Istnieją różne warianty tego wirusa, takie jak Cardtrap.A dla urządzeń SymbOS. Infekuje również kartę pamięci złośliwym oprogramowaniem, które może zainfekować system Windows .
  • Ghost Push to złośliwe oprogramowanie na system operacyjny Android, które automatycznie rootuje urządzenie z Androidem i instaluje złośliwe aplikacje bezpośrednio na partycji systemowej, a następnie unrootuje urządzenie, aby uniemożliwić użytkownikom usunięcie zagrożenia przez główny reset (zagrożenie można usunąć tylko przez ponowne flashowanie). Ogranicza zasoby systemowe, działa szybko i jest trudny do wykrycia.

Ransomware

Mobilne oprogramowanie ransomware to rodzaj złośliwego oprogramowania, które blokuje użytkownikom dostęp do ich urządzeń mobilnych w trybie płatności za odblokowanie urządzenia. Od 2014 r. jego kategoria zagrożeń wzrosła skokowo. często mniej dbający o bezpieczeństwo, zwłaszcza jeśli chodzi o kontrolowanie aplikacji i łączy internetowych, ufając natywnym możliwościom ochrony systemu operacyjnego urządzenia mobilnego. Mobilne oprogramowanie ransomware stanowi poważne zagrożenie dla firm uzależnionych od natychmiastowego dostępu i dostępności zastrzeżonych informacji i kontaktów. Prawdopodobieństwo, że podróżujący biznesmen zapłaci okup za odblokowanie urządzenia, jest znacznie wyższe, ponieważ znajdują się w niekorzystnej sytuacji ze względu na niedogodności, takie jak terminowość i mniej prawdopodobny bezpośredni dostęp do personelu IT. Niedawny atak ransomware wywołał poruszenie na świecie, ponieważ atak spowodował, że wiele urządzeń podłączonych do Internetu nie działało, a firmy wydały duże kwoty, aby odzyskać siły po tych atakach.

Programy szpiegujące

  • Flexispy to aplikacja, którą można uznać za trojana, opartą na Symbianie. Program wysyła wszystkie informacje otrzymane i wysłane ze smartfona na serwer Flexispy. Został pierwotnie stworzony, aby chronić dzieci i szpiegować cudzołożnych małżonków.

Liczba złośliwego oprogramowania

Poniżej znajduje się diagram, który ładuje różne zachowania szkodliwego oprogramowania dla smartfonów pod kątem ich wpływu na smartfony:

Skutki złośliwego oprogramowania

Na wykresie widać, że co najmniej 50 odmian złośliwego oprogramowania nie wykazuje żadnych negatywnych zachowań, z wyjątkiem zdolności do rozprzestrzeniania się.

Przenośność złośliwego oprogramowania na różne platformy

Istnieje wiele złośliwych programów. Wynika to częściowo z różnorodności systemów operacyjnych na smartfonach. Jednak atakujący mogą również wybrać, aby ich złośliwe oprogramowanie było atakowane na wiele platform i można znaleźć złośliwe oprogramowanie, które atakuje system operacyjny, ale jest w stanie rozprzestrzeniać się na różne systemy.

Po pierwsze, złośliwe oprogramowanie może korzystać ze środowisk wykonawczych, takich jak wirtualna maszyna Java lub .NET Framework . Mogą również korzystać z innych bibliotek obecnych w wielu systemach operacyjnych. Inne złośliwe oprogramowanie zawiera kilka plików wykonywalnych w celu działania w wielu środowiskach i wykorzystuje je podczas procesu propagacji. W praktyce ten typ złośliwego oprogramowania wymaga połączenia między dwoma systemami operacyjnymi, aby mógł zostać wykorzystany jako wektor ataku. W tym celu można wykorzystać karty pamięci lub wykorzystać oprogramowanie do synchronizacji do rozprzestrzeniania wirusa.

