การรักษาความปลอดภัยมือถือ - เวกเตอร์การโจมตี

ตามความหมาย an Attack Vector เป็นวิธีการหรือเทคนิคที่แฮ็กเกอร์ใช้เพื่อเข้าถึงอุปกรณ์คอมพิวเตอร์หรือเครือข่ายอื่นเพื่อฉีด "รหัสที่ไม่ดี" ซึ่งมักเรียกกันว่า payload. เวกเตอร์นี้ช่วยให้แฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่ของระบบ เวกเตอร์การโจมตีจำนวนมากเหล่านี้ใช้ประโยชน์จากองค์ประกอบของมนุษย์เนื่องจากเป็นจุดอ่อนที่สุดของระบบนี้ ต่อไปนี้คือการแสดงแผนผังของกระบวนการเวกเตอร์การโจมตีซึ่งแฮกเกอร์สามารถใช้งานได้หลายอย่างในเวลาเดียวกัน

เวกเตอร์การโจมตีบนมือถือบางส่วน ได้แก่ -

  • มัลแวร์

    • ไวรัสและ Rootkit

    • การปรับเปลี่ยนแอปพลิเคชัน

    • การปรับเปลี่ยนระบบปฏิบัติการ

  • การกรองข้อมูล

    • ข้อมูลออกจากองค์กร

    • บันทึกหน้าจอ, พิมพ์หน้าจอ

    • คัดลอกไปยัง USB และการสูญเสียข้อมูลสำรอง

  • การเจาะข้อมูล

    • การแก้ไขโดยแอปพลิเคชันอื่น

    • ความพยายามในการงัดแงะที่ตรวจไม่พบ

    • อุปกรณ์ที่ติดคุก

  • ข้อมูลสูญหาย

    • อุปกรณ์สูญหาย

    • การเข้าถึงอุปกรณ์โดยไม่ได้รับอนุญาต

    • ช่องโหว่ของแอปพลิเคชัน

ผลของเวกเตอร์การโจมตี

เวกเตอร์การโจมตีเป็นกระบวนการแฮ็กตามที่อธิบายไว้และประสบความสำเร็จต่อไปนี้เป็นผลกระทบต่ออุปกรณ์มือถือของคุณ

  • Losing your data - หากอุปกรณ์มือถือของคุณถูกแฮ็กหรือมีไวรัสแนะนำข้อมูลที่เก็บไว้ทั้งหมดของคุณจะสูญหายและถูกโจมตีโดยผู้โจมตี

  • Bad use of your mobile resources- ซึ่งหมายความว่าเครือข่ายหรืออุปกรณ์มือถือของคุณสามารถทำงานหนักเกินไปดังนั้นคุณจึงไม่สามารถเข้าถึงบริการของแท้ของคุณได้ ในสถานการณ์ที่แย่กว่านั้นแฮ็กเกอร์จะใช้เพื่อเชื่อมต่อเครื่องหรือเครือข่ายอื่น

  • Reputation loss- ในกรณีที่บัญชี Facebook หรือบัญชีอีเมลธุรกิจของคุณถูกแฮ็กแฮ็กเกอร์สามารถส่งข้อความปลอมไปยังเพื่อนคู่ค้าทางธุรกิจและผู้ติดต่ออื่น ๆ ของคุณได้ ซึ่งอาจทำให้ชื่อเสียงของคุณเสียหาย

  • Identity theft - อาจมีกรณีของการขโมยข้อมูลประจำตัวเช่นรูปถ่ายชื่อที่อยู่บัตรเครดิต ฯลฯ และสามารถนำมาใช้ในการก่ออาชญากรรมได้

กายวิภาคของการโจมตีมือถือ

ต่อไปนี้เป็นการแสดงแผนผังของกายวิภาคของการโจมตีบนมือถือ เริ่มต้นด้วยระยะการติดเชื้อซึ่งรวมถึงพาหะของการโจมตี

