Keamanan Seluler - Vektor Serangan
Menurut definisi, sebuah Attack Vector adalah metode atau teknik yang digunakan peretas untuk mendapatkan akses ke perangkat komputasi atau jaringan lain untuk memasukkan "kode buruk" yang sering disebut payload. Vektor ini membantu peretas untuk mengeksploitasi kerentanan sistem. Banyak dari vektor serangan ini memanfaatkan elemen manusia karena merupakan titik terlemah dari sistem ini. Berikut ini adalah representasi skematis dari proses vektor serangan yang bisa banyak sekaligus digunakan oleh seorang hacker.
Beberapa vektor serangan seluler adalah -
Malware
Virus dan Rootkit
Modifikasi aplikasi
Modifikasi OS
Eksfiltrasi Data
Data keluar dari organisasi
Layar cetak
Salin ke USB dan backup loss
Perusakan Data
Modifikasi oleh aplikasi lain
Upaya pengrusakan tidak terdeteksi
Perangkat rusak penjara
Data hilang
Kehilangan perangkat
Akses perangkat tidak sah
Kerentanan aplikasi
Konsekuensi Vektor Serangan
Vektor serangan adalah proses peretasan seperti yang dijelaskan dan berhasil, berikut adalah dampaknya pada perangkat seluler Anda.
Losing your data - Jika perangkat seluler Anda telah diretas, atau terkena virus, semua data Anda yang disimpan akan hilang dan diambil oleh penyerang.
Bad use of your mobile resources- Artinya, jaringan atau perangkat seluler Anda dapat kelebihan beban sehingga Anda tidak dapat mengakses layanan asli Anda. Dalam skenario yang lebih buruk, untuk digunakan oleh peretas untuk memasang mesin atau jaringan lain.
Reputation loss- Jika akun Facebook atau akun email bisnis Anda diretas, peretas dapat mengirim pesan palsu ke teman, mitra bisnis, dan kontak lainnya. Ini dapat merusak reputasi Anda.
Identity theft - Bisa terjadi pencurian identitas seperti foto, nama, alamat, kartu kredit, dll. Dan hal yang sama dapat digunakan untuk kejahatan.
Anatomi Serangan Seluler
Berikut adalah representasi skematis dari anatomi mobile attack. Ini dimulai dengan fase infeksi yang mencakup vektor serangan.
Menginfeksi perangkat
Menginfeksi perangkat dengan spyware seluler dilakukan secara berbeda untuk perangkat Android dan iOS.
Android- Pengguna tertipu untuk mengunduh aplikasi dari pasar atau dari aplikasi pihak ketiga secara umum dengan menggunakan serangan manipulasi psikologis. Infeksi jarak jauh juga dapat dilakukan melalui serangan Man-in-the-Middle (MitM), di mana musuh aktif mencegat komunikasi seluler pengguna untuk memasukkan malware.
iOS- Infeksi iOS membutuhkan akses fisik ke ponsel. Menginfeksi perangkat juga dapat melalui eksploitasi zero-day seperti eksploitasi JailbreakME.
Memasang pintu belakang
Untuk menginstal backdoor membutuhkan hak administrator dengan me-rooting perangkat Android dan melakukan jailbreak pada perangkat Apple. Meskipun produsen perangkat menempatkan mekanisme deteksi rooting / jailbreaking, spyware seluler dengan mudah menerobosnya -
Android - Mekanisme deteksi rooting tidak berlaku untuk rooting yang disengaja.
iOS - "Komunitas" jailbreaking gencar dan termotivasi.
Melewati mekanisme enkripsi dan mengekstrak informasi
Spyware mengirimkan konten seluler seperti email dan pesan terenkripsi ke server penyerang dalam teks biasa. Spyware tidak secara langsung menyerang wadah aman. Ini mengambil data pada titik di mana pengguna menarik data dari penampung aman untuk membacanya. Pada tahap itu, ketika konten didekripsi untuk digunakan oleh pengguna, spyware mengambil kendali atas konten tersebut dan mengirimkannya.
Bagaimana Cara Peretas Mendapatkan Keuntungan dari Seluler yang Berhasil Disusupi?
Dalam kebanyakan kasus, kebanyakan dari kita berpikir apa yang mungkin akan hilang jika ponsel kita diretas. Jawabannya sederhana - kami akan kehilangan privasi kami. Perangkat kita akan menjadi sistem pengawasan bagi peretas untuk mengamati kita. Kegiatan profit lainnya bagi hacker adalah mengambil data sensitif kita, melakukan pembayaran, melakukan aktivitas ilegal sejenisnyaDDoS attacks. Berikut adalah representasi skematisnya.
10 Risiko Teratas Seluler OWASP
Ketika berbicara tentang keamanan seluler, kami mendasarkan jenis kerentanan pada OWASP yang merupakan organisasi amal nirlaba di Amerika Serikat, yang didirikan pada tanggal 21 April. OWASP adalah organisasi internasional dan OWASP Foundation mendukung upaya OWASP di seluruh dunia.
