口袋裏的“妖怪”——移動威脅丨大東話安全_風聞

一、小白劇場

小白：東哥，現在的手機功能真是越來越豐富，越來越方便了呢！前段時間我剛換了一款手機，幾乎所有的事情只要用我的手機就能解決了，什麼也不用帶，真是愜意啊！

大東：哈哈，你還真是趕潮流呢，手機換的挺勤啊！正像你所説的，現在的移動設備真的是越來越方便了，什麼手機支付、手機購票、手機訂餐等等，只需要一個電話，就能解決我們的衣食住行！

移動設備下的衣食住行 （圖片來自網絡）

小白：是啊，東哥，給你看看我的新手機，好看不？要不你也換一個手機吧，我看你口袋裏的手機都使好幾年了！

大東：哈哈，是該考慮更新換代了。不過在這之前，我要考考你，你知道在這些移動設備帶給我們便利的同時，還給我們帶來哪些安全威脅嗎？

小白：這些我倒真沒怎麼考慮過，完全沉浸在手機帶給我的舒適感了，東哥快給我普及一下這方面的知識吧，要不將來某天我被自己的手機“襲擊”了都不知道怎麼回事。

大東：好，接下來我就給你掃一掃移動設備安全這方面的盲點。

小白：快點講吧，東哥。

二、移動威脅的前生今世

大東：有數據記載，2017年上半年，手機移動設備迎來使用高峯，這大大促進了相關移動設備廠商的發展，但同時，網絡犯罪分子也跟緊時代浪潮，將矛頭轉向了移動網絡！

小白：原來在2017年手機網絡就已經這麼普及了啊，那在2017年犯罪分子有採取行動嗎？

大東：犯罪分子的目標只有一個，就是獲取不法利益，他們當然會審時度勢，不會錯失大好的攻擊機會。僅在2017年第一季度，就發生了超過1600萬件的移動惡意軟件攻擊事件，並且McAfee實驗室當時就已檢測到多達150萬種新的移動惡意軟件。

小白：這麼可怕的攻擊效率嗎？東哥，快給我介紹一下移動安全方面有哪些我們需要注意的的內容吧。

大東：首先談一談我們日常生活中常見的移動安全內容吧，畢竟小白你經常會遇到。

小白：好的，東哥。是什麼內容呢？

大東：那就是小白你無時不刻不在使用的移動支付服務。

小白：移動支付怎麼了呢？不就是“掃一掃”，就花錢買到我們想要的東西了麼，比用錢包拿鈔票方便多了！

大東：嘿嘿，就是這個“掃一掃”，可有大文章。近年來移動支付遍佈大街小巷，不論是大型商場還是路邊煎餅小攤，隨處可見“掃一掃”支付。一定意義上而言，移動支付便利了我們的生活，但同時不法分子也會暗中放冷槍。

小白：（不禁打了個寒顫）什麼冷槍？這麼瘮人！

大東：首先我給你講一講二維碼這個東西，二維碼支付流程分為支付指令的生成和處理兩個階段。其中支付的風險點主要集中在指令生成階段的二維碼生成和識別環節。

小白：之後呢？這個冷槍在這個環節是怎麼“射”出的？

大東：哈哈，你先別急。二維碼的碼制有國家標準，雖然它在技術上已經有了國家標準——QR碼，但二維碼在應用上還沒有相應的規範，並且目前二維碼市場缺少安全技術手段對手機掃碼進行管控，可以説無人監管。

小白：無人監管就是一個契機吧？

大東：沒錯！QR二維碼的碼型是開放的，當前二維碼製作標準的門檻低，任何人都能輕而易舉地製作。如果有人制作了惡意二維碼，用户掃碼後接入隱藏在二維碼背後的假鏈接、假網站，攻擊者就可以通過網站非法騙取受害者的資金、盜取受害者的身份信息等。

掃碼釣魚（圖片來自網絡）

小白：看來平時掃碼的時候我也要小心了。東哥，再給我介紹一下移動安全的其他內容吧？

大東：好，咱們接着聊。説完了市井之間，咱們再説説企業中的移動安全。

小白：東哥，別賣關子了，快講吧。（期待地揣手手）

大東：企業需要注意的是一類APT持續的、企業級的間諜軟件。

小白：這是為什麼呢？這種間諜軟件是怎麼一回事？

大東：企業員工在與企業網絡訪問、語音激活和 gps 跟蹤等移動設備緊密接近的情況下，惡意攻擊者便會使用間諜軟件來感染移動設備。這一策略在 ios 和 android 設備上都得到了成功的證明。