การติดเชื้ออุปกรณ์

การติดสปายแวร์ในอุปกรณ์เคลื่อนที่จะดำเนินการแตกต่างกันสำหรับอุปกรณ์ Android และ iOS

Android- ผู้ใช้ถูกหลอกให้ดาวน์โหลดแอปจากตลาดหรือจากแอปพลิเคชันของบุคคลที่สามโดยทั่วไปโดยใช้การโจมตีทางวิศวกรรมสังคม การติดเชื้อระยะไกลยังสามารถดำเนินการผ่านการโจมตีแบบแมน - อิน - เดอะ - กลาง (MitM) ซึ่งฝ่ายตรงข้ามที่ใช้งานอยู่จะสกัดกั้นการสื่อสารเคลื่อนที่ของผู้ใช้เพื่อฉีดมัลแวร์

iOS- การติดเชื้อ iOS ต้องการการเข้าถึงทางกายภาพไปยังมือถือ การติดเชื้ออุปกรณ์สามารถทำได้โดยการใช้ประโยชน์จาก Zero-day เช่นการใช้ประโยชน์จาก JailbreakME

การติดตั้งประตูหลัง

ในการติดตั้งแบ็คดอร์ต้องใช้สิทธิ์ของผู้ดูแลระบบโดยการรูทอุปกรณ์ Android และเจลเบรคอุปกรณ์ Apple แม้ผู้ผลิตอุปกรณ์จะวางกลไกการตรวจจับการรูท / การเจลเบรค แต่สปายแวร์มือถือก็ข้ามผ่านได้อย่างง่ายดาย -

Android - กลไกการตรวจจับการรูทใช้ไม่ได้กับการรูทโดยเจตนา

iOS -“ ชุมชน” ที่แหกคุกนั้นอื้ออึงและมีแรงจูงใจ

การข้ามกลไกการเข้ารหัสและการกรองข้อมูล

สปายแวร์ส่งเนื้อหาบนมือถือเช่นอีเมลที่เข้ารหัสและข้อความไปยังเซิร์ฟเวอร์ของผู้โจมตีในรูปแบบข้อความธรรมดา สปายแวร์ไม่ได้โจมตีคอนเทนเนอร์ที่ปลอดภัยโดยตรง จับข้อมูล ณ จุดที่ผู้ใช้ดึงข้อมูลจากคอนเทนเนอร์ที่ปลอดภัยเพื่อที่จะอ่าน ในขั้นตอนนั้นเมื่อเนื้อหาถูกถอดรหัสสำหรับการใช้งานของผู้ใช้สปายแวร์จะเข้าควบคุมเนื้อหาและส่งไป

แฮ็กเกอร์จะทำกำไรจากมือถือที่ถูกบุกรุกได้อย่างไร?

ในกรณีส่วนใหญ่พวกเราส่วนใหญ่คิดว่าเราจะสูญเสียอะไรได้บ้างในกรณีที่มือถือของเราถูกแฮ็ก คำตอบนั้นง่ายมาก - เราจะสูญเสียความเป็นส่วนตัว อุปกรณ์ของเราจะกลายเป็นระบบเฝ้าระวังสำหรับแฮ็กเกอร์ที่จะสังเกตการณ์เรา กิจกรรมอื่น ๆ ที่แสวงหาผลกำไรสำหรับแฮ็กเกอร์คือการใช้ข้อมูลที่ละเอียดอ่อนของเราชำระเงินดำเนินกิจกรรมที่ผิดกฎหมายเช่นDDoS attacks. ต่อไปนี้เป็นการแสดงแผนผัง

OWASP Mobile 10 อันดับความเสี่ยง

เมื่อพูดถึงความปลอดภัยของอุปกรณ์เคลื่อนที่เราจะพิจารณาถึงประเภทช่องโหว่บน OWASP ซึ่งเป็นองค์กรการกุศลที่ไม่แสวงหาผลกำไรในสหรัฐอเมริกาก่อตั้งขึ้นเมื่อวันที่ 21 เมษายน OWASP เป็นองค์กรระหว่างประเทศและ OWASP Foundation สนับสนุนความพยายามของ OWASP ทั่วโลก

สำหรับอุปกรณ์มือถือ OWASP มี 10 vulnerability classifications.

