Urządzenia mobilne coraz częściej padają łupem hakerów

16 grudnia, 2015

Podczas gdy firmy będą stawać się coraz bardziej mobilne, nieuniknione jest, że w ślad za nimi pójdą cyberprzestępcy. Hakerzy wiedzą, że gdy następuje zmiana technologiczna, bezpieczeństwo często pozostaje w tyle, co oznacza łatwe do zdobycia cele. Trzecia doroczna ankieta firmy Check Point Software Technologies, dotycząca mobilności wykazała, że 72% badanych firm doświadczyło wzrostu o 100% liczby osobistych urządzeń mobilnych podłączonych do sieci firmowych w ciągu ostatnich dwóch lat. Nie dziwne więc, że złośliwe oprogramowanie i inne zagrożenia mobilne mnożą się.

Latem 2015 roku znaleziono złośliwe oprogramowanie zarówno w sklepach Google Play jak i uznawanemu dotąd za dobrze chroniony App Store firmy Apple, co oznacza, że przestępcy znaleźli sposoby na ominięcie zabezpieczeń systemów sprawdzania aplikacji, które trafiają do obu sklepów, dzięki czemu mogą rozpowszechniać swoje wirusy na urządzeniach użytkowników. Badania przeprowadzone w 2015 roku przez firmę Check Point i globalnego operatora sieci komórkowej pokazały, że jedno na 1000 urządzeń było zainfekowane oprogramowaniem typu mRAT (mobile Remote Access Trojans, mobilne konie trojańskie zdalnego dostępu). Około 47% infekcji dotyczyło urządzeń pod kontrolą systemu iOS, co zaprzeczyło obiegowej opinii, że produkty firmy Apple są dużo bezpieczniejsze niż Androidy.

Komórki są częstym celem ataków z kilku przyczyn: przechowują duże ilości danych osobistych i biznesowych, wliczając dane logowania aplikacji i stron internetowych, są prawie zawsze podłączone do Internetu oraz posiadają możliwości nagrywania audio i wideo, a co najważniejsze posiadają dużo gorsze zabezpieczenia przed złośliwym oprogramowaniem i hakerami od PC (o ile w ogóle posiadają jakąkolwiek ochronę). To oznacza, że wykrycie wirusa kradnącego dane może pozostać niezauważone przez wiele miesięcy.

Jakie są w takim razie największe zagrożenia dla urządzeń mobilnych? Hakerzy mają do dyspozycji dużo „uzbrojenia”, które mogą wykorzystać zarówno przeciwko urządzeniom firmy Apple jak i Androidom oraz rozwiązania, które są specyficzne tylko dla jednego z tych systemów operacyjnych. Poniżej przedstawimy zagrożenia należące do obu grup.

Mobilne konie trojańskie mRAT – ten rodzaj ataku daje hakerowi możliwość zdalnego dostępu do urządzenia i wszystkich danych na nim zapisanych lub przez nie przepływających, zarówno pod kontrolą systemu Android oraz iOS. Tego typu aplikacje często dostają się do sklepu Google Play, pomimo ogromnych starań firmy Google polegających na regularnym sprawdzaniu kodów źródłowych aplikacji. Urządzenia z systemem iOS są równie podatne, ponieważ atakujący mogą „jailbreakować” urządzenie, usuwając wszystkie wbudowane w system zabezpieczenia poprzez fizyczny dostęp do urządzenia lub przesyłając kod z zainfekowanego komputera, dzięki czemu zainstalowanie mRATa na telefonie staje się możliwe. Pojawiły się również zagrożenia umożliwiające atakowanie urządzeń nie-jailbreakowanych, np. WireLurker z 2014 oraz YiSpecter z 2015 roku.
 
Atak typu Man in the Middle (MitM) przez WiFi – mogą nastąpić gdy tylko urządzenie połączy się z hotspotem WiFi przejętym przez przestępców. Ponieważ wszystkie dane przechodzą wtedy przez kontrolowany przez hakerów punkt dostępowy, mogą oni podsłuchiwać oraz modyfikować całą komunikację. Ataki MitM zawsze były problemem dla urządzeń bezprzewodowych, ale dopiero spopularyzowanie osobistych urządzeń mobilnych zwiększyło częstotliwość tych ataków. Tego typu ataki są bardzo trudne do zauważenia przez użytkowników komórek, gdyż w przeciwieństwie do ostrzeżeń wyświetlanych na PC i laptopach, na urządzeniach mobilnych są one dużo mniej widoczne z powodu mniejszego rozmiaru ekranu i uproszczonych przeglądarek internetowych.

