2019年,网络犯罪越来越多地流向移动领域,从苹果iPhone越狱和流氓Android应用程序到5G和移动第一网络钓鱼等,都占据了新闻报道的主导地位。以下是Threatpost 2019年十大移动安全故事。
正如我们回顾2019年十大移动安全案例所显示的那样,网络罪犯越来越成功地瞄准移动用户。对于那些拥有越来越多移动员工的企业来说,不断升级的移动攻击向量显著地扩大了威胁范围,并迫使企业重新考虑其安全需求。对消费者来说,提高认识是他们保护个人数据的唯一希望。
苹果公开臭虫奖励
去年12月,苹果正式向公众开放了其历史上最私人的bug悬赏计划,同时将其最高赔付额提高到100万美元(零点击远程链,完全执行内核,并坚持使用苹果最新发布的硬件)。这项支出比私人项目仅有的20万美元的最高回报大了一步,但这家科技巨头正在寻找任何漏洞提交的充分利用漏洞的方法。其他支出从25000美元到500000美元不等,涉及一系列产品,包括Mac、iPhone和iPad以及苹果电视。
苹果虫子繁殖
说到苹果的漏洞,iOS漏洞在整个2019年都有出现,包括“AirDoS”漏洞,该漏洞允许附近的黑客通过文件交换功能AirDrop使iphone和ipad无法操作。今年6月,一个iMessage漏洞被曝光,它使运行该公司iOS软件旧版本的iphone成为砖块;另外发现了5个iMessage漏洞,这些漏洞不需要用户交互就可以利用,其中一个漏洞允许远程攻击者访问存储在iOS设备上的内容。此外,在持续数年的水坑攻击中,共发现了14个iPhone漏洞(包括2月份披露的两个零日漏洞)被5家攻击链锁定。
WhatsApp面对NSO集团
今年5月,WhatsApp警告用户,在其消息平台上发现的一个零日漏洞被攻击者利用,攻击者能够在目标活动中将间谍软件注入受害者手机。今年晚些时候,WhatsApp的所有者Facebook起诉了以色列NSO集团,声称该公司自行开发了监控代码,并使用易受攻击的WhatsApp服务器向大约1400个移动设备发送恶意软件,目标是人权维护者、记者和世界各地民间社会的其他成员。国家统计局主席后来在一次会议上就这个问题间接针对WhatsApp。
StrandHogg模仿Android应用程序
在这个案例中,研究人员发现了一个名为StrandHogg的新安卓漏洞,该漏洞可以让恶意软件摆出一个流行的应用程序,并要求获得各种权限,从而使黑客能够在用户列表、拍照、阅读和发送短信,基本上接管不同的功能,就好像他们是设备的所有者一样。但问题在于,这种活动会覆盖并伪装成一个移动应用程序,比如Facebook,一个人会经常使用。该漏洞会影响所有安卓设备,包括运行安卓10的设备,并使最受欢迎的500强应用面临风险。
越狱支票
今年,一个被称为“checkm8”的iPhone BootROM漏洞被披露,这是一个影响数亿iPhone的无法修补的漏洞,攻击者可以通过一个不可阻止的越狱黑客在系统级访问手机。一个叫做checkra1n的漏洞很快就出现了,它允许用户绕过DRM限制来运行未经授权的定制软件。Checkra1n还让用户容易受到从苹果策划的应用商店外下载的恶意或不稳定应用的影响。与此同时,一个假冒的网站声称可以让iPhone用户下载checkra1n(但最终下载的是一款专注于点击欺诈的游戏应用程序)也成为了热门话题。
移动网络钓鱼工具应运而生
4月份,移动领域出现了一个新的问题:移动第一网络钓鱼。一个专门针对美国Verizon Wireless客户的工具包通过电子邮件向用户推送钓鱼链接,伪装成来自Verizon客户支持的消息。这些都是为移动浏览量量身定做的:当恶意URL在桌面上打开时,它看起来很草率,显然不合法——然而,当在移动设备上打开时,它看起来就像您从Verizon客户支持应用程序所期望的那样。
聚焦5G
今年,5G网络安全首次成为热门话题。下一代移动技术承诺超低延迟和指数级更快的吞吐量,为新的企业用例和应用铺平道路,包括远程远程手术、自动驾驶汽车、按需供电等。然而,在这些情况下,网络攻击实际上是一个生死攸关的问题。由于5G的许多安全协议和算法都是从以前的4G标准移植而来,研究人员已经发现了5G的缺陷,允许设备指纹识别和中间人攻击。
数据抓取应用
今年早些时候,Twitter和Facebook警告称,软件开发工具包(sdk)可能嵌入到移动应用程序中,用于搜集个人资料信息,如电子邮件地址、用户名、性别、最后一条推文等。科技巨头表示,sdk由oneAudience和MobiBurn维护,违反了两家公司的数据隐私政策,该政策禁止第三方获取用于数据货币化目的的个人资料信息。这是在剑桥分析丑闻之后实施的一项改革,这个问题继续围绕社交媒体隐私展开辩论。
视网膜X跟踪器
在第一次打击“跟踪者”的行动中,联邦贸易委员会禁止销售三款应用程序(用于监控儿童和员工),这些应用程序可以安装在设备上,以跟踪用户的位置、活动等。这些应用程序来自一家名为Retina-X Studios的公司,联邦贸易委员会表示,由于这些应用程序是设计成在后台秘密运行的,因此它们特别适合非法和危险用途,特别是在家庭暴力情况下。与此同时,11月,反跟踪狼人联盟成立,以帮助跟踪狼人的受害者,2019年跟踪狼人的案例增加了300%以上。
生物识别绕过
虽然指纹传感器和FaceID被吹捧为提供了最好的移动安全性,但2019年,该技术出现了一些绕过。例如,三星Galaxy S10指纹传感器在一次涉及从酒杯克隆的3D打印指纹的黑客攻击中被愚弄。三星在今年晚些时候承认,如果手机被第三方硅外壳包围,任何人都可以绕过Galaxy S10指纹传感器。今年10月,谷歌推出了Pixel4面部识别解锁功能,用户表示即使闭上眼睛也会为用户解锁。今年8月,研究人员发现苹果的FaceID被旁路。
(内容翻译于threatpost)