Środki zaradcze

W tej sekcji przedstawiono mechanizmy bezpieczeństwa mające na celu przeciwdziałanie opisanym powyżej zagrożeniom. Są one podzielone na różne kategorie, ponieważ nie wszystkie działają na tym samym poziomie i obejmują zarządzanie bezpieczeństwem przez system operacyjny po edukację behawioralną użytkownika. Zagrożenia, którym zapobiegają różne środki, nie są takie same w zależności od przypadku. Biorąc pod uwagę dwa wymienione powyżej przypadki, w pierwszym przypadku system chroniłby system przed uszkodzeniem przez aplikację, a w drugim instalacja podejrzanego oprogramowania byłaby uniemożliwiona.

Bezpieczeństwo w systemach operacyjnych

Pierwszą warstwą bezpieczeństwa w smartfonie jest system operacyjny (OS) . Poza koniecznością obsługi zwykłych ról systemu operacyjnego (np. zarządzanie zasobami , planowanie procesów) na urządzeniu, musi również ustanowić protokoły do ​​wprowadzania zewnętrznych aplikacji i danych bez wprowadzania ryzyka.

Centralnym paradygmatem w mobilnych systemach operacyjnych jest idea piaskownicy . Ponieważ smartfony są obecnie projektowane do obsługi wielu aplikacji, muszą posiadać mechanizmy zapewniające, że te aplikacje są bezpieczne dla samego telefonu, innych aplikacji i danych w systemie oraz dla użytkownika. Jeśli szkodliwy program dotrze do urządzenia mobilnego, zagrożony obszar prezentowany przez system musi być jak najmniejszy. Sandboxing rozszerza tę ideę, aby podzielić różne procesy, zapobiegając ich interakcji i niszczeniu się nawzajem. W oparciu o historię systemów operacyjnych sandboxing ma różne implementacje. Na przykład tam, gdzie system iOS domyślnie skoncentruje się na ograniczaniu dostępu do swojego publicznego interfejsu API dla aplikacji z App Store, funkcja Managed Open In umożliwia ograniczenie dostępu aplikacji do danych typów. Android opiera swoje sandboxing na spuściźnie Linuksa i TrustedBSD .

Poniższe punkty podkreślają mechanizmy zaimplementowane w systemach operacyjnych, zwłaszcza Android.

Wykrywacze rootkitów
Wtargnięcie rootkita do systemu stanowi wielkie niebezpieczeństwo, podobnie jak na komputerze. Ważne jest, aby zapobiegać takim włamaniom i móc je wykrywać tak często, jak to możliwe. Rzeczywiście, istnieje obawa, że ​​w przypadku tego typu szkodliwego programu, skutkiem może być częściowe lub całkowite obejście bezpieczeństwa urządzenia i nabycie praw administratora przez atakującego. Jeśli tak się stanie, nic nie stoi na przeszkodzie, aby osoba atakująca zbadała lub wyłączyła ominięte funkcje bezpieczeństwa, wdrażała żądane aplikacje lub rozpowszechniała metodę włamań przez rootkita do szerszego grona odbiorców. Jako mechanizm obronny możemy przytoczyć Łańcuch zaufania w iOS. Mechanizm ten opiera się na podpisie różnych aplikacji wymaganych do uruchomienia systemu operacyjnego oraz certyfikacie podpisanym przez Apple. W przypadku, gdy kontrole sygnatur są niejednoznaczne, urządzenie to wykryje i zatrzyma rozruch. Jeśli system operacyjny zostanie naruszony z powodu Jailbreaking , wykrywanie rootkitów może nie działać, jeśli zostanie wyłączone za pomocą metody Jailbreak lub oprogramowanie zostanie załadowane po wyłączeniu przez Jailbreak wykrywania rootkitów.
Izolacja procesu
Android wykorzystuje mechanizmy izolacji procesów użytkownika odziedziczone po Linuksie. Każda aplikacja ma skojarzonego z nią użytkownika i krotkę ( UID , GID ). Takie podejście służy jako piaskownica : chociaż aplikacje mogą być złośliwe, nie mogą wydostać się z piaskownicy zarezerwowanej dla nich przez ich identyfikatory, a tym samym nie mogą zakłócać prawidłowego funkcjonowania systemu. Na przykład, ponieważ nie jest możliwe, aby proces zakończył proces innego użytkownika, aplikacja nie może zatem zatrzymać wykonywania innego.
Uprawnienia do plików
Ze spuścizny Linuksa istnieją również mechanizmy uprawnień systemu plików . Pomagają w piaskownicy: proces nie może edytować żadnych plików, które chce. Dlatego nie jest możliwe swobodne uszkodzenie plików niezbędnych do działania innej aplikacji lub systemu. Ponadto w Androidzie istnieje metoda blokowania uprawnień do pamięci. Nie ma możliwości zmiany uprawnień plików zainstalowanych na karcie SD z telefonu, a co za tym idzie nie jest możliwe instalowanie aplikacji.
Ochrona pamięci
W taki sam sposób jak na komputerze ochrona pamięci zapobiega eskalacji uprawnień . Rzeczywiście, jeśli procesowi udało się dotrzeć do obszaru przydzielonego innym procesom, mógłby zapisać w pamięci proces z prawami wyższymi niż ich własne, w najgorszym przypadku z rootem i wykonać akcje, które są poza jego uprawnieniami w systemie. Wystarczyłoby wstawić wywołania funkcji autoryzowane przez uprawnienia złośliwej aplikacji.
Rozwój przez środowiska uruchomieniowe
Oprogramowanie jest często tworzone w językach wysokiego poziomu, które mogą kontrolować, co jest wykonywane przez uruchomiony program. Na przykład Java Virtual Machines stale monitorują działania wątków wykonawczych, którymi zarządzają, monitorują i przypisują zasoby oraz zapobiegają złośliwym działaniom. Za pomocą tych elementów sterujących można zapobiec przepełnieniu bufora.