Ataki typu zero-day – wykorzystują podatności wykryte zarówno w urządzeniach iOS oraz Android, które wykryto, ale nie udostępniono jeszcze poprawek likwidujących je. Często dzięki tym podatnościom dochodzi do instalacji złośliwego oprogramowania na urządzeniu, takiego jak np. mRAT. Po ich zainstalowaniu, atakujący może wykraść hasła, dane firmowe, emaile oraz przechwycić wszystkie informacje wprowadzane z klawiatury i wyświetlane na ekranie.

Wykorzystywanie podniesienia uprawnień w systemie Android – podatności systemu Android mogą być wykorzystane w celu uzyskania uprawnień systemowych bez zostawiania śladu, np. niedawno wykryta podatność Certifigate, która posłużyła do zaatakowania  setek milionów urządzeń. Atakujący wykorzystują fakt fragmentacji systemu oraz otwartości i rozległości jego ekosystemu, co tworzy okazje, aby przeprowadzić wiele różnych typów ataków.

Fałszywe certyfikaty systemu iOS – ataki wykorzystują dystrybucyjne certyfikaty, aby dodatkowo wczytać aplikację, omijając w ten sposób proces walidacyjny sklepu Apple App Store, dzięki czemu złośliwe oprogramowanie jest pobierane bezpośrednio na urządzenie. Ta metoda była już wykorzystywana wcześniej, np. w połowie 2013 roku, gdy autorzy chińskiego portalu wykorzystali biznesowy certyfikat w celu rozprowadzania pirackich kopii aplikacji, co umożliwiło atakującym dostęp do różnych danych na urządzeniach firmy Apple.

Złośliwe profile iOS – ataki te wykorzystują uprawnienia profili w celu obejścia typowych mechanizmów bezpieczeństwa, co umożliwia atakującemu wykonać praktycznie dowolną czynność na urządzeniu. Użytkownik zostaje nakłoniony do ściągnięcia złośliwego profilu, przez co cały ruch sieciowy z mobilnego urządzenia zostanie przekierowany na kontrolowany przez hakera serwer, dzięki czemu mogą zostać zainstalowane inne złośliwe aplikacje, a nawet może dojść do odszyfrowania komunikacji.

Podatności iOS WebKit – narzędzia typu WebKit umożliwiają przeglądarkom odpowiednie renderowanie stron internetowych odwiedzanych przez użytkownika. Wykorzystując zawarte w nich podatności do uruchomienia własnych skryptów, atakujący omijają zabezpieczenia zaimplementowane przez firmę Apple. Hakerzy często stosują ten sposób, aby zarazić urządzenie złośliwym oprogramowaniem.

Aby móc zmierzyć się z hakerami mającymi dostęp do tak wielkiego arsenału technik, które mogą zostać wykorzystane do atakowania urządzeń mobilnych, niezwykle ważne jest, żeby firmy upewniły się, że posiadają system bezpieczeństwa, który pomoże im sprostać tym zagrożeniom, aby zapobiec przechwytywaniu urządzeń i danych firmowych. 

Idealne rozwiązanie powinno być w stanie: 

  • Analizować aplikacje, które są pobierane na urządzenie, badając ich zachowanie w wirtualnym środowisku, zanim zostaną dopuszczone do użytku
  • Regularnie sprawdzać urządzenie pod kątem podatności oraz objawów wskazujących na to, że urządzenie padło ofiarą hakerów
  • Pomagać w wykrywaniu ataków sieciowych poprzez identyfikację podejrzanego ruchu sieciowego, korelując wydarzenia na urządzeniu i w sieci w celu blokowania podejrzanej działalności i zapobiegania wysyłaniu danych atakującym 

Ponieważ urządzenia mobilne stają się nowym ulubionym obiektem hakerów, organizacje będą musiały wprowadzić te same rygorystyczne zabezpieczenia jak w pozostałej części ich infrastruktury informatycznej. W innym wypadku urządzenia te pozostaną podatne na arsenał wykorzystywany w mobilnej wojnie.

źródło: Check Point

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]