2019年Android 惡意程式染指官方應用程式商店;行動網路間諜攻擊行動的數量持續攀升,這意味著駭客集團也開始將攻擊目標轉向行動裝置。
長久以來,Apple 的作業系統在安全性方面 一直有很高的評價,不過,不肖之徒仍非常積極地試圖 突破這些裝置的安全機制,並在 2019 年開發出各式各樣的相關威脅。 Shlayer 是 2019 年 macOS 惡意程式家族排行榜的第一 名,有超過 36,000 個非重複樣本,。
2019 年,行動裝置 (尤其是採用 Android 作業系統的行動裝置) 仍是歹徒不變的攻擊目標。儘管我們所攔截 的 Android 惡意應用程式數量從上半年至下半年持續減少,但 2019 一整年的總數還是相當可觀,將近 6 千 萬。這進一步突顯出網路犯罪集團仍相當仰賴攻擊行動裝置來竊取登入憑證、發送惡意廣告、從事網路間
諜活動等等。
在2017年秋季,趨勢科技在Google Play商店中發現數個惡意虛擬貨幣挖礦應用程式。這些應用程式會利用受害者行動裝置的運算能力挖礦來幫駭客賺錢。下文讓我們先了解虛擬貨幣如何造就今日的威脅環境?
虛擬貨幣的匿名性讓駭客如虎添翼
儘管許多人認為2017是虛擬貨幣踏入主流的一年,但其實有人已經使用比特幣或其他虛擬貨幣好些年了,這是區塊鏈概念背後的主要推動力。
基本來說,虛擬貨幣可以說是一種數位或電子貨幣。但虛擬貨幣與其他數位交易間的主要區別是是比特幣等貨幣不需要中央銀行或金融服務商的驗證或支持。
「相對地,它使用加密技術來確認交易,在名為區塊鏈的公開分散式帳本上進行交易,從而實現直接的點對點支付,」Motley Fool的撰稿人Adam Levy寫道。
虛擬貨幣為良善使用者帶來許多好處,包括簡化數位交易和強化隱私。但這些優點也同樣地吸引了惡意使用者。比特幣和其他虛擬貨幣對他們來說是能幫助惡意攻擊(如勒索病毒 Ransomware (勒索軟體/綁架病毒))的理想元素。虛擬貨幣強調隱私這事實也讓受害者付錢後無法追踪惡意攻擊者 – 正是網路犯罪分子利用它的原因。
正如阿爾斯特大學網路安全教授Kevin Curran博士對衛報撰稿人Simon Usborne所說,虛擬貨幣所能提供的匿名性是駭客之前一直苦於無法達成的能力。
Curran表示:「以前的駭客可能會要求透過西聯匯款或銀行帳戶來付錢,但這些交易只要監管當局介入就能夠追蹤。」 繼續閱讀
你是否也在使用藍牙裝置?那麼你該檢查一下你的裝置是否隨時開啟藍牙連線。不論筆記型電腦、智慧型手機,或任何物聯網 (IoT) 裝置,只要是具備藍牙功能,就有可能遭到惡意程式攻擊,讓駭客從遠端挾持裝置,而且完全不假使用者之手。
「BlueBorne」是一群由 IoT 資安廠商 Armis 所命名的藍牙漏洞。根據該廠商所提供的詳盡說明,這群存在於藍牙實作上的漏洞遍及各種平台,包括:Android、Linux、iOS 以及 Windows。駭客一旦攻擊成功,就能從遠端挾持裝置。除此之外,駭客還有辦法從一個藍牙裝置跳到另一個藍牙裝置。BlueBorne 漏洞可讓駭客執行惡意程式碼、竊取資料以及發動中間人 (MitM) 攻擊。
BlueBorne 是一群漏洞的總稱,包括以下幾項:
根據發現 BlueBorne 漏洞的資安研究人員估計,全球約有 53 億個藍牙裝置受到影響。藍牙是一種無線連線規格,今日幾乎無所不在,而且全球有超過 82 億個裝置皆內建藍牙功能,其用途包括多媒體串流、資料傳輸、電子裝置之間的資訊廣播等等。 繼續閱讀
根據報導,2016 年有 69% 的企業部門使用兩至五種行動裝置應用程式,前一年增加 66%。
對企業而言,行動平台確實已經無所不在。它和許多新興的平台一樣,將會創造龐大的機會,尤其是以企業為目標的開發人員,
但這將對資料處理方式帶來何種影響?
[請參閱:行動裝置應用程式如何成為下一波網路犯罪的邊境]
根據報導,光是 2017 年 6 月,就有超過 1,000 個 Android 及 iOS 企業應用程式在應用程式與後端系統之間有不安全的通訊,暴露的資料量大約有 43 TB,至少有 39 個受影響的應用程式洩漏了 2.8 億筆個人身分資訊 (PII)。2016 年的一項研究發現,醫療保健及金融相關的行動裝置應用程式中,有 90% 含有重大的安全漏洞。
這些資訊呼應了「開放網路軟體安全計畫」(Open Web Application Security Project,OWASP) 最新版的常見行動裝置風險列表,這些風險包括多餘的功能、不安全的資料儲存方式及網路,有些應用程式幾乎完全沒有驗證及加密機制,無法阻止駭客進行逆向工程,重新封裝、欺騙或修改應用程式。
舉例來說,這些應用程式秘密允許存取裝置功能 (例如相機或錄音程式) 及各種個人身分資訊 (例如相片、聯絡人、簡訊、行事暦、位置及瀏覽記錄)。這些應用程式如果落入網路犯罪者的手中,顯然會帶來嚴重的後果。
無論是企業,或是一般使用者,隱私也是行動裝置應用程式重要的議題,行動裝置應用程式必須徹底檢查安全性,以免資料遭到濫用及感染惡意程式。最近發生在 Uber、Brightest Flashlight、Path、Kim Kardashian: Hollywood 行動裝置應用程式,以及小米的智慧型手機等事件,都是最佳的案例。
[請參閱:2016 年行動裝置威脅概況]
由於職場自攜設備 (BYOD) 工作方式的盛行,各種應用程式使用相同的網路,存取相同的資料,行動裝置生態系統讓工作與個人用途之間的界線更加模糊。儘管有各種挑戰,行動裝置應用程式開發人員仍有一些對策可提供企業資源,同時不犧牲企業的安全性與個人隱私。
1. 強制實施最小權限原則
將您應用程式執行時的權限要求,限制在必要的資訊或裝置元件範圍內。安全漏洞及惡意程式會利用使用者提升的權限。行動裝置並無不同。瞭解您所收集的資料,讓您可以清楚地定義您應用程式的信任邊界。確保您的應用程式設計介面 (API) 在其工作流程中實行此原則。
[趨勢科技白皮書:虛假應用程式:假冒真實性]
2. 實行堅實授權及多要素驗證
應用程序的驗證及授權中的缺陷,是行動裝置威脅常見的攻擊途徑,這些管道讓駭客透過中間人攻擊冒充其他使用者,或者存取裝置或應用程式的功能 (繞過 PIN 碼、將惡意程式碼注入應用程式等)。這些都是網路銀行應用程式的致命傷,例如取得一般使用者的銀行帳戶並竊取金融記錄,即可藉此獲利。開發人員應保護各項功能的安全,例如驗證員工的使用者身分,或判斷消費者可在應用程式中存取或執行哪些資源。 繼續閱讀
