Об орудиях войны за мобильные устройства

Виктория Носова, консультант по безопасности компании Check Point, рассказывает о самых значимых угрозах для мобильных устройств и о том, как организации могут себя защитить.

Виктория Носова, Checkpoint

Поскольку компании все активнее переходят на мобильные технологии, киберпреступники не отстают от этого тренда ни на шаг. Хакеры знают, что при любом технологическом сдвиге безопасность чаще всего запаздывает — а это значит, что у них есть реальная возможность без труда получить выгоду от этой задержки. Третье ежегодное исследование Check Point по мобильности выявило, что 72% всех компаний за последние два года отметили рост числа личных мобильных устройств, подключаемых к корпоративной сети, на 100% и даже больше. Неудивительно, что количество вредоносных программ и других мобильных угроз постоянно умножается.

Летом 2015 года мобильные вредоносные программы были обнаружены и в Google Play, и в закрытой экосистеме Apple App Store. Преступники нашли способ обойти защиту и меры проверки обоих магазинов, чтобы заразить устройства пользователей. По данным совместного исследования Check Point и одного из глобальных поставщиков услуг сотовой связи, проведенного в 2015 году, одно устройство из 1000 заражено троянами мобильного наблюдения и удаленного доступа (mRAT). Хотя больше половины инфицированных — это Android-устройства, 47% из них работали на платформе iOS. Эти данные ставят под сомнение распространенное мнение о том, что iOS по умолчанию более безопасна.

Мобильные устройства — привлекательная мишень по многим причинам: в гаджетах хранятся большие объемы личной и рабочей информации, включая учетные данные для входа в приложения и на сайты; гаджеты почти всегда включены и соединены с интернетом; у них есть функции записи аудио и видео. Главное, что они, как правило, не имеют даже подобия того уровня защиты от вредоносного ПО и взломов, как у ПК, если у них вообще есть какая-то защита. Это означает, что вирус-шпион или вирус, похищающий данные с устройства, может оставаться необнаруженным долгие месяцы.

Итак, какие самые опасные угрозы для мобильных устройств можно назвать? Существуют хакерские методы и инструменты, которые применяются одновременно к устройствам Apple и Android, а также угрозы, специфичные для операционных систем каждого из вендоров. Вот подробности о каждом виде вредоносного ПО для мобильных устройств.

Трояны удаленного доступа для мобильных устройств (mRAT)

Эти атаки дают хакеру возможность удаленно получать доступ ко всему, что хранится или передается через гаджеты на базе Android или iOS. mRAT обычно попадают на Android-устройства через приложения, доступные в магазине Google Play. Хотя компания Google делает все возможное для защиты, проводя регулярные проверки безопасности кода. iOS-устройства тоже уязвимы, так как хакеры могут получить полный доступ к файловой системе устройства с помощью его перепрошивки (jailbreak). Перед установкой mRAT они удаляют все встроенные защитные механизмы iOS, имея физический доступ к телефону или через передачу кода для перепрошивки с зараженного компьютера. Встречаются и такие угрозы, которые могут атаковать iOS-устройства, не подвергавшиеся операции jailbreak. Среди них вирусы WireLurker 2014 года и YiSpecter 2015 года.

Атака «человек посередине» через WiFi (MitM)

Атака типа man in the middle может произойти, когда устройство любого типа соединяется со скомпрометированной точкой доступа Wi-Fi. Поскольку все коммуникации проходят через контролируемое хакерами сетевое устройство, они могут перехватывать и даже вносить изменения в параметры сетевого соединения. MitM-атаки всегда представляли опасность для беспроводных устройств, однако повсеместное использование смартфонов в личной жизни и для работы сделало гаджеты еще более привлекательными целями для хакеров. Пользователям очень трудно обнаружить эти атаки, так как стандартные сигналы опасности, которые они привыкли видеть на ПК и ноутбуках, не так заметны на мобильниках из-за ограниченного размера экрана и упрощенных браузеров.

Атаки «нулевого дня»

Атаки «нулевого дня» используют уже известные уязвимости в iOS и Android, которые производители еще не успели устранить. Во многих случаях эти уязвимости обеспечивают незаметную установку вредоносных программ, например, mRAT, с помощью методов удаленного исполнения. Проникнув в устройство, вредоносное ПО позволяет хакерам красть пароли, корпоративные данные, файлы электронной почты, а также фиксировать содержание экрана и действия, которые пользователь выполняет с клавиатуры.

Использование повышенных привилегий в Android

Уязвимости системы Android могут использоваться для незаметного получения привилегированного доступа — как в случае с недавно обнаруженной уязвимостью Certifigate, которая затронула миллионы устройств. Атаки этого типа используют лазейки, возникающие из-за фрагментации операционной системы Android, открытого характера ее экосистемы. Это дает хакерам возможность получать доступ к устройствам и организовывать масштабные нападения.

Поддельные сертификаты iOS

В атаках используются сертификаты дистрибуции для стороннего скачивания приложения без проверки достоверности магазином приложений Apple — приложение загружается в устройство напрямую. Этот способ уже неоднократно применялся злоумышленниками. Например, в середине 2013 года китайский мошеннический сайт использовал корпоративный сертификат для распространения пиратских iOS-приложений, в результате чего злоумышленники получили масштабный доступ к данным на устройствах Apple.

Вредоносные профили iOS

Атаки такого типа используют права доступа к профилю для обхода стандартных механизмов безопасности, позволяя злоумышленникам осуществлять практически любые действия. Пользователя можно обманным путем заставить скачать вредоносный профиль — таким образом он незаметно для себя установит вредоносную конфигурацию, позволяющую перенаправлять весь трафик с мобильного устройства на сервер, контролируемый хакерами. Затем хакеры могут устанавливать другие вредоносные приложения и даже расшифровывать коммуникации.

Уязвимости iOS WebKit

Движок WebKit помогает браузерам правильно отображать веб-страницы. Хакеры пользуются уязвимостями в WebKit, чтобы запускать свои скрипты в обход жестких мер безопасности Apple. Эти уязвимости обычно исполняют роль плацдарма для удаленного заражения устройства.

Поскольку хакеры атакуют гаджеты с помощью такого богатого арсенала технологий, для организаций критически важно иметь решение против мобильных угроз, обеспечивающее широкий круг возможностей и способов защиты от взлома и перехвата данных. Идеальное решение должно уметь:

  • Анализировать приложения в процессе их установки, изучать их поведение в виртуальной среде перед тем, как дать разрешение на их использование или присвоить им статус вредоносных.
  • Регулярно проверять устройства на наличие уязвимостей и признаков атак.
  • Предотвращать сетевые атаки за счет обнаружения подозрительного сетевого поведения, сопоставляя события на устройстве и в сети, чтобы остановить подозрительные действия и попытки отправки любых данных злоумышленникам.

Мобильные устройства становятся новым полем боя за безопасность, и организациям необходимо применять такие же строгие подходы к защите своей мобильной среды, какие они применяют к другим частям ИТ-инфраструктуры. В противном случае они рискуют остаться уязвимыми в этой мобильной войне.