据应用安全公司Arxan的2014移动应用安全报告,安卓和iOS应用中大部分排名前100的付费应用和排名前20的免费应用都被恶意黑客克隆/感染了。这些黑客利用受感染的应用进入企业系统危害他们最宝贵的信息。
别以为自带设备(BYOD)安全工具可以保护企业数据不受这些传说中的应用侵害。企业也不应该相信边界安全工具的防护能力。想挫败克隆手机应用需要结合多种方法和资源,而且即使这样,企业也无法保证百毒不侵。
让我们看看网络渗透和资料破解是如何夺取合法APP的清白的吧:
网络恶棍们逡巡整个互联网寻找最流行、被下载次数最多、最常用的,如愤怒的小鸟一类的手机应用。然后,这些攻击者用互联网上免费提供的多种工具对流行应用进行反编译、反汇编,再修改重构,使其把恶意软件包含在内。
然后,攻击者在网上包括第三方应用商店在内的不同地方分发修改过的应用。毫无疑心的用户下载下来后,这些应用表面上与真的应用拥有相同的功能,背地里却在后台展开了恶意行动。
攻击者使用常规恶意软件包,找寻手机中的漏洞并利用之。用户对感染情况一无所知,攻击者在取得整台设备的完全控制权后在设备上畅行无阻。手机上的所有东西,包括企业资料。
黑客采用这种方法成功入侵手机十分司空见惯。几年前,攻击者就曾在超过55个不同应用中成功植入了一款非常非常流行的恶意软件包——“卓梦”(Droid Dream,安卓老病毒)。这种方法对个人智能手机非常有效。而这些智能机往往被企业作为BYOD项目的一部分允许员工用于工作上。
怎样打击假冒应用
攻击者是否能绕过手机取得企业内部资料永久访问权部分取决于企业对手机的信任程度。企业应当在涉及手机的问题上采取零信任和最小授权策略。即使攻击者获取了设备的完全控制权,企业也应该能倚靠各节点和终端间的多层级安全措施挽回局面,阻止受感染的手机设备接触到企业内部存储有重要信息的数据仓库。
“几年前,攻击者就曾在超过55个不同应用中成功植入了一款非常非常流行的恶意软件包——“卓梦”(Droid Dream,安卓老病毒)。”--雪城大学电气工程与计算机科学系教授杜文亮
有检测工具可以对潜在恶意软件进行数学建模,将之与恶意软件常见特征进行比较。还有工具能够在发现有攻击正在进行时就根据预定义规则集自动做出事件响应处理。
而且随着软件开始承担越来越多的网络通信工作,用微分段技术在任意两个终端间加入基于策略的流量分析与过滤正逐渐成为企业应多加考虑到附加安全选项。
强化了所有系统,打上了所有漏洞的补丁,所有配置都在合理管控中。
为保证安全防护措施工作良好,企业需要使用安全测试员定期查找对组织威胁最大的新漏洞——采用当前在用的攻击手法。这将提醒企业在信息安全方面还有哪些地方需要补漏或加强。
为帮助员工确保企业安全,企业应采用更多的企业应用商店,将企业应用与通用消费应用商店隔离开来。这将使员工更容易识别合法应用,至少在企业应用合法性识别上更容易。如果企业更进一步,保护自身应用商店的安全,恶意黑客想获取、克隆、分发这些应用就更难了。应用安全的重要性值得企业至少设置一名IT专业人士(如果不想单设一个应用安全部门的话)作为企业应用的管家。
由于BYOD方式已广为企业所接受,目前很多员工都是用自己的个人手机工作,他们仍然有可能下载到克隆消费应用。因此,用户培训也就相当关键了。它将使员工认识到互联网上有很多克隆应用看起来就像原版一样,尤其是那些消费应用,教导他们怎样在下载并安全任何东西之前更彻底地识别和确认应用和应用商店的真假。如果一个应用要求比它实际所需更多的授权,企业应建议用户更仔细地审查和斟酌,因为这有可能就是该应用包含恶意软件或不安全的危险信号。要让员工知道这与他们自身利益也是切身相关的,同样的克隆应用也能渗透进他们与手机关联的各种账户中,比如金融账户。
方便快捷的必备措施——采用手机安全应用。最佳选择是要求员工使用特定的支持安全的应用或应用套装,并且企业在这些终端手机上采用网络准入控制(NAC)工具强制安装。企业最好选择既能提供安全又不会拖慢设备的工具。毕竟,没人想投钱在会拉低员工工作效率或引发员工反感的工具上。
最后,上述所有这些方法并不完全保证抵御克隆应用的侵害。无论这些解决方案有多智能多自动化,企业总是需要具有创造性思维和行动力,能够超越知识和思维定势的人才是安全机制的核心资源。
作者:nana
来源:51CTO