Oprogramowanie zabezpieczające

Ponad bezpieczeństwem systemu operacyjnego znajduje się warstwa oprogramowania zabezpieczającego. Ta warstwa składa się z pojedynczych komponentów, które wzmacniają różne podatności: zapobiegają złośliwemu oprogramowaniu, włamaniom, identyfikacji użytkownika jako człowieka oraz uwierzytelnianiu użytkownika. Zawiera komponenty oprogramowania, które nauczyły się na podstawie ich doświadczenia z bezpieczeństwem komputerowym; jednak na smartfonach to oprogramowanie musi radzić sobie z większymi ograniczeniami (patrz ograniczenia ).

Antywirus i zapora
Oprogramowanie antywirusowe można wdrożyć na urządzeniu w celu sprawdzenia, czy nie jest ono zainfekowane znanym zagrożeniem, zwykle przez oprogramowanie do wykrywania sygnatur, które wykrywa złośliwe pliki wykonywalne. Firewall , w międzyczasie, można oglądać na istniejący ruch w sieci i upewnić się, że złośliwa aplikacja nie dąży do komunikowania się przez nią. Może również zweryfikować, czy zainstalowana aplikacja nie próbuje nawiązać podejrzanej komunikacji, co może zapobiec próbie włamania.

Mobilny produkt antywirusowy skanuje pliki i porównuje je z bazą danych sygnatur znanych kodów mobilnego szkodliwego oprogramowania.

Powiadomienia wizualne
Aby uświadomić użytkownikowi wszelkie nietypowe działania, takie jak połączenie, którego nie zainicjował, można połączyć niektóre funkcje z powiadomieniem wizualnym, którego nie można obejść. Na przykład, gdy wywołane jest połączenie, wybierany numer powinien być zawsze wyświetlany. Dzięki temu, jeśli połączenie zostanie wywołane przez złośliwą aplikację, użytkownik może zobaczyć i podjąć odpowiednie działania.
Test Turinga
W tym samym duchu, co powyżej, ważne jest, aby potwierdzić pewne działania decyzją użytkownika. Test Turinga służy do rozróżnienia między człowiekiem a użytkownikiem wirtualnym i często występuje jako captcha .
Identyfikacja biometryczna
Inną metodą do wykorzystania jest biometria . Biometria to technika identyfikacji osoby na podstawie jej morfologii (na przykład rozpoznawanie twarzy lub oka) lub zachowania ( na przykład podpisu lub sposobu pisania ). Jedną z zalet korzystania z zabezpieczeń biometrycznych jest to, że użytkownicy mogą uniknąć konieczności zapamiętywania hasła lub innej tajnej kombinacji w celu uwierzytelnienia i uniemożliwienia złośliwym użytkownikom dostępu do ich urządzeń. W systemie o silnym zabezpieczeniu biometrycznym tylko główny użytkownik może uzyskać dostęp do smartfona.

