據 CNET 網站報導,智慧手機對使用者的瞭解程度超過使用者自己。智慧手機隨時知道使用者的位置,知道使用者與哪些人通了電話,甚至是通話內容。它儲存有使用者家人的照片、寵物的照片,甚至是使用者使用的密碼等等。對於黑客來說,智慧手機就是一本數字通行證,能獲得瞭解一個人所需要的所有資訊。
安全研究人員稱,這就是針對智慧手機的攻擊日益猖獗的原因。
在墨西哥舉行的卡巴斯基安全分析師峰會上,來自移動安全公司 Lookout 的研究人員安德魯·布萊希(Andrew Blaich)和電子前沿基金會的網路安全主管伊娃·戈爾佩林(Eva Galperin)發表了他們關於 Dark Caracal——針對移動裝置的全球性惡意件,感染了逾 20 個國家的數以千計的使用者——的調查結果。
通過追蹤技術,他們發現 Dark Caracal “發源地”是貝魯特一幢屬於黎巴嫩安全總局的建築物。Dark Caracal 利用了與真正應用幾乎完全相同的虛假應用,誘騙數以千計的使用者把它安裝在手機上。一旦 Dark Caracal 安裝到使用者的手機上,黑客就能訪問手機上的任何資訊。
研究人員稱,這次攻擊非常嚴重,但它只是未來發生的攻擊的預演。它顛覆了傳統看法:即 PC 才是最受黑客青睞的攻擊目標。對手機發動攻擊變得越來越容易,攻擊它們可以獲得更大的回報,人們使用智慧手機的時間遠遠超過電腦。對於黑客來說,攻擊手機是一個顯而易見的選擇。
戈爾佩林表示,“入侵非常個人化的個人裝置,就像瞭解了裝置主人的想法一樣。”
低門檻 高回報
Dark Caracal 專注於收集使用者個人資訊,不需要利用任何新的漏洞就能完成其任務。該惡意件使黑客能拍照、發現使用者所處位置、錄製音訊,通過把自己偽裝成 Signal 和 WhatsApp 等訊息應用進行傳播。
CNET 表示,允許 Dark Caracal 完成各種惡意任務的不是漏洞,而是使用者自己。它會像其他應用那樣要求獲得一些許可權,對於毫無戒心的使用者來說,這些請求沒有任何異常。
畢竟,Instagram 和 Facebook 等應用也會請求獲得拍照、使用使用者位置資訊和錄製音訊的許可權。如果使用者下載了惡意件,但他或她卻認為是一款真正的應用,這些許可權不會引起使用者警覺。
谷歌和蘋果的安全補丁能堵上最新的漏洞,但它們擋不住使用者受騙。惡意件安裝到手機上,沒有利用軟體中的漏洞,利用的是人的弱點。
布萊希表示,“黑客沒有在研究軟體漏洞方面花費大量時間和精力,只是利用了一款獲得過高許可權的應用。如果不嘗試利用軟體漏洞,應用通過安全應用這一關並不難。”
雖然谷歌和蘋果應用商店打擊惡意應用的力度還是相當大的,但第三方應用商店就是另外一回事了。布萊希解釋說,這是 Dark Caracal 能夠傳播的原因。
這款虛假應用在一個名為“ Secure Android ”的網站上“打廣告”,稱它自己的 WhatsApp 和 Signal 版本比原版應用更安全。黑客在激進分子和記者群中推廣這一網頁,因為惡意件的目標就是竊取這兩類使用者的資訊。
雖然防止惡意件入侵的最好建議是,永遠不要通過不正規方法安裝應用,一些應用可能不能在美國之外的地區使用。例如,谷歌 Play 就不能在中國大陸地區使用。2014 年,中國大陸地區活躍 Android 使用者數量為 3.86 億。
補丁服務
為了提高移動作業系統的安全性,蘋果和谷歌做了大量工作。蘋果安全飛地(Secure Enclave)和加密技術能很好地保護使用者資料,以至於美國聯邦調查局願意花 90 萬美元解鎖涉嫌製造聖貝納迪諾槍擊案的恐怖分子的 iPhone 手機。
谷歌通過 Project Treble 和 Play Protect 提高應用的安全性,封堵系統漏洞。
但是,鑑於部分補丁軟體很少能被實際安裝在手機上,這些措施還很不夠。
2 月 28 日,美國聯邦貿易委員會發表報告稱,手機沒有足夠高效地獲得安全更新包。美國聯邦貿易委員會收集了蘋果、谷歌、微軟、三星、摩托羅拉、LG、HTC 和黑莓有關安全補丁安裝過程的資訊,結果並不令人樂觀。
部分手機從未安裝過任何更新包。美國聯邦貿易委員會隱私和身份保護部門律師埃莉莎·吉爾森(Elisa Jillson)說,“支援期限從零到 3 或 4 年。”
CNET 稱,問題在於,安全更新通常與更廣泛的軟體更新捆綁在一起,這意味著某些型號手機從不會安裝補丁,而其他型號手機可能需要等上幾個月。美國聯邦貿易委員會建議將這兩種型別更新分開,提高為手機發布更新包的頻次。谷歌 Project Treble 已經在這樣做。
在 Project Treble 實施前,谷歌的安全更新包只面向執行最近版本 Android 的手機。高達 42% 的 Android 手機使用者執行的不是最新版本作業系統,鑑於全球有 20 億名 Android 使用者,這意味著 8.46 億部手機可能面臨惡意件攻擊。
戈爾佩林說,“絕大多數受害者都不是因零日漏洞受到攻擊的。他們是因早已被發現的漏洞受到攻擊的,他們只是沒有安裝補丁軟體而已。”
布萊希表示,隨著手機攻擊越來越多,它將超過針對計算機的攻擊。
在 Dark Carcal 興風作浪期間,Lookout 和電子前沿基金會發現另外一個針對 Windows 計算機的攻擊。與受到攻擊的手機數量相比,Windows惡意件顯得相形見絀。
吉爾森說,“這是一個已知的問題,裝置沒有安裝更新包,因此,對於任何黑客來說,這都是一個敞開的視窗。”
來源:騰訊數碼