今天,我们发布了题为《资金流失:对700万iOS和 Android应用程序的移动威胁综合评估》的移动威胁报告。
报告显示,处于Android (安卓操作系统)平台的移动设备包含机密的个人数据、照片、用户定位;并且更多的是包含机密的商业信息、合同和知识产权。同样,移动设备也为攻击者指引了新的攻击方向。基于2014年间对超过700万移动应用程序的分析,我们发现:当今移动用户面临多方风险,包括:
* 恶意应用程序一旦被安装就会盗取信息
* 由开发商编写的存在安全隐患的合法应用程序
* 合法应用程序使用非安全且有侵略性的广告库
* 绕过Google官方检测的恶意软件/侵略性广告软件伪装为“安全”软件
* 身份盗用
* 优惠电话和短信诈骗
然而,由于iOS 应用程序商店严格的审核进程使得处于Apple iOS (苹果操作系统)的恶意软件还非常罕见。我们发现了一条iOS恶意软件用于逃避Apple App Store (苹果应用程序商店)审核的新型传输通道。攻击者可利用企业/点对点准备金提取向终端用户传递(要么是通过USB连接,要么通过无线传播)恶意应用程序。我们发现超过1400个可在互联网内公开使用的iOS 应用程序,这些程序署名并分散使用企业准备金提取档案将会引发安全问题。
对CISO(首席信息安全官)来说,这意味着什么?
世界各地的人们正在接受移动设备。随着消费者倾向于选择能够使生活更便捷的更简易,更轻巧的设备这一趋势的出现,个人电脑制造商目睹了个人电脑和平板电脑销量的下降。我们花费在移动设备上的时间要多于看时间的时间。我们选择安装的应用程序(而不是使用网页)可改善用户的在线体验并确保可以挽回一批又一批的用户。在用户与互联网是如何互相作用方面,我们已抵达其转折点。
应用程序是现代日程生活中我们完成工作、购物、办理银行业务,使用社会媒体和许多其它目的在线体验的未来。移动设备也是现今我们拥有的最重要的装备;它们包含了我们的日记、通讯录、邮件、照片、视频、雇主信息好许多其它重要并机密的信息。至今我们的移动设备仍缺乏确保自身及其所携带信息安全的安全性。
移动设备面临来自制造商、网络供应商和网站运营商的安全和隐私风险,然而,应用程序商店和应用程序开发商才是对移动设备最大的风险。风险应用程序被下载后,其随后的行为会对其所处设备内的所有信息造成威胁:
* 此类应用程序可自行复制并上传个人联系方式,捕获所有已安装应用程序的细节,亦或是追踪GPS坐标。
* 恶意软件可具有恶意意图,盗取银行账户信息、复制邮件、收集VPN(虚拟专用网络)认证信息。
* 当然,也没有永远不会出错的开发商:他们常常会编写出可以使应用程序置身被攻击的危险中的存在安全漏洞的代码。
作为消费者和企业,我们需要更好的了解所使用的应用程序有何用途。合法的应用程序商店正在努力工作已鉴别哪些是有害的应用程序。然而,攻击者会继续为安全攻击冲锋陷阵就需要我们确保被下载的应用程序是安全的。第三方应用程序商店提供在其它商店无效的应用程序目录,为更多的恶意应用程序“合法化”提供了一个避风港。应用程序商店供应商、应用程序开发商,组织和消费者需要加强对当今他们所面临的来自移动应用程序的威胁和风险的理解。对消费者来说,了解应用程序行为应是用户感知的关键所在。对企业来说,他们已安装的移动设备和应用程序应是他们的终端战略中要去理解和保护的关键所在。
安天公益翻译(非官方中文译本):
火眼公司的移动威胁报告[非官方中文译文•安天技术公益翻译组译注].pdf
(313.98 KB, 下载次数: 41)
发表于 2015-11-17 14:58