Monitorowanie zasobów w smartfonie

Gdy aplikacja przekroczy różne bariery bezpieczeństwa, może podjąć działania, dla których została zaprojektowana. Kiedy takie akcje są uruchamiane, aktywność złośliwej aplikacji może czasami zostać wykryta, jeśli monitoruje się różne zasoby używane w telefonie. W zależności od celów złośliwego oprogramowania konsekwencje infekcji nie zawsze są takie same; wszystkie złośliwe aplikacje nie mają na celu wyrządzenia szkody urządzeniom, na których zostały wdrożone. W poniższych sekcjach opisano różne sposoby wykrywania podejrzanej aktywności.

Bateria
Niektóre złośliwe programy mają na celu wyczerpanie zasobów energetycznych telefonu. Monitorowanie zużycia energii przez telefon może być sposobem na wykrycie niektórych złośliwych aplikacji.
Zużycie pamięci
Użycie pamięci jest nieodłącznym elementem każdej aplikacji. Jeśli jednak okaże się, że znaczna część pamięci jest używana przez aplikację, może zostać oznaczona jako podejrzana.
Ruch sieciowy
W smartfonie wiele aplikacji musi łączyć się przez sieć w ramach normalnego działania. Jednak aplikacja korzystająca z dużej przepustowości może być silnie podejrzewana o próbę przekazywania dużej ilości informacji i rozpowszechniania danych na wiele innych urządzeń. Ta obserwacja pozwala tylko na podejrzenie, ponieważ niektóre legalne aplikacje mogą bardzo intensywnie wykorzystywać zasoby w zakresie komunikacji sieciowej, czego najlepszym przykładem jest przesyłanie strumieniowe wideo .
Usługi
Można monitorować aktywność różnych usług smartfona. W pewnych momentach niektóre usługi nie powinny być aktywne, a jeśli jakaś zostanie wykryta, aplikacja powinna być podejrzana. Na przykład wysłanie wiadomości SMS, gdy użytkownik filmuje wideo: ta komunikacja nie ma sensu i jest podejrzana; złośliwe oprogramowanie może próbować wysłać SMS-a, gdy jego aktywność jest zamaskowana.

Poszczególne punkty wymienione powyżej są jedynie wskazówkami i nie dają pewności co do zasadności działania zgłoszenia. Kryteria te mogą jednak pomóc w ukierunkowaniu na podejrzane aplikacje, zwłaszcza w przypadku połączenia kilku kryteriów.

Nadzór sieci

Ruch sieciowy wymieniany przez telefony może być monitorowany. W punktach routingu sieci można umieścić zabezpieczenia w celu wykrycia nieprawidłowego zachowania. Ponieważ wykorzystanie protokołów sieciowych przez telefon komórkowy jest znacznie bardziej ograniczone niż przez komputer, można przewidzieć oczekiwane strumienie danych sieciowych (np. protokół do wysyłania wiadomości SMS), co pozwala na wykrywanie anomalii w sieciach komórkowych.

