не перевод, но пересказ общего смысла статьи.
вопрос безопастности мобильного устройства, во многом повторяет вопрос web-безопасности, но включает, кроме того, еще и вопросы личной безопасности и защищенность персонального мобильного устройства. например, узким местом является использование приложений от "ненадежных" поставщиков, в режиме полного доступа к системе (рутованный девайс с программами из неофициального источника).
анатомия атаки на мобильные устройства, может быть разделена на типы (или уровни): атака на само устройство, атака на передачу данных (сетевой уровень), и атака на сервер данных. во многих случаях используется комбинация уровней. присущие конкретному мобильному устройству уязвимости и социальная инженерия представляют широкие возможности для киберпреступников, и значительные проблемы для специалистов по безопасности данных.
вектор атаки.
есть три точки входа для взломщика, где он может попытаться перехватить данные: устройство, сеть, сервер.
устройство.
мобильное устройство предстваляет собой значительные риски для "бизнес-информации для служебного пользования" (sensitive corporate information - SCI). ключевые риски включают потерю информации и угрозу безопасности, в смысле проникновения на доверенные ресурсы.
наиболее популярные точки проникновения:
1) web-браузер, электронная почта и другие предзагруженные приложения, у которых есть локальное хранилище данных.
2) Phone/SMS. список контактов, телефонные звонки, смс.
3) приложение от посторонних и/или недостоверных поставщиков.
4) операционная система
5) подключение через Bluetooth или другие внешние коммуникационные протоколы.
возможные атаки через интернет-браузер:
6) Фишинг — вид интернет-мошенничества, цель которого — получить идентификационные данные пользователей. Сюда относятся кражи паролей, номеров кредитных карт, банковских счетов и другой конфиденциальной информации.
Фишинг представляет собой пришедшие на почту поддельные уведомления от банков, провайдеров, платежных систем и других организаций о том, что по какой-либо причине получателю срочно нужно передать / обновить личные данные. Причины могут называться различные. Это может быть утеря данных, поломка в системе и прочее.
Исследования показали, что мобильные пользователи в три раза чаще, чем пользователей настольных компьютеров представить личную информацию на фишинговые сайты. Это, в частности, объясняется ограниченной реализацией мобильных браузеров, которые не могут отобразить на экране, то же самое, к чему привык пользователь в полной, десктопной версии.
7) Framing - целевой сайт отображается как внутренний элемент сайта-взломщика, который контролирует всю активность пользователя.
8) Техника Clickjacking заключается в создании специального iFrame с помощью CSS и Javascript, который создает кнопку-подделку. По нажатию на эту кнопку в невидимый iframe загрузится специальная страница с вредоносным кодом. Спрятанная страница может быть подделкой текущей и заставить юзера делать, то что он не желал, например заново пройти аутентификацию, для считывания его регистрационных данных. Бороться против этого на данном этапе уже поздно.
9) Drive-by Downloading – особенно используется на Android. заключается в том, что при входе на страницу, сразу в фоне начинается загрузка инсталятора, который сразу передается для установки в систему. опасен для устройств, с "разрешением установки приложения из неизвестных источников".
10) Man-in-the-Mobile (MitMo) – это, например, когда кто-то может перехватить смс-ку, которая идет на Ваш телефон, и в ней есть код подтверждения операции, например смены пароля. и этот код, в результате, используете не Вы.
Phone/SMS-атаки
11) Baseband атака - перехват частоты, на которой работает передатчик, станции или телефона.
12) SMiShing - по аналогии с web-Фишинг-ом, смс-приглашение пользователю, отправить смс-ку или зайти на сайт, и передать пароль или другую конфиденциальную информацию.
13) Bluejacking, NFC, RF атака - поиск уязвимости по различным каналам периферийной связи (через ИК-порт, например). обычно используется для взлома физически ближайших устройств.
разновидности атак уровня приложений
14) Sensitive Data Storage – "чувствительное хранение данных". исследования показали, что катастрофически огромный процент популярных приложений, вообще не заморачиваются вопросами безопасности своих данных.
