Podczas gdy firmy będą stawać się coraz bardziej mobilne, nieuniknione jest, że w ślad za nimi pójdą cyberprzestępcy. Hakerzy wiedzą, że gdy następuje zmiana technologiczna, bezpieczeństwo często pozostaje w tyle, co oznacza łatwe do zdobycia cele.

Latem 2015 roku znaleziono złośliwe oprogramowanie zarówno w sklepach Google Play jak i uznawanemu dotąd za dobrze chroniony App Store firmy Apple, co oznacza, że przestępcy znaleźli sposoby na ominięcie zabezpieczeń systemów sprawdzania aplikacji, które trafiają do obu sklepów, dzięki czemu mogą rozpowszechniać swoje wirusy na urządzeniach użytkowników.

Badania przeprowadzone w 2015 roku przez firmę Check Point Software Technologies i globalnego operatora sieci komórkowej pokazały, że jedno na 1000 urządzeń było zainfekowane oprogramowaniem typu mRAT (mobile Remote Access Trojans, mobilne konie trojańskie zdalnego dostępu). Około 47% infekcji dotyczyło urządzeń pod kontrolą systemu iOS, co zaprzeczyło obiegowej opinii, że produkty firmy Apple są dużo bezpieczniejsze niż Androidy.

Komórki są częstym celem ataków hakerów
Komórki są częstym celem ataków z kilku przyczyn: przechowują duże ilości danych osobistych i biznesowych, wliczając dane logowania aplikacji i stron internetowych, są prawie zawsze podłączone do Internetu oraz posiadają możliwości nagrywania audio i wideo, a co najważniejsze posiadają dużo gorsze zabezpieczenia przed złośliwym oprogramowaniem i hakerami od PC (o ile w ogóle posiadają jakąkolwiek ochronę). To oznacza, że wykrycie wirusa kradnącego dane może pozostać niezauważone przez wiele miesięcy.

Jakie są w takim razie największe zagrożenia dla urządzeń mobilnych? Hakerzy mają do dyspozycji dużo "uzbrojenia", które mogą wykorzystać zarówno przeciwko urządzeniom firmy Apple jak i Androidom oraz rozwiązania, które są specyficzne tylko dla jednego z tych systemów operacyjnych. Poniżej przedstawimy zagrożenia należące do obu grup.

Mobilne konie trojańskie mRAT

Ten rodzaj ataku daje hakerowi możliwość zdalnego dostępu do urządzenia i wszystkich danych na nim zapisanych lub przez nie przepływających, zarówno pod kontrolą systemu Android oraz iOS. Tego typu aplikacje często dostają się do sklepu Google Play, pomimo ogromnych starań firmy Google polegających na regularnym sprawdzaniu kodów źródłowych aplikacji. Urządzenia z systemem iOS są równie podatne, ponieważ atakujący mogą "jailbreakować" urządzenie, usuwając wszystkie wbudowane w system zabezpieczenia poprzez fizyczny dostęp do urządzenia lub przesyłając kod z zainfekowanego komputera, dzięki czemu zainstalowanie mRATa na telefonie staje się możliwe. Pojawiły się również zagrożenia umożliwiające atakowanie urządzeń nie-jailbreakowanych, np. WireLurker z 2014 oraz YiSpecter z 2015 roku.

Ataki typu Man in the Middle (MitM) przez WiFi

Mogą nastąpić gdy tylko urządzenie połączy się z hotspotem WiFi przejętym przez przestępców. Ponieważ wszystkie dane przechodzą wtedy przez kontrolowany przez hakerów punkt dostępowy, mogą oni podsłuchiwać oraz modyfikować całą komunikację. Ataki MitM zawsze były problemem dla urządzeń bezprzewodowych, ale dopiero spopularyzowanie osobistych urządzeń mobilnych zwiększyło częstotliwość tych ataków. Tego typu ataki są bardzo trudne do zauważenia przez użytkowników komórek, gdyż w przeciwieństwie do ostrzeżeń wyświetlanych na PC i laptopach, na urządzeniach mobilnych są one dużo mniej widoczne z powodu mniejszego rozmiaru ekranu i uproszczonych przeglądarek internetowych.