Filtry spamu
Podobnie jak w przypadku wymiany wiadomości e-mail, możemy wykryć kampanię spamową za pomocą środków komunikacji mobilnej (SMS, MMS). Dlatego możliwe jest wykrycie i zminimalizowanie tego rodzaju prób przez filtry wdrożone w infrastrukturze sieciowej, która przekazuje te wiadomości.
Szyfrowanie przechowywanych lub przesyłanych informacji
Ponieważ zawsze istnieje możliwość przechwycenia wymienianych danych, komunikacja, a nawet przechowywanie informacji, może polegać na szyfrowaniu, aby uniemożliwić złośliwemu podmiotowi wykorzystanie danych uzyskanych podczas komunikacji. Pojawia się jednak problem wymiany kluczy na algorytmy szyfrowania, co wymaga bezpiecznego kanału.
Monitorowanie sieci telekomunikacyjnej
Sieci dla SMS-ów i MMS-ów wykazują przewidywalne zachowanie i nie ma tak dużej swobody w porównaniu z tym, co można zrobić z protokołami takimi jak TCP czy UDP. Oznacza to, że nie można przewidzieć wykorzystania wspólnych protokołów sieciowych; można generować bardzo mały ruch, rzadko przeglądając proste strony, lub generować duży ruch za pomocą strumieniowego przesyłania wideo. Z drugiej strony wiadomości wymieniane przez telefon komórkowy mają ramy i określony model, a użytkownik w normalnym przypadku nie ma swobody ingerowania w szczegóły tej komunikacji. Dlatego też w przypadku wykrycia nieprawidłowości w strumieniu danych sieciowych w sieciach komórkowych potencjalne zagrożenie można szybko wykryć.

Nadzór producenta

W łańcuchu produkcji i dystrybucji urządzeń mobilnych obowiązkiem producentów jest zapewnienie, aby urządzenia były dostarczane w podstawowej konfiguracji bez podatności. Większość użytkowników nie jest ekspertami i wielu z nich nie zdaje sobie sprawy z istnienia luk w zabezpieczeniach, więc konfiguracja urządzenia dostarczona przez producentów zostanie zachowana przez wielu użytkowników. Poniżej wymieniono kilka punktów, które producenci powinni wziąć pod uwagę. Niektórzy producenci smartfonów wstawiają Titan M2 w celu zwiększenia bezpieczeństwa mobilnego.

Usuń tryb debugowania
Telefony są czasami ustawiane w trybie debugowania podczas produkcji, ale ten tryb musi zostać wyłączony przed sprzedażą telefonu. Ten tryb umożliwia dostęp do różnych funkcji, które nie są przeznaczone do rutynowego użytku przez użytkownika. Ze względu na szybkość rozwoju i produkcji pojawiają się zakłócenia, a niektóre urządzenia są sprzedawane w trybie debugowania. Ten rodzaj wdrożenia naraża urządzenia mobilne na ataki wykorzystujące ten nadzór.
Ustawienia domyślne
Gdy smartfon jest sprzedawany, jego domyślne ustawienia muszą być poprawne i nie pozostawiać luk w zabezpieczeniach. Domyślna konfiguracja nie zawsze ulega zmianie, dlatego dobra konfiguracja początkowa jest niezbędna dla użytkowników. Istnieją na przykład konfiguracje domyślne, które są podatne na ataki typu „odmowa usługi”.
Audyt bezpieczeństwa aplikacji
Wraz ze smartfonami pojawiły się sklepy z aplikacjami. Użytkownik ma do czynienia z szeroką gamą zastosowań. Dotyczy to zwłaszcza dostawców, którzy zarządzają sklepami z aplikacjami, ponieważ ich zadaniem jest sprawdzanie dostarczanych aplikacji z różnych punktów widzenia (np. bezpieczeństwa, treści). Audyt bezpieczeństwa powinien być szczególnie ostrożny, ponieważ jeśli usterka nie zostanie wykryta, aplikacja może bardzo szybko rozprzestrzenić się w ciągu kilku dni i zainfekować znaczną liczbę urządzeń.
Wykrywaj podejrzane aplikacje wymagające uprawnień
Podczas instalowania aplikacji dobrze jest ostrzec użytkownika przed zestawami uprawnień, które zgrupowane razem wydają się potencjalnie niebezpieczne lub przynajmniej podejrzane. Struktury takie jak Kirin w systemie Android próbują wykryć i zabronić pewnych zestawów uprawnień.
Procedury odwoławcze
Wraz ze sklepami z aplikacjami pojawiła się nowa funkcja dla aplikacji mobilnych: zdalne odwoływanie. Ta opracowana po raz pierwszy przez Androida procedura umożliwia zdalne i globalne odinstalowanie aplikacji na dowolnym urządzeniu, które ją posiada. Oznacza to, że rozprzestrzenianie się złośliwej aplikacji, której udało się uniknąć kontroli bezpieczeństwa, może zostać natychmiast zatrzymane po wykryciu zagrożenia.
Unikaj mocno dostosowanych systemów
Producenci są kuszeni, aby nakładać niestandardowe warstwy na istniejące systemy operacyjne, mając na celu oferowanie niestandardowych opcji oraz wyłączanie lub pobieranie opłat za niektóre funkcje. Ma to dwojaki skutek: ryzyko wprowadzenia nowych błędów w systemie, w połączeniu z zachętą dla użytkowników do modyfikowania systemów w celu obejścia ograniczeń producenta. Systemy te rzadko są tak stabilne i niezawodne jak oryginały i mogą być narażone na próby phishingu lub inne exploity.
Usprawnij procesy poprawek oprogramowania
Regularnie publikowane są nowe wersje różnych komponentów oprogramowania smartfona, w tym systemów operacyjnych. Z czasem korygują wiele wad. Niemniej jednak producenci często nie wdrażają tych aktualizacji na swoich urządzeniach w odpowiednim czasie, a czasami wcale. W ten sposób luki w zabezpieczeniach utrzymują się, gdy można je naprawić, a jeśli nie, ponieważ są znane, można je łatwo wykorzystać.