M1- การใช้งานแพลตฟอร์มที่ไม่เหมาะสม

หมวดหมู่นี้ครอบคลุมถึงการใช้คุณลักษณะของแพลตฟอร์มในทางที่ผิดหรือความล้มเหลวในการใช้การควบคุมความปลอดภัยของแพลตฟอร์ม อาจรวมถึงเจตนาของ Android การอนุญาตแพลตฟอร์มการใช้ TouchID ในทางที่ผิดพวงกุญแจหรือการควบคุมความปลอดภัยอื่น ๆ ที่เป็นส่วนหนึ่งของระบบปฏิบัติการมือถือ มีหลายวิธีที่แอปบนอุปกรณ์เคลื่อนที่อาจประสบกับความเสี่ยงนี้

M2- ข้อมูลที่ไม่ปลอดภัย

หมวดหมู่ใหม่นี้เป็นการผสมผสานระหว่าง M2 และ M4 จาก Mobile Top Ten 2014 ซึ่งครอบคลุมถึงการจัดเก็บข้อมูลที่ไม่ปลอดภัยและการรั่วไหลของข้อมูลโดยไม่ได้ตั้งใจ

M3- การสื่อสารที่ไม่ปลอดภัย

ซึ่งครอบคลุมถึงการจับมือที่ไม่ดีเวอร์ชัน SSL ที่ไม่ถูกต้องการเจรจาที่ไม่ดีการสื่อสารข้อความที่ชัดเจนเกี่ยวกับเนื้อหาที่ละเอียดอ่อน ฯลฯ

M4- การรับรองความถูกต้องไม่ปลอดภัย

หมวดหมู่นี้รวบรวมแนวคิดของการพิสูจน์ตัวตนผู้ใช้ปลายทางหรือการจัดการเซสชันที่ไม่ดี ซึ่งรวมถึง -

  • ไม่สามารถระบุตัวผู้ใช้ได้เลยเมื่อจำเป็น
  • ความล้มเหลวในการรักษาข้อมูลประจำตัวของผู้ใช้เมื่อจำเป็น
  • จุดอ่อนในการจัดการเซสชัน

M5-Insuficient Cryptography

รหัสนี้ใช้การเข้ารหัสกับเนื้อหาข้อมูลที่ละเอียดอ่อน อย่างไรก็ตามการเข้ารหัสไม่เพียงพอในทางใดทางหนึ่ง โปรดทราบว่าทุกสิ่งที่เกี่ยวข้องกับ TLS หรือ SSL จะอยู่ใน M3 นอกจากนี้หากแอปไม่สามารถใช้การเข้ารหัสได้เลยเมื่อควรแสดงว่าอาจเป็นของ M2 หมวดหมู่นี้มีไว้สำหรับปัญหาที่มีการพยายามเข้ารหัส แต่ดำเนินการไม่ถูกต้อง

M6- การอนุญาตที่ไม่ปลอดภัย

นี่คือหมวดหมู่สำหรับบันทึกความล้มเหลวในการอนุญาต (เช่นการตัดสินใจด้านการอนุญาตในฝั่งไคลเอ็นต์การเรียกดูแบบบังคับเป็นต้น) ซึ่งแตกต่างจากปัญหาการตรวจสอบสิทธิ์ (เช่นการลงทะเบียนอุปกรณ์การระบุตัวผู้ใช้ ฯลฯ )

หากแอปไม่ตรวจสอบสิทธิ์ผู้ใช้เลยในสถานการณ์ที่ควร (เช่นการให้สิทธิ์การเข้าถึงทรัพยากรหรือบริการบางอย่างโดยไม่ระบุชื่อเมื่อจำเป็นต้องมีการตรวจสอบสิทธิ์และการเข้าถึงที่ได้รับอนุญาต) นั่นคือความล้มเหลวในการตรวจสอบสิทธิ์ไม่ใช่ความล้มเหลวในการให้สิทธิ์