15) приложения, которые передают данные по публичным сетям (интернет) без шифрования, или используют простые алгоритмы защиты.
16) Improper SSL validation – неверное использование защищенного интернет-соединения. ошибка работы с ключами.
17) Config manipulation - доступность конфигурационных файлов, возможность извлечь из них критически важную информацию.
18) Dynamic runtime injection – возможность манипулирования приложением, возможность включения в работу приложения.
19) Unintended permissions – разрешение выполнения операции без проверки разрешения на выполнение операции.
20) Escalated privileges – эксплуатация ошибки системы безопасности для доступа к защищенным частям приложения или системы.
разновидности атак на уязвимость операционной системы
21) вход без пароля, или легкий пароль на входе.
22) Jailbreaking - чисто apple-овская фича, но зато полностью открывает (позволяет выполнять всем все) устройство, и известна сейчас уже практически всем.
23) рутование Android устройства - по смыслу, аналог Jailbreaking для Android.
24) доступность паролей и путей доступа - злоумышленник может получить информацию, из доступных файлов и приложений, если они не имеют защиту.
25) Carrier-loaded software – уязвимости может иметь предзагруженное приложение от поставщика.
26) Zero-day exploits – уязвимости, которые уже найдены взломщиками, но еще не закрыты создателями программы или устройства.
разновидности сетевых уязвимостей
27) незащищенный Wi-Fi канал.
28) неавторизованная точка доступа. часто тот самый незащищенный Wi-Fi канал, да еще и с доступом ко всему, обычно оставлен суперумным админом.
29) Packet sniffing – анализатор сетевого трафика. позволяет перехватывать и читать данные, которые предаются по сети. обычно используется для поиска логинов-паролей и интересующих данных.
30) Man-in-the-Middle (MITM) – подключение третьего лица, между клиентом и сервером, для перехвата или изменения сообщения.
31) SSLStrip – включение промежуточного звена, при использовании защищенного соединения. например, труднораспознаваем переход с защищенного на незащищенное соединение в мобильных браузерах, в силу природы самого устройства.
32) Session hijacking – перехват и замена ключа сеанса (id session).
33) DNS poisoning – подмена сетевого адреса. используется для перенаправления пользователя с целевого сайта, на сайт злоумышленника.
34) Fake SSL certificates – подмена SSL-сертификата. позволяет перехватить трафик по защищенному каналу.
атаки на сервер делятся на атаку на web-сервер и атаку на базу данных.
разновидности атак на web-сервер (собственно известны из мира www):
35) Platform vulnerabilities – уязвимости платформы.
36) Server misconfiguration – неверная конфигурация сервера.
37) Cross-site scripting (XSS) – переброс пользователя с целевого сайта на сайт злоумышленника.
38) Cross-site Request Forgery (CSRF) – подделка запросов пользователя.
39) Weak input validation – многие сайты имеют специальный вход для мобильных приложений, облегчая использование для пользователей с мобильных устройств. данные облегченные доступы используются злоумышленником, которые эмулирует мобильное устройство, подделывая сетевой запрос.
40) Brute-force attacks – атака грубой силой - множественные запросы на выполнение элементарной операции. например - проверка пароля.
разновидности атаки на базу данных (известны давно):
41) sql-включения.
42) выполнение команд операционной системы.
43) взлом системы безопасности.
атаки через мобильное приложение, можно разделить на следующие группы:
44) атака через интернет. очень большое распостранение получили мобильные версии сайтов, с облегченным функционалом, в том числе в системе безопасности, или обладающие допольнительными возможностьями, специально для мобильных устройства, типа GPS, sms или списком контактов.
45) внутрненние - уязвимости приложений или ос.
46) обертки интернета - довольно специфические, но очень популярные уязвимости, когда приложение представляется оригинальным для мобильного устройства, но на самом деле является всего лишь оберткой для работы с web-приложением. может быть взломано и через интернет, и с устройства, в результате получив доступ ко всему сразу.