Ataki typu zero-day

Wykorzystują podatności wykryte zarówno w urządzeniach iOS oraz Android, które wykryto, ale nie udostępniono jeszcze poprawek likwidujących je. Często dzięki tym podatnościom dochodzi do instalacji złośliwego oprogramowania na urządzeniu, takiego jak np. mRAT. Po ich zainstalowaniu, atakujący może wykraść hasła, dane firmowe, emaile oraz przechwycić wszystkie informacje wprowadzane z klawiatury i wyświetlane na ekranie.

Wykorzystywanie podniesienia uprawnień w systemie Android

Podatności systemu Android mogą być wykorzystane w celu uzyskania uprawnień systemowych bez zostawiania śladu, np. niedawno wykryta podatność Certifigate, która posłużyła do zaatakowania setek milionów urządzeń. Atakujący wykorzystują fakt fragmentacji systemu oraz otwartości i rozległości jego ekosystemu, co tworzy okazje, aby przeprowadzić wiele różnych typów ataków.

Fałszywe certyfikaty systemu iOS

Ataki wykorzystują dystrybucyjne certyfikaty, aby dodatkowo wczytać aplikację, omijając w ten sposób proces walidacyjny sklepu Apple App Store, dzięki czemu złośliwe oprogramowanie jest pobierane bezpośrednio na urządzenie. Ta metoda była już wykorzystywana wcześniej, np. w połowie 2013 roku, gdy autorzy chińskiego portalu wykorzystali biznesowy certyfikat w celu rozprowadzania pirackich kopii aplikacji, co umożliwiło atakującym dostęp do różnych danych na urządzeniach firmy Apple.

Złośliwe profile iOS

Ataki te wykorzystują uprawnienia profili w celu obejścia typowych mechanizmów bezpieczeństwa, co umożliwia atakującemu wykonać praktycznie dowolną czynność na urządzeniu. Użytkownik zostaje nakłoniony do ściągnięcia złośliwego profilu, przez co cały ruch sieciowy z mobilnego urządzenia zostanie przekierowany na kontrolowany przez hakera serwer, dzięki czemu mogą zostać zainstalowane inne złośliwe aplikacje, a nawet może dojść do odszyfrowania komunikacji.

Podatności iOS WebKit

Narzędzia typu WebKit umożliwiają przeglądarkom odpowiednie renderowanie stron internetowych odwiedzanych przez użytkownika. Wykorzystując zawarte w nich podatności do uruchomienia własnych skryptów, atakujący omijają zabezpieczenia zaimplementowane przez firmę Apple. Hakerzy często stosują ten sposób, aby zarazić urządzenie złośliwym oprogramowaniem.

Aby móc zmierzyć się z hakerami mającymi dostęp do tak wielkiego arsenału technik, które mogą zostać wykorzystane do atakowania urządzeń mobilnych, niezwykle ważne jest, żeby firmy upewniły się, że posiadają system bezpieczeństwa, który pomoże im sprostać tym zagrożeniom, aby zapobiec przechwytywaniu urządzeń i danych firmowych.

Idealne rozwiązanie powinno być w stanie:

  • Analizować aplikacje, które są pobierane na urządzenie, badając ich zachowanie w wirtualnym środowisku, zanim zostaną dopuszczone do użytku
  • Regularnie sprawdzać urządzenie pod kątem podatności oraz objawów wskazujących na to, że urządzenie padło ofiarą hakerów
  • Pomagać w wykrywaniu ataków sieciowych poprzez identyfikację podejrzanego ruchu sieciowego, korelując wydarzenia na urządzeniu i w sieci w celu blokowania podejrzanej działalności i zapobiegania wysyłaniu danych atakującym

Ponieważ urządzenia mobilne stają się nowym ulubionym obiektem hakerów, organizacje będą musiały wprowadzić te same rygorystyczne zabezpieczenia jak w pozostałej części ich infrastruktury informatycznej. W innym wypadku urządzenia te pozostaną podatne na arsenał wykorzystywany w mobilnej wojnie.

źródło: Check Point Software Technologies