Untuk perangkat seluler, OWASP memiliki 10 vulnerability classifications.
Penggunaan Platform M1-Tidak Tepat
Kategori ini mencakup penyalahgunaan fitur platform atau kegagalan untuk menggunakan kontrol keamanan platform. Ini mungkin termasuk maksud Android, izin platform, penyalahgunaan TouchID, Rantai Kunci, atau beberapa kontrol keamanan lain yang merupakan bagian dari sistem operasi seluler. Ada beberapa cara aplikasi seluler dapat mengalami risiko ini.
M2-Insecure Data
Kategori baru ini adalah kombinasi M2 dan M4 dari Sepuluh Besar Seluler 2014. Kategori ini mencakup penyimpanan data yang tidak aman dan kebocoran data yang tidak diinginkan.
Komunikasi M3-Tidak Aman
Ini mencakup handshaking yang buruk, versi SSL yang salah, negosiasi yang lemah, komunikasi teks yang jelas dari aset sensitif, dll.
M4-Otentikasi Tidak Aman
Kategori ini menangkap pengertian tentang mengautentikasi pengguna akhir atau manajemen sesi yang buruk. Ini termasuk -
- Gagal mengidentifikasi pengguna sama sekali saat itu harus diwajibkan
- Kegagalan mempertahankan identitas pengguna saat diperlukan
- Kelemahan dalam manajemen sesi
M5-Kriptografi yang Tidak Memadai
Kode menerapkan kriptografi ke aset informasi sensitif. Namun, kriptografi dalam beberapa hal tidak cukup. Perhatikan bahwa apapun dan segala sesuatu yang berhubungan dengan TLS atau SSL masuk M3. Juga, jika aplikasi gagal menggunakan kriptografi sama sekali pada saat yang seharusnya, itu mungkin milik M2. Kategori ini untuk masalah di mana kriptografi dicoba, tetapi tidak dilakukan dengan benar.
M6-Insecure Authorization
Ini adalah kategori untuk mencatat setiap kegagalan dalam otorisasi (misalnya, keputusan otorisasi di sisi klien, penjelajahan paksa, dll.) Ini berbeda dari masalah otentikasi (misalnya, pendaftaran perangkat, identifikasi pengguna, dll.)
Jika aplikasi sama sekali tidak mengautentikasi pengguna dalam situasi yang seharusnya (misalnya, memberikan akses anonim ke beberapa sumber daya atau layanan saat diperlukan akses yang diautentikasi dan diotorisasi), maka itu adalah kegagalan otentikasi, bukan kegagalan otorisasi.
Kualitas Kode M7-Client
Ini adalah "Keputusan Keamanan Melalui Input yang Tidak Dipercaya", salah satu kategori kami yang jarang digunakan. Ini akan menjadi penyebab utama masalah implementasi tingkat kode di klien seluler. Itu berbeda dari kesalahan pengkodean sisi server. Ini akan merekam hal-hal seperti buffer overflows, kerentanan format string, dan berbagai kesalahan tingkat kode lainnya yang solusinya adalah menulis ulang beberapa kode yang berjalan di perangkat seluler.
Perusakan Kode M8
Kategori ini mencakup patch biner, modifikasi sumber daya lokal, pengait metode, metode swizzling, dan modifikasi memori dinamis.
Setelah aplikasi dikirim ke perangkat seluler, kode dan sumber data disimpan di sana. Penyerang dapat secara langsung memodifikasi kode, mengubah konten memori secara dinamis, mengubah atau mengganti API sistem yang digunakan aplikasi, atau memodifikasi data dan sumber daya aplikasi. Ini dapat memberi penyerang metode langsung untuk menumbangkan tujuan penggunaan perangkat lunak untuk keuntungan pribadi atau uang.
Rekayasa M9-Terbalik
Kategori ini mencakup analisis biner inti akhir untuk menentukan kode sumbernya, pustaka, algoritme, dan aset lainnya. Perangkat lunak seperti IDA Pro, Hopper, otool, dan alat inspeksi biner lainnya memberikan wawasan kepada penyerang tentang cara kerja aplikasi. Ini dapat digunakan untuk mengeksploitasi kerentanan baru lainnya dalam aplikasi, serta mengungkapkan informasi tentang server back-end, konstanta dan sandi kriptografi, dan kekayaan intelektual.
M10-Fungsi Ekstra
Seringkali, pengembang menyertakan fungsionalitas pintu belakang tersembunyi atau kontrol keamanan pengembangan internal lainnya yang tidak dimaksudkan untuk dirilis ke lingkungan produksi. Misalnya, pengembang mungkin tidak sengaja memasukkan kata sandi sebagai komentar di aplikasi hybrid. Contoh lain termasuk menonaktifkan otentikasi 2 faktor selama pengujian.