Świadomość użytkownika

Na wiele złośliwych zachowań pozwala nieostrożność użytkownika. Stwierdzono, że użytkownicy smartfonów ignorują komunikaty bezpieczeństwa podczas instalacji aplikacji, zwłaszcza podczas wyboru aplikacji, sprawdzania reputacji aplikacji, recenzji oraz komunikatów dotyczących bezpieczeństwa i umowy. Od po prostu nie pozostawiania urządzenia bez hasła, po precyzyjną kontrolę uprawnień nadawanych aplikacjom dodanym do smartfona, użytkownik ponosi dużą odpowiedzialność w cyklu bezpieczeństwa: nie być wektorem włamań. Ten środek ostrożności jest szczególnie ważny, jeśli użytkownik jest pracownikiem firmy, która przechowuje dane biznesowe na urządzeniu. Poniżej szczegółowo przedstawiono niektóre środki ostrożności, które użytkownik może podjąć, aby zarządzać zabezpieczeniami na smartfonie.

Niedawne badanie przeprowadzone przez ekspertów ds. bezpieczeństwa internetowego BullGuard wykazało brak wglądu w rosnącą liczbę złośliwych zagrożeń wpływających na telefony komórkowe, a 53% użytkowników twierdzi, że nie są świadomi oprogramowania zabezpieczającego dla smartfonów. Kolejne 21% twierdziło, że taka ochrona jest zbędna, a 42% przyznało, że nie przyszło im to do głowy ("Using APA", 2011). Te statystyki pokazują, że konsumenci nie przejmują się zagrożeniami bezpieczeństwa, ponieważ uważają, że nie jest to poważny problem. Kluczem jest tutaj, aby zawsze pamiętać, że smartfony są w rzeczywistości komputerami przenośnymi i są tak samo podatne na ataki.