小白：哇哦，有什麼間諜軟件的例子嗎，東哥？

大東：2017年8月的帕伽索斯間諜軟件，能夠劫持掉任何 ipad 或 iphone ，之後進行數據收集和監視。並且研究人員還發現了三個 ios 0day 漏洞，一旦被攻擊者利用，就會形成攻擊鏈，甚至破壞蘋果強大的安全環境。

小白：這麼恐怖，連蘋果的IOS安全環境都攻破了嗎？

大東：好在蘋果在其9.3.5 補丁中迅速修復了這三個ios 漏洞，沒有造成嚴重後果。

小白：有沒有襲擊android系統的間諜軟件呢？

大東：2017年4月，飛馬間諜軟件版本的 android 偽裝成一個正常的應用程序身份供用户下載，一旦被下載攻擊者便會秘密獲取設備root權限，來監視用户。

小白：看來大公司還要在移動設備的安全方面多多注意啊。

大東：沒錯，如果不法分子想攻擊一家公司，那麼一個可能的途徑就是攻擊一個特定組織的移動設備。目前仍然有很多組織允許他們的移動設備在公司網絡上存在, 甚至包括一些更高價值的設備。所以移動設備安全是重中之重！

三、移動威脅的防範措施

小白：東哥，講了這麼多移動安全的內容，我們平時要怎麼防範這種移動威脅呢？

大東：首先，最基礎的也是最重的就是移動安全知識的普及，因為大多數移動威脅的矛頭都指向了兢兢業業的“勞動人民”。

小白：沒錯，現在雖然或聯網、移動設備普及，但安全知識的普及卻遠遠不夠，才導致的移動威脅萌芽。東哥，我們需要普及哪些知識呢？

大東：針對“掃碼”隱患問題，要使羣眾認識到二維碼的安全隱患。對消費者而言，應該在安全意識和技術保障兩方面紮緊籬笆。對監管層而言，應儘快制定有關二維碼的監管法規，同時，加強查處打擊力度，保護消費者的權益，在遇到二維碼詐騙案件時，應及時關閉相關運營商。

小白：嗯嗯！那東哥，還有沒有其他針對企業的防範措施呢？

大東：在企業中，首先要提高企業對移動安全的重視，以及加強所使用的現代移動端操作系統內置的保護機制。尤其是新興的物聯網，無防護措施的物聯網設備導致的數據泄露問題將會是災難性的。

小白：針對移動網絡，我們有沒有什麼整體的保護機制呢？

大東：要保護整個移動網絡是非常困難的，因為它太分散了！如果你的應用程序下載了一個簡單的更新，這是一回事，但如果它下載了一個更新，然後啓動一個惡意的活動，這就是完全不同的故事了。

小白：確實，那在企業中應該怎樣從威脅源頭降低攻擊發生的可能性呢？

大東：對於公司而言，為了更好的降低風險，用户行為意識和員工培訓都應該隨着威脅不斷加強，防止員工被釣魚導致公司受損失；同時對於一些敏感數據，採取數據丟失防護（DLP）工具是最有效的保護方式。

數據泄露（圖片來自網絡）

四、移動威脅攻擊事件

小白：東哥，有什麼比較著名的移動威脅攻擊的案例，給我介紹介紹唄？

大東：2016年11月，某互聯網安全公司發佈報告稱，一款名為 “Gooligan” 的特洛伊木馬程序將自己偽裝成合法應用入侵Android智能手機和平板電腦，自8月以來已控制了 100 多萬個谷歌賬號。

小白：數據好驚人啊，那他是怎麼出現的呢？

大東：這個惡意軟件曾被幾個安全廠商報告，並歸因於不同的惡意軟件家族，如Ghostpush、MonkeyTest和Xinyinhe。直到2016年的夏天，惡意軟件再次出現一個更復雜的架構，注入了惡意代碼到Android系統進程。

