- 移动安全教程
- 移动安全 - 主页
- 移动安全 - 简介
- 移动安全 - 攻击向量
- 应用商店和问题
- 移动安全 - 移动垃圾邮件
- 移动安全 - Android 操作系统
- 移动安全 - Android Root
- 移动安全 - Android 设备
- 移动安全 - Android 工具
- 移动安全 - Apple iOS
- iOS 设备跟踪工具
- Windows Phone操作系统
- 移动安全 - 黑莓操作系统
- 移动安全 - BlackBerry 设备
- 移动安全 - MDM 解决方案
- 短信钓鱼对策
- 移动安全 - 保护工具
- 移动安全 - 笔测试
- 移动安全有用资源
- 移动安全 - 快速指南
- 移动安全 - 有用的资源
- 移动安全 - 讨论
移动安全 - 攻击向量
根据定义,攻击向量是黑客用来访问另一个计算设备或网络以注入通常称为有效负载的“不良代码”的方法或技术。该向量可帮助黑客利用系统漏洞。许多攻击媒介都利用了人为因素,因为人为因素是该系统的最弱点。以下是攻击向量过程的示意图,黑客可以同时使用多个攻击向量。
一些移动攻击媒介是 -
恶意软件
病毒和 Rootkit
应用修改
操作系统修改
数据泄露
数据离开组织
打印屏幕
复制到 USB 并丢失备份
数据篡改
由另一个应用程序修改
未检测到的篡改尝试
越狱设备
数据丢失
设备丢失
未经授权的设备访问
应用程序漏洞
攻击媒介的后果
攻击向量是所解释的黑客过程,并且它是成功的,以下是对您的移动设备的影响。
丢失数据- 如果您的移动设备被黑客攻击或引入病毒,那么您存储的所有数据都会丢失并被攻击者拿走。
移动资源使用不当- 这意味着您的网络或移动设备可能会过载,因此您无法访问真正的服务。在更糟糕的情况下,黑客会利用它来连接另一台机器或网络。
声誉损失- 如果您的 Facebook 帐户或企业电子邮件帐户被黑客入侵,黑客可以向您的朋友、业务合作伙伴和其他联系人发送虚假消息。这可能会损害您的声誉。
身份盗窃- 可能存在身份盗窃的情况,例如照片、姓名、地址、信用卡等,并且这些信息也可用于犯罪。
移动攻击剖析
以下是移动攻击的剖析示意图。它从包括攻击向量的感染阶段开始。
感染设备
对于 Android 和 iOS 设备,使用移动间谍软件感染设备的方式有所不同。
Android - 通常通过使用社会工程攻击来欺骗用户从市场或第三方应用程序下载应用程序。远程感染还可以通过中间人 (MitM) 攻击来执行,其中活跃的对手拦截用户的移动通信以注入恶意软件。
iOS - iOS 感染需要对移动设备进行物理访问。还可以通过利用零日漏洞(例如 JailbreakME 漏洞)来感染设备。
安装后门
安装后门需要管理员权限,需要root Android 设备和越狱Apple 设备。尽管设备制造商设置了生根/越狱检测机制,但移动间谍软件很容易绕过它们 -
Android - 生根检测机制不适用于有意生根。
iOS - 越狱“社区”是喧闹且积极的。
绕过加密机制并窃取信息
间谍软件以纯文本形式向攻击者服务器发送加密电子邮件和消息等移动内容。间谍软件不会直接攻击安全容器。它在用户从安全容器中提取数据以读取数据时抓取数据。在此阶段,当内容被解密供用户使用时,间谍软件会控制内容并将其发送。
黑客如何从成功入侵的手机中获利?
在大多数情况下,我们大多数人都会想,如果我们的手机被黑客入侵,我们可能会失去什么。答案很简单——我们将失去隐私。我们的设备将成为黑客观察我们的监视系统。黑客的其他获利活动是窃取我们的敏感数据、进行支付、进行DDoS 攻击等非法活动。以下是示意图。
OWASP 移动十大风险
在谈论移动安全时,我们基于 OWASP 来确定漏洞类型。OWASP 是美国的一个非营利慈善组织,成立于 4 月 21 日。OWASP 是一个国际组织,OWASP 基金会支持世界各地的 OWASP 工作。
对于移动设备,OWASP 有10 个漏洞分类。
M1-平台使用不当
此类别涵盖滥用平台功能或未能使用平台安全控制。它可能包括 Android 意图、平台权限、TouchID 的误用、钥匙串或属于移动操作系统一部分的其他一些安全控制。移动应用程序可能会通过多种方式遇到这种风险。
M2-不安全数据
这个新类别是 2014 年移动十大中的 M2 和 M4 的组合。这涵盖了不安全的数据存储和意外的数据泄露。
M3-不安全通信
这包括不良握手、不正确的 SSL 版本、弱协商、敏感资产的明文通信等。
M4-不安全认证
此类别捕获了对最终用户进行身份验证或不良会话管理的概念。这包括 -
- 在需要时根本无法识别用户身份
- 在需要时未能维护用户身份
- 会话管理的弱点
M5-不充分的密码学
该代码将加密技术应用于敏感信息资产。然而,密码学在某些方面还不够。请注意,与 TLS 或 SSL 相关的任何内容都在 M3 中。此外,如果应用程序在应该使用加密技术时根本没有使用加密技术,那么这可能属于 M2。此类别适用于尝试加密但未正确完成的问题。
M6-不安全授权
这是一个捕获授权失败的类别(例如,客户端的授权决策、强制浏览等)。它与身份验证问题(例如,设备注册、用户识别等)不同。
如果应用程序在应该对用户进行身份验证的情况下根本没有对用户进行身份验证(例如,在需要经过身份验证和授权访问时授予对某些资源或服务的匿名访问权限),那么这是身份验证失败而不是授权失败。
M7-客户端代码质量
这是“通过不受信任的输入做出的安全决策”,是我们较少使用的类别之一。这将是移动客户端中代码级实现问题的包罗万象。这与服务器端编码错误不同。这将捕获缓冲区溢出、格式字符串漏洞以及各种其他代码级错误等问题,解决方案是重写移动设备上运行的一些代码。
M8代码篡改
此类别涵盖二进制修补、本地资源修改、方法挂钩、方法调配和动态内存修改。
一旦应用程序交付到移动设备,代码和数据资源就驻留在其中。攻击者可以直接修改代码、动态更改内存内容、更改或替换应用程序使用的系统 API,或者修改应用程序的数据和资源。这可以为攻击者提供一种直接方法来破坏软件的预期用途以获取个人或金钱利益。
M9-逆向工程
此类别包括对最终核心二进制文件的分析,以确定其源代码、库、算法和其他资产。IDA Pro、Hopper、otool 和其他二进制检查工具等软件使攻击者能够深入了解应用程序的内部工作原理。这可用于利用应用程序中的其他新生漏洞,以及泄露有关后端服务器、加密常量和密码以及知识产权的信息。
M10-无关功能
通常,开发人员会包含隐藏的后门功能或其他不打算发布到生产环境中的内部开发安全控制。例如,开发人员可能会意外地将密码作为评论包含在混合应用程序中。另一个示例包括在测试期间禁用两因素身份验证。