Bycie sceptycznym
Użytkownik nie powinien wierzyć we wszystko, co może być prezentowane, ponieważ niektóre informacje mogą być phishingiem lub próbą dystrybucji złośliwej aplikacji. Dlatego zaleca się sprawdzenie reputacji aplikacji, którą chcą kupić, przed jej faktycznym zainstalowaniem.
Uprawnienia nadane aplikacjom
Masowej dystrybucji aplikacji towarzyszy ustanowienie różnych mechanizmów uprawnień dla każdego systemu operacyjnego. Konieczne jest wyjaśnienie użytkownikom tych mechanizmów uprawnień, ponieważ różnią się one w zależności od systemu i nie zawsze są łatwe do zrozumienia. Ponadto rzadko można zmodyfikować zestaw uprawnień wymaganych przez aplikację, jeśli liczba uprawnień jest zbyt duża. Ale ten ostatni punkt jest źródłem ryzyka, ponieważ użytkownik może nadać aplikacji uprawnienia znacznie wykraczające poza te, których potrzebuje. Na przykład aplikacja do robienia notatek nie wymaga dostępu do usługi geolokalizacji. Użytkownik musi zapewnić uprawnienia wymagane przez aplikację podczas instalacji i nie powinien akceptować instalacji, jeśli żądane uprawnienia są niespójne.
Bądź ostrożny
Ochrona telefonu użytkownika za pomocą prostych gestów i środków ostrożności, takich jak blokowanie smartfona, gdy nie jest używany, nie pozostawianie urządzenia bez nadzoru, nieufanie aplikacjom, nieprzechowywanie wrażliwych danych lub szyfrowanie wrażliwych danych, których nie można oddzielić od urządzenia.
Odłącz nieużywane urządzenia peryferyjne
Wytyczne NIST dotyczące zarządzania bezpieczeństwem urządzeń mobilnych 2013 zalecają: Ograniczenie dostępu użytkowników i aplikacji do sprzętu, takiego jak aparat cyfrowy, GPS, interfejs Bluetooth, interfejs USB i pamięć wymienna.

Włącz szyfrowanie urządzeń z Androidem

Najnowsze smartfony z systemem Android mają wbudowane ustawienie szyfrowania, aby zabezpieczyć wszystkie informacje zapisane na urządzeniu. Utrudnia to hakerowi wyodrębnienie i odszyfrowanie informacji w przypadku złamania zabezpieczeń Twojego urządzenia. Oto jak to zrobić,

Ustawienia – Bezpieczeństwo – Szyfruj telefon + Szyfruj kartę SD

Zapewnij dane
Smartfony mają pokaźną pamięć i mogą przenosić kilka gigabajtów danych. Użytkownik musi uważać, jakie dane przenosi i czy należy je chronić. Chociaż kopiowanie utworu zazwyczaj nie jest dramatyczne, plik zawierający informacje bankowe lub dane biznesowe może być bardziej ryzykowny. Użytkownik musi zachować ostrożność, aby uniknąć przesyłania wrażliwych danych na smartfona, które łatwo można ukraść. Ponadto, gdy użytkownik pozbywa się urządzenia, musi najpierw usunąć wszystkie dane osobowe.

Te środki ostrożności to środki, które nie pozostawiają łatwego rozwiązania w przypadku wtargnięcia osób lub złośliwych aplikacji do smartfona. Jeśli użytkownicy będą ostrożni, wiele ataków można pokonać, zwłaszcza phishing i aplikacje, które chcą uzyskać tylko prawa na urządzeniu.

Scentralizowane przechowywanie wiadomości tekstowych

Jedna z form ochrony urządzeń mobilnych umożliwia firmom kontrolowanie dostarczania i przechowywania wiadomości tekstowych poprzez przechowywanie wiadomości na serwerze firmy, a nie na telefonie nadawcy lub odbiorcy. Po spełnieniu określonych warunków, takich jak data ważności, wiadomości są usuwane.

Ograniczenia niektórych środków bezpieczeństwa

Mechanizmy bezpieczeństwa wymienione w tym artykule są w dużej mierze dziedziczone z wiedzy i doświadczenia z bezpieczeństwem komputerowym. Elementy składające się na te dwa typy urządzeń są podobne i można zastosować wspólne środki, takie jak oprogramowanie antywirusowe i zapory . Jednak wdrożenie tych rozwiązań niekoniecznie jest możliwe lub przynajmniej mocno ograniczone w urządzeniu mobilnym. Powodem tej różnicy są zasoby techniczne, jakie oferują komputery i urządzenia mobilne: choć moc obliczeniowa smartfonów staje się coraz szybsza, to mają one inne ograniczenia niż moc obliczeniowa.