вопрос безопастности мобильного устройства, во многом повторяет вопрос web-безопасности, но включает, кроме того, еще и вопросы личной безопасности и защищенность персонального мобильного устройства. например, узким местом является использование приложений от "ненадежных" поставщиков, в режиме полного доступа к системе (рутованный девайс с программами из неофициального источника).
анатомия атаки на мобильные устройства, может быть разделена на типы (или уровни): атака на само устройство, атака на передачу данных (сетевой уровень), и атака на сервер данных. во многих случаях используется комбинация уровней. присущие конкретному мобильному устройству уязвимости и социальная инженерия представляют широкие возможности для киберпреступников, и значительные проблемы для специалистов по безопасности данных.
вектор атаки.
есть три точки входа для взломщика, где он может попытаться перехватить данные: устройство, сеть, сервер.
устройство.
мобильное устройство предстваляет собой значительные риски для "бизнес-информации для служебного пользования" (sensitive corporate information - SCI). ключевые риски включают потерю информации и угрозу безопасности, в смысле проникновения на доверенные ресурсы.
наиболее популярные точки проникновения:
1) web-браузер, электронная почта и другие предзагруженные приложения, у которых есть локальное хранилище данных.
2) Phone/SMS. список контактов, телефонные звонки, смс.
3) приложение от посторонних и/или недостоверных поставщиков.
4) операционная система
5) подключение через Bluetooth или другие внешние коммуникационные протоколы.
возможные атаки через интернет-браузер:
6) Фишинг — вид интернет-мошенничества, цель которого — получить идентификационные данные пользователей. Сюда относятся кражи паролей, номеров кредитных карт, банковских счетов и другой конфиденциальной информации.
Фишинг представляет собой пришедшие на почту поддельные уведомления от банков, провайдеров, платежных систем и других организаций о том, что по какой-либо причине получателю срочно нужно передать / обновить личные данные. Причины могут называться различные. Это может быть утеря данных, поломка в системе и прочее.
Исследования показали, что мобильные пользователи в три раза чаще, чем пользователей настольных компьютеров представить личную информацию на фишинговые сайты. Это, в частности, объясняется ограниченной реализацией мобильных браузеров, которые не могут отобразить на экране, то же самое, к чему привык пользователь в полной, десктопной версии.
7) Framing - целевой сайт отображается как внутренний элемент сайта-взломщика, который контролирует всю активность пользователя.
8) Техника Clickjacking заключается в создании специального iFrame с помощью CSS и Javascript, который создает кнопку-подделку. По нажатию на эту кнопку в невидимый iframe загрузится специальная страница с вредоносным кодом. Спрятанная страница может быть подделкой текущей и заставить юзера делать, то что он не желал, например заново пройти аутентификацию, для считывания его регистрационных данных. Бороться против этого на данном этапе уже поздно.
9) Drive-by Downloading – особенно используется на Android. заключается в том, что при входе на страницу, сразу в фоне начинается загрузка инсталятора, который сразу передается для установки в систему. опасен для устройств, с "разрешением установки приложения из неизвестных источников".
10) Man-in-the-Mobile (MitMo) – это, например, когда кто-то может перехватить смс-ку, которая идет на Ваш телефон, и в ней есть код подтверждения операции, например смены пароля. и этот код, в результате, используете не Вы.
Phone/SMS-атаки
11) Baseband атака - перехват частоты, на которой работает передатчик, станции или телефона.
12) SMiShing - по аналогии с web-Фишинг-ом, смс-приглашение пользователю, отправить смс-ку или зайти на сайт, и передать пароль или другую конфиденциальную информацию.
13) Bluejacking, NFC, RF атака - поиск уязвимости по различным каналам периферийной связи (через ИК-порт, например). обычно используется для взлома физически ближайших устройств.
разновидности атак уровня приложений
14) Sensitive Data Storage – "чувствительное хранение данных". исследования показали, что катастрофически огромный процент популярных приложений, вообще не заморачиваются вопросами безопасности своих данных.