คุณภาพรหัสลูกค้า M7

นี่คือ "การตัดสินใจด้านความปลอดภัยผ่านอินพุตที่ไม่น่าเชื่อถือ" ซึ่งเป็นหนึ่งในหมวดหมู่ที่เราใช้น้อย นี่จะเป็นข้อมูลทั้งหมดสำหรับปัญหาการใช้งานระดับโค้ดในไคลเอนต์มือถือ ซึ่งแตกต่างจากข้อผิดพลาดในการเข้ารหัสฝั่งเซิร์ฟเวอร์ สิ่งนี้จะดักจับสิ่งต่างๆเช่นบัฟเฟอร์ล้นช่องโหว่ของสตริงรูปแบบและข้อผิดพลาดระดับรหัสอื่น ๆ ซึ่งวิธีแก้ปัญหาคือการเขียนโค้ดบางส่วนที่ทำงานบนอุปกรณ์มือถือใหม่

M8-Code Tampering

หมวดหมู่นี้ครอบคลุมการแก้ไขไบนารีการปรับเปลี่ยนทรัพยากรในพื้นที่การเชื่อมต่อเมธอดการสลับเมธอดและการปรับเปลี่ยนหน่วยความจำแบบไดนามิก

เมื่อแอปพลิเคชันถูกส่งไปยังอุปกรณ์มือถือรหัสและทรัพยากรข้อมูลจะอยู่ที่นั่น ผู้โจมตีสามารถแก้ไขโค้ดโดยตรงเปลี่ยนเนื้อหาของหน่วยความจำแบบไดนามิกเปลี่ยนหรือแทนที่ API ของระบบที่แอปพลิเคชันใช้หรือแก้ไขข้อมูลและทรัพยากรของแอปพลิเคชัน สิ่งนี้สามารถให้วิธีการโดยตรงแก่ผู้โจมตีในการล้มล้างการใช้ซอฟต์แวร์ที่ตั้งใจไว้เพื่อผลประโยชน์ส่วนตัวหรือเป็นตัวเงิน

M9- วิศวกรรมย้อนกลับ

หมวดหมู่นี้รวมถึงการวิเคราะห์ไบนารีหลักสุดท้ายเพื่อกำหนดซอร์สโค้ดไลบรารีอัลกอริทึมและเนื้อหาอื่น ๆ ซอฟต์แวร์เช่น IDA Pro, Hopper, otool และเครื่องมือตรวจสอบไบนารีอื่น ๆ ให้ข้อมูลเชิงลึกแก่ผู้โจมตีเกี่ยวกับการทำงานภายในของแอปพลิเคชัน สิ่งนี้อาจถูกใช้เพื่อใช้ประโยชน์จากช่องโหว่อื่น ๆ ที่เพิ่งเกิดขึ้นในแอปพลิเคชันตลอดจนการเปิดเผยข้อมูลเกี่ยวกับเซิร์ฟเวอร์ส่วนหลังค่าคงที่และการเข้ารหัสและทรัพย์สินทางปัญญา

M10 - ฟังก์ชั่นภายนอก

บ่อยครั้งที่นักพัฒนารวมฟังก์ชันการทำงานลับๆที่ซ่อนอยู่หรือการควบคุมความปลอดภัยการพัฒนาภายในอื่น ๆ ที่ไม่ได้ตั้งใจให้นำออกสู่สภาพแวดล้อมการใช้งานจริง ตัวอย่างเช่นนักพัฒนาซอฟต์แวร์อาจใส่รหัสผ่านเป็นความคิดเห็นในแอปไฮบริดโดยไม่ได้ตั้งใจ อีกตัวอย่างหนึ่ง ได้แก่ การปิดใช้งานการตรวจสอบสิทธิ์แบบ 2 ปัจจัยระหว่างการทดสอบ