  • System jednozadaniowy: Niektóre systemy operacyjne, w tym niektóre nadal powszechnie używane, są jednozadaniowe. Wykonywane jest tylko zadanie na pierwszym planie. Trudno jest wprowadzić na takie systemy aplikacje takie jak antywirus i firewall, ponieważ nie mogłyby one wykonywać swojego monitoringu, gdy użytkownik obsługuje urządzenie, kiedy taki monitoring byłby najbardziej potrzebny.
  • Autonomia energetyczna: kluczową kwestią przy korzystaniu ze smartfona jest autonomia energetyczna. Ważne jest, aby mechanizmy bezpieczeństwa nie zużywały zasobów baterii, bez czego autonomia urządzeń zostanie drastycznie naruszona, podważając efektywne korzystanie ze smartfona.
  • Sieć Bezpośrednio związane z żywotnością baterii, wykorzystanie sieci nie powinno być zbyt wysokie. Jest to rzeczywiście jeden z najdroższych zasobów z punktu widzenia zużycia energii. Niemniej jednak niektóre obliczenia mogą wymagać przeniesienia na serwery zdalne w celu oszczędzania baterii. Ta równowaga może sprawić, że wdrożenie pewnych intensywnych mechanizmów obliczeniowych będzie delikatną propozycją.

Ponadto często okazuje się, że aktualizacje istnieją lub można je rozwijać lub wdrażać, ale nie zawsze tak się dzieje. Można np. znaleźć użytkownika, który nie wie, że istnieje nowsza wersja systemu operacyjnego kompatybilna ze smartfonem, lub użytkownik może odkryć znane podatności, które nie są usuwane do końca długiego cyklu rozwojowego, co pozwala czas na wykorzystanie luk.

Nowa generacja bezpieczeństwa mobilnego

Oczekuje się, że ramy bezpieczeństwa będą składać się z czterech środowisk mobilnych:

Bogaty system operacyjny
W tej kategorii znajdą się tradycyjne systemy mobilne, takie jak Android, iOS, Symbian OS czy Windows Phone. Zapewnią one aplikacjom tradycyjną funkcjonalność i bezpieczeństwo systemu operacyjnego.
Bezpieczny system operacyjny (Bezpieczny system operacyjny)
Bezpieczne jądro, które będzie działać równolegle z w pełni funkcjonalnym systemem Rich OS, na tym samym rdzeniu procesora. Będzie zawierał sterowniki dla Rich OS („normalny świat”) do komunikacji z bezpiecznym jądrem („bezpieczny świat”). Zaufana infrastruktura może obejmować interfejsy, takie jak wyświetlacz lub klawiatura, do regionów przestrzeni adresowej i pamięci PCI-E.
Zaufane środowisko wykonywania (TEE)
Składa się ze sprzętu i oprogramowania. Pomaga w kontroli praw dostępu i zawiera wrażliwe aplikacje, które należy odizolować od systemu Rich OS. Skutecznie działa jako zapora między „normalnym światem” a „bezpiecznym światem”.
Bezpieczny element (SE)
SE składa się ze sprzętu odpornego na manipulacje i związanego z nim oprogramowania lub oddzielnego, izolowanego sprzętu. Może zapewnić wysoki poziom bezpieczeństwa i współpracować z TEE. SE będzie obowiązkowa w przypadku hostingu aplikacji płatności zbliżeniowych lub oficjalnych podpisów elektronicznych. SE może łączyć, odłączać, blokować urządzenia peryferyjne i obsługiwać oddzielny zestaw sprzętu.
Aplikacje zabezpieczające (SA)
W App Stores dostępne są liczne aplikacje zabezpieczające, świadczące usługi ochrony przed wirusami i oceny podatności.

Zobacz też

Uwagi

Bibliografia

Książki

Artykuły

Strony internetowe

Dalsza lektura