五大危害企業的移動端威脅與安全防禦措施

五大危害企業的移動端威脅與安全防禦措施。 如今大多企業員工幾乎每天都需要用到移動端的某些應用來完成相關工作，但是一旦惡意攻擊者盯上了你手機上的某個應用，那麼設備遭受攻擊所帶來的影響可能就是連鎖式的。

一、五大危害企業的移動端威脅

Lookout產品總監David Richardson和他的團隊研究總結出五大移動端惡意軟體家族，冒充真正的企業應用，引誘員工下載惡意軟體。 研究顯示，這五個活躍的移動惡意軟體家族通常通過竊取合法應用的名稱和包名稱來類比一些企業應用，例如思科的商務電子郵件應用、ADP、Dropbox、FedEx Mobile、Zendesk、VMware的Horizon Client、Blackboard的Mobile Learn等等。

1. Shuanet

Shuanet能夠將其自身自動安裝在設備的系統磁碟分割上，獲得設備root許可權，達到進一步安裝其它應用的目的。 這些應用程式可能是惡意的也可能是良性的，推送至手機，提高惡意軟體的下載幾率。 Shuanet可能也會向設備推送各種小廣告。

企業將面臨的風險

被root設備的安全狀態已經發生改變。 很多人會利用root許可權對設備進行自訂設置，但是他們往往都不會去做安全性的合理配置，可能也不會進行週期性軟體更新。 另外，Shuanet這樣的惡意軟體會在系統磁碟分割中自動安裝，即使恢復出廠設置也難以去除。 最後，安裝應用的惡意軟體可能會將更多的惡意應用程式植入該設備，使設備及資料暴露在更高的風險中。

受害應用程式舉例：ADP Mobile Solutions、CamCard Free、Cisco Business Class Email(BCE)、Duo Mobile、Google Authenticator、VMWare Horizon Client、Zendesk、Okta Verify。

2. AndroRAT

AndroRAT開發初衷是完成一個大學研究專案——創建一個「遠端系統管理工具」，允許協力廠商控制某設備並從麥克風收集連絡人、通話記錄、短信、設備位置和音訊等資訊。 但是該工具目前被一些不法份子惡意利用。

企業將面臨的風險

隱藏的遠端存取軟體能夠説明攻擊者輕易地從行動裝置獲取到企業和個人的資料。 另外，對某個行動裝置的持續性遠端存取也會説明攻擊者對感染設備所連接的公司Wi-Fi和VPN展開入侵行動。

受害應用程式舉例：Dropbox、Skype、Business Calendar

3. UnsafeControl

UnsafeControl能夠收集聯繫資訊並將其下載到協力廠商伺服器，還能夠對連絡人清單發送垃圾郵件或向其命令和控制(CNC)伺服器指定的電話號碼傳送簡訊。 消息內容也由CNC控制。

企業將面臨的風險

像UnsafeControl這樣的惡意軟體能夠竊取連絡人資訊，這對很多企業來說都屬於敏感資訊。 比如，銷售總裁或副總設備上的連絡人資訊就是一個公司極大的競爭優勢與虛擬財富。

受害應用程式舉例：FedEx Mobile、Google Keep、遠端VNC Pro、Sky Drive、PocketCloud、Skype

4. PJApps

PJApps可能會收集並洩露受害者的電話號碼、行動裝置的唯一識別碼(IMEI)及位置。 為了擴大非法盈利範圍，它也可能會向一些優質的短信號碼發送釣魚資訊。 另外， PJApps也能夠進一步下載應用程式到相應設備。

企業將面臨的風險

像PJApps這樣的惡意軟體通常利用其功能來獲取收益，但同時也具有一定技術相關性，例如手機位置資訊帶來的威脅，尤其是針對高管們的行動裝置。 這些資訊可能關乎企業的商業計畫。 該惡意軟體將其它應用程式下載至設備的功能其實也為新型惡意軟體進入設備提供了通關密語。

受害應用程式舉例：CamScanner

5. Ooqqxx

Ooqqxx實際是一個廣告網路，將廣告推送至通知列，發送彈窗廣告，在主畫面上創建快捷方式，未經許可下載大型檔。

企業將面臨的風險

這些廣告會往往會打斷員工的正常工作，員工因此可能也會向IT部門提出改進意見，這些行為都在一定程度上影響了公司員工的工作效率。 Time is money!

受害應用程式舉例：Mobile從Blackboard、Evernote、PocketCloud、Remote Decktop、Adobe Reader、aCalendar

二、從開發者角度談移動端威脅的安全防禦措施

每個人的手機、iPad等智慧設備上大概都有26-55個應用程式，通常包括以下這些類型：娛樂和遊戲、銀行app、一些社交媒體app、瘦身塑形的軟體以及網購應用等。

如果只是普通的遊戲軟體遭到攻擊，你也許不會在意。 但事實上，很多應用其實都收集了很多你不想讓別人看到的個人資訊，比如你的位置、銀行卡資訊和某些照片。

從開發的角度來看，你必須通過某些協定確保應用程式的代碼不被駭客入侵。 Codal首席執行官Keval Baxi主要從開發者的角度給出了一些保護手機應用安全的乾貨建議。

1. 使用基於權杖的身份驗證方式訪問API

很多移動應用程式都沒有設計恰當的身份驗證方法，這種行為的本質其實就是資料洩露。 「權杖」是指一些本身不帶任何意義的資料，但權杖系統準確率高，它是保護移動端應用程式的關鍵方式。 基於權杖的身份驗證需要驗證每個向伺服器發送的API請求的真實性，只有通過驗證程式才會對請求作出回應。

2. 使用Android KeyChain和iCloud Keychain存儲敏感資訊

行動裝置上的keychain是一個安全的存儲容器，能夠保存所有應用程式的登錄名、使用者名和密碼等資料。 建議開發人員充分利用作業系統的這一功能進行資料存儲，而不是通過p-list檔或NSUserDefaults來存儲。 使用keychain功能也可以為使用者帶來便利，不需要每次登錄都輸入使用者名密碼。

3. 在本機資料庫中保存使用者資料時對資料進行加密

加密是將資料和明文轉換為「密碼」的過程，也就是密文。 要想讀取密文就必須經過解密或使用金鑰的過程，因此加密資料保護最有效的方法之一。

4. 登錄應用程式時選擇指紋鎖而不是使用者名和密碼

蘋果公司研究人員表示，指紋匹配的概率是1：50000，而四位數密碼的匹配概率是1：10000。 因此指紋登錄比使用傳統密碼的方式更加安全。 指紋是每個使用者獨特的生命體征，而密碼不是。 在iOS版本8之前，蘋果公司為開發人員開通了Touch ID的許可權，API能夠在SDK(軟體發展工具組)中使用。

5. 可疑活動的即時通知

當使用者在新的設備或新的未知位置登錄某應用程式時，可以通過電子郵件或推送通知向使用者發送登錄異常的消息，完成驗證過程。 很少會有應用程式達到這一要求，而Gmail是其中之一。 登錄驗證通知能夠讓使用者獲知他的帳戶是否遭到了非法入侵。

6. 始終使用HTTPs(SSL)

將SSL安裝到伺服器後，開發人員就能夠使用HTTPS協定，該協定安全性高，有助於防止入侵者干擾應用程式及其伺服器之間的資料傳輸。

7. 提防逆向工程

開發人員對應用程式進行逆向工程、把資料和原始程式碼移走也不是不可能發生的事。 為了防止這種情況的出現，你可以通過更改預處理器中重要類別和方法的名稱來迷惑駭客。 第二個辦法則是在專案完成後對符號表進行拆分。