移动恶意软件是真实存在的,攻击者们正在利用移动恶意软件来窃取存储在智能手机中的机密信息。但如果有人告诉你存在深度攻击黑客组织专门研究如何利用最新移动设备漏洞来发动攻击,这肯定是骗你的。Dan Guido等研究人员向我们展示了清晰的移动恶意软件形势,这些攻击形式非常简单,并且主要利用了谷歌的Android安全模式。
研究公司Trail of Bits共同创始人兼首席执行官Guido在2012年信息安全决策大会(Information Security Decisions)上公布的数据表明,攻击者使用有限数量的公开已知漏洞来攻击智能手机,特别是针对Android平台。他们利用Android平台不够标准的审批程序和代码签名的做法,通过将恶意移动应用程序引入应用程序商店来发动攻击。
Guido表示:“我们在苹果公司的App Store没有发现一个恶意软件,而在Google Marketplace中发现超过30个恶意软件,可能影响数以十万计的用户。”
攻击者们很热衷于在移动设备上获得特权升级,以渗出数据到他们控制的服务器。因为攻击方式简单,攻击者的成本要小于获得的潜在收入。攻击的成本因素包括一个设备被攻击的难易程度,攻击者被抓到的概率,以及目标数据的价值和是否可以转换为钱。
Guido表示,最佳防御方法是提高攻击者利用设备的成本。苹果公司部署了很多障碍来阻止代码执行,他们对所有提交到其App Store的代码进行签名,应用程序被授予一个唯一的ID和目录。此外,他们的Seatbelt沙箱限制了应用程序从其他应用程序访问数据,降低了iOS内核的攻击面。
Guido表示,而Android的安全功能最大限度地帮助攻击者降低了成本。Android没有使用代码签名,而是使用No-eXecute或者NX bit,限制在操作系统中代码被允许执行的领域。Guido表示这并没有代码签名那么有效。苹果修复漏洞的速度也比谷歌Android更快,这意味着Android漏洞利用有较长的可用时间。
“现在有3亿台Android设备,大多数设备没有更新到最新版本,”Guido补充说,因为硬件限制,早期版本的Android设备不能升级到即将到来的4.0版本,“这几乎是无法弥补的漏洞。”
Guido说道,现在还没有移动浏览器攻击,没有感染设备的无线攻击,也没有应用程序到应用程序的漏洞利用,“都是围绕Android的攻击,都是关于越狱的攻击。”
移动恶意软件攻击(例如Android DroidDream)都遵循类似的模式。他们利用公共漏洞来开发恶意软件,然后被注入到一个移动应用程序,随后应用程序被放到网上,通常是进入应用程序商店。然后攻击者开始通过短信或者电子邮件社会工程学来诱使受害者下载恶意应用程序。一旦安装成功,越狱漏洞就会为攻击者升级特权,攻击者就能够与命令控制服务器(攻击者用于发送接收数据的服务器)建立连接。“这是所有入侵都遵循的系统性过程,否则他们无法赚钱,”Guido表示,“如果你能够干扰某个过程,攻击都不会成功。”
攻击者选择通过Android移动应用程序来发动攻击是因为该应用程序提交过程不够安全。无论是在Google Play Android开发者平台还是在iOS App Store,开发人员都使用信用卡注册。在Google Play,你的信用卡号码就是你的ID号,而Apple要求使用驾驶执照号或者公司章程。这两个平台都进行静态应用程序代码审查,但关键是苹果公司不允许修改应用程序的运行时间,你提交给App Store的内容就是App Store出售的东西。但是,谷歌允许修改运行代码的时间。攻击者可以更容易地将恶意应用程序推入Google Play,因为当应用程序在Marketplace中后,他们还能够修改应用程序。这在苹果App Store无法实现,代码签名是安全审查过程中有可能抓到恶意应用程序的关键过程。
“你每次都需要一个新ID,这会增加攻击者的成本,”Guido表示,“而对于Android,你可以窃取数百个信用卡号码,并可以在提交程序后对程序进行修改。Android的安全审查不是很有效,攻击者可以不断尝试,直到成功为止。”
归根结底,现在只存在极少的移动设备漏洞利用,并且这些漏洞利用只针对一个平台。“安全行业正在谈论的问题与产品社区推出的产品之间存在断层,”Guido表示,“大家太过于关注可能存在的问题,而没有足够关注真正的威胁。”