移动安全教程

移动安全 - 攻击向量

← 上一节 下一节 →

根据定义,攻击向量是黑客用来获取对另一个计算设备或网络的访问权以便注入通常称为有效负载

Hacker

一些移动攻击向量是 :

  • 恶意软件

    • 病毒和Rootkit

    • 应用程序修改

    • 操作系统修改

  • 数据泄露

    • 数据离开组织

    • 打印屏幕

    • 复制到USB和备份丢失

  • 数据篡改

    • 其他应用程序的修改

    • 未检测到的篡改企图

    • 越狱设备

  • 数据丢失

    • 设备丢失

    • 未经授权的设备访问

    • 应用程序漏洞

攻击向量的后果

攻击向量是正如所解释的黑客攻击过程并且成功,以下是对您的移动设备的影响.

  • 丢失数据 : 如果您的移动设备遭到黑客攻击或引入了病毒,则攻击者会丢失并使用您的所有存储数据.

  • 使用不当您的移动资源 : 这意味着您的网络或移动设备可能会过载,因此您无法访问正版服务.在更糟糕的情况下,被黑客用来连接另一台机器或网络.

  • 声誉损失 : 如果您的Facebook帐户或企业电子邮件帐户被黑客攻击,黑客可以向您的朋友,业务合作伙伴和其他联系人发送虚假消息.这可能会损害您的声誉.

  • 身份盗窃 : 可能存在身份盗用案例,如照片,姓名,地址,信用卡等,同样可用于犯罪.

移动攻击剖析

以下是移动攻击解剖结构的示意图.它从感染阶段开始,包括攻击媒介.

移动攻击

感染设备

对于Android和iOS设备,使用移动间谍软件感染设备的方式有所不同.

Android :  ;用户被欺骗从市场或通常通过使用社会工程攻击从第三方应用程序下载应用程序.远程感染也可以通过中间人(MitM)攻击来执行,其中主动攻击者拦截用户的移动通信以注入恶意软件.

iOS :  iOS感染需要物理访问移动设备.感染设备也可以通过利用JailbreakME漏洞等零日来实现.

安装后门

安装后门需要管理员权限通过支持Android设备和越狱的Apple设备.尽管设备制造商采用了生根/越狱检测机制,但移动间谍软件可以轻松绕过它们并减去它们;

Android : 生根检测机制不适用于有意生根.

iOS : 越狱的"社区"充满激情和动力.

绕过加密机制和泄露信息

间谍软件将加密的电子邮件和消息等移动内容发送给攻击者服务器以纯文本格式.间谍软件不会直接攻击安全容器.它在用户从安全容器中提取数据以便读取数据时抓取数据.在该阶段,当内容被解密以供用户使用时,间谍软件会控制内容并将其发送.

黑客如何从成功受损的移动设备中获利?

在大多数情况下,我们大多数人都认为,如果我们的手机遭到入侵,我们可能会失去什么.答案很简单 - 我们将失去隐私.我们的设备将成为黑客观察我们的监控系统.黑客的其他利润活动是获取我们的敏感数据,付款,进行 DDoS攻击等非法活动.以下是示意图.

DDoS Attack

OWASP Mobile Top 10风险

在谈到移动安全时,我们将漏洞类型建立在OWASP上,OWASP是美国的一个非营利性慈善组织,成立于4月21日.OWASP是一个国际组织OWASP基金会支持世界各地的OWASP工作.

对于移动设备,OWASP有 10个漏洞分类.

M1-不正确的平台使用

此类别包括滥用平台功能或未使用平台安全控制.它可能包括Android意图,平台权限,滥用TouchID,钥匙串或其他一些安全控制,它们是移动操作系统的一部分.移动应用可以通过多种方式来体验这种风险.

M2-Insecure Data

此新类别是来自Mobile的M2和M4的组合2014年十大.这包括不安全的数据存储和意外数据泄漏.

M3-不安全通信

这包括握手不良,SSL版本不正确,弱协商,敏感资产的明文通信等.

M4-不安全认证

此类别捕获验证最终用户或错误会话的概念管理.这包括 :

  • 在需要时根本无法识别用户

  • 无法在需要时维护用户的身份

  • 会话管理中的弱点

M5-Insuficient Cryptography

该代码将加密应用于敏感信息资产.但是,密码学在某种程度上是不够的.请注意,任何与TLS或SSL相关的内容都在M3中.此外,如果应用程序根本不应该使用加密,那可能属于M2.此类别适用于尝试加密的问题,但未正确完成.

M6-不安全授权

这是要捕获的类别任何授权失败(例如,客户端的授权决策,强制浏览等)它与认证问题(例如,设备注册,用户识别等)不同.

如果应用程序根本不对用户进行身份验证(例如,在需要进行身份验证和授权访问时授予对某些资源或服务的匿名访问权限),然后是身份验证失败而非授权失败.

M7-客户端代码质量

这是"通过不可信输入的安全决策",这是我们较少使用的类别之一.这将是移动客户端中代码级实现问题的全部.这与服务器端编码错误不同.这将捕获诸如缓冲区溢出,格式化字符串漏洞以及各种其他代码级错误之类的问题,其中解决方案是重写在移动设备上运行的某些代码.

M8-Code Tampering

此类别包括二进制修补,本地资源修改,方法挂钩,方法调配和动态内存修改.

将应用程序交付给移动设备后设备,代码和数据资源驻留在那里.攻击者可以直接修改代码,动态更改内存内容,更改或替换应用程序使用的系统API,也可以修改应用程序的数据和资源.这可以为攻击者提供一种直接的方法来破坏软件的预期用途,以获取个人利益或货币收益.

M9-逆向工程

此类别包括对最终核心二进制文件的分析,以确定其源代码,库,算法和其他资产.诸如IDA Pro,Hopper,otool和其他二进制检查工具之类的软件使攻击者能够深入了解应用程序的内部工作原理.这可用于利用应用程序中的其他新生漏洞,以及揭示有关后端服务器,加密常量和密码以及知识产权的信息.

M10-Extraneous Functionality

通常,开发人员包括隐藏的后门功能或其他不打算发布到生产环境中的内部开发安全控件.例如,开发人员可能会在混合应用程序中意外地将密码作为注释包含在内.另一个例子包括在测试期间禁用双因素身份验证.

← 上一节 下一节 →

相关菜鸟教程