15) приложения, которые передают данные по публичным сетям (интернет) без шифрования, или используют простые алгоритмы защиты.
16) Improper SSL validation – неверное использование защищенного интернет-соединения. ошибка работы с ключами.
17) Config manipulation - доступность конфигурационных файлов, возможность извлечь из них критически важную информацию.
18) Dynamic runtime injection – возможность манипулирования приложением, возможность включения в работу приложения.
19) Unintended permissions – разрешение выполнения операции без проверки разрешения на выполнение операции.
20) Escalated privileges – эксплуатация ошибки системы безопасности для доступа к защищенным частям приложения или системы.
разновидности атак на уязвимость операционной системы
21) вход без пароля, или легкий пароль на входе.
22) Jailbreaking - чисто apple-овская фича, но зато полностью открывает (позволяет выполнять всем все) устройство, и известна сейчас уже практически всем.
23) рутование Android устройства - по смыслу, аналог Jailbreaking для Android.
24) доступность паролей и путей доступа - злоумышленник может получить информацию, из доступных файлов и приложений, если они не имеют защиту.
25) Carrier-loaded software – уязвимости может иметь предзагруженное приложение от поставщика.
26) Zero-day exploits – уязвимости, которые уже найдены взломщиками, но еще не закрыты создателями программы или устройства.
разновидности сетевых уязвимостей
27) незащищенный Wi-Fi канал.
28) неавторизованная точка доступа. часто тот самый незащищенный Wi-Fi канал, да еще и с доступом ко всему, обычно оставлен суперумным админом.
29) Packet sniffing – анализатор сетевого трафика. позволяет перехватывать и читать данные, которые предаются по сети. обычно используется для поиска логинов-паролей и интересующих данных.
30) Man-in-the-Middle (MITM) – подключение третьего лица, между клиентом и сервером, для перехвата или изменения сообщения.
31) SSLStrip – включение промежуточного звена, при использовании защищенного соединения. например, труднораспознаваем переход с защищенного на незащищенное соединение в мобильных браузерах, в силу природы самого устройства.
32) Session hijacking – перехват и замена ключа сеанса (id session).
33) DNS poisoning – подмена сетевого адреса. используется для перенаправления пользователя с целевого сайта, на сайт злоумышленника.
34) Fake SSL certificates – подмена SSL-сертификата. позволяет перехватить трафик по защищенному каналу.
атаки на сервер делятся на атаку на web-сервер и атаку на базу данных.
разновидности атак на web-сервер (собственно известны из мира www):
35) Platform vulnerabilities – уязвимости платформы.
36) Server misconfiguration – неверная конфигурация сервера.
37) Cross-site scripting (XSS) – переброс пользователя с целевого сайта на сайт злоумышленника.
38) Cross-site Request Forgery (CSRF) – подделка запросов пользователя.
39) Weak input validation – многие сайты имеют специальный вход для мобильных приложений, облегчая использование для пользователей с мобильных устройств. данные облегченные доступы используются злоумышленником, которые эмулирует мобильное устройство, подделывая сетевой запрос.
40) Brute-force attacks – атака грубой силой - множественные запросы на выполнение элементарной операции. например - проверка пароля.
разновидности атаки на базу данных (известны давно):
41) sql-включения.
42) выполнение команд операционной системы.
43) взлом системы безопасности.
атаки через мобильное приложение, можно разделить на следующие группы:
44) атака через интернет. очень большое распостранение получили мобильные версии сайтов, с облегченным функционалом, в том числе в системе безопасности, или обладающие допольнительными возможностьями, специально для мобильных устройства, типа GPS, sms или списком контактов.
45) внутрненние - уязвимости приложений или ос.
46) обертки интернета - довольно специфические, но очень популярные уязвимости, когда приложение представляется оригинальным для мобильного устройства, но на самом деле является всего лишь оберткой для работы с web-приложением. может быть взломано и через интернет, и с устройства, в результате получив доступ ко всему сразу.