小白: 原來是蓄謀已久啊，那它又是怎樣工作的呢？

大東：當用户在易受攻擊的Android設備上下載並安裝Gooligan感染的應用程序時，感染開始。用户也可以直接通過在網絡釣魚攻擊消息中點擊惡意鏈接進行下載。 

小白：安裝感染程序之後呢？

大東：安裝受感染的應用程序後，它會將有關設備的數據發送到廣告系列的命令和控制（C＆C）服務器。Gooligan然後從C＆C服務器下載一個rootkit，利用多個Android 4和5漏洞，包括著名的VROOT（CVE-2013-6282）和Towelroot（CVE-2014-3153）。 

小白：這些漏洞沒有修復嗎？

大東：這些漏洞仍然困擾着今天的許多設備，因為修復它們的安全補丁可能不適用於某些版本的Android，或者補丁從來沒有由用户安裝。

小白：還是挺麻煩的一件事呢！如果它下載成功呢？

大東：如果成功，攻擊者可以完全控制設備，並可以遠程執行特權命令。在獲得root訪問權限後，Gooligan還會從C＆C服務器下載一個新的惡意模塊，並將其安裝在受感染的設備上。 

小白：該模塊有什麼作用呢？

大東：該模塊將代碼注入，運行谷歌Play或GMS（谷歌移動服務）來模擬用户行為，以便Gooligan可以躲避檢測。

小白：它做了這麼多，最後的目的是什麼呢？

大東：它們主要竊取用户的Google電子郵件帳户和身份驗證令牌信息，安裝廣告軟件以產生收入等。同時當授權令牌被黑客竊取後，他們可以使用此令牌訪問與該用户相關的所有Google服務，包括Google Play，Gmail，Google文檔，Google雲端硬盤和Google相冊。

Gooligan攻擊過程（圖片來自網絡）

小白：真是棘手啊，東哥，那這個事件最後是怎樣解決的呢？

大東：事件發生一段時間後，谷歌在Google+上發帖，呼籲用户只通過Play下載應用。另外，對於越來越多的安卓安全風險，谷歌負責安卓安全事務的高管AdrianLudwig日前發表文章表示，他們已採取了許多措施來保障安卓生態系統的安全性。

小白：大概都有哪些措施呢？

大東：這當中包括取消受惡意軟件感染用户的令牌信息，重新讓他們安全登錄谷歌賬號；在用户的設備上刪除惡意軟件；另外推出“Verify Apps”等功能。谷歌也在和寬帶接入公司進行合作，共同消滅惡意軟件。

小白：那我們國內的應用要不要特別注意一下呢？

大東：國內的應用不需要太過擔心。國內大部分的應用平台都有自己的檢測體系，能夠有效的防止惡意應用被安裝用户手機中。如果還是不放心自己的手機安全，可以對手機權限進行管理，同時取消已經授權的ROOT權限應用。

五、移動威脅防禦技術的未來

小白：移動威脅問題無論怎麼肆虐，我們總能找到最新手段來應對，邪不勝正。東哥，能給我介紹一下防禦技術的最新研究嗎？

大東：目前，市面上有許多移動威脅防禦系統，我就給你舉個例子聊聊我國強大的移動威脅防禦技術吧。

小白：好的，東哥，快講吧。

大東：某互聯網公司曾推出一款移動威脅防禦系統，是解決移動終端安全問題的重要工具，是集風險檢測、數據收集、風險分析、安全分析等功能為一體的移動威脅防禦系統。

小白：感覺好強大的樣子，他的核心功能是什麼呢？

大東：首先，它提供終端威脅感知，並有極強的檢測能力，主要包括應用安全檢測、網絡安全檢測、系統安全檢測、系統漏洞檢測四個方面。其次是策略中心對終端安全健康分數評級，讓用户對終端安全狀態有直觀感受。

小白：一些企業常常需要做報表展示數據，該系統有報表功能嗎？

大東：當然，數據報表中心可對終端所有安全檢測記錄掃描，並上報，同時展示每次掃描的風險項。風險項數據包括：掃描的時間、掃描的風險、風險內容，風險在終端的路徑、風險威脅等。

小白：對於移動威脅的相關數據，他是怎樣處理的呢？

大東：它通過對所有終端安全掃描的數據收集，動態展示終端掃描的所有的風險應用，顯示應用名、風險類型、風險最早發現時間、包名、文件類型、感染終端。

小白：哇，這個系統功能真的是很全面呢，是防禦移動威脅的一把利器。

大東：沒錯，對於我們而言，有一把防禦的利器還是遠遠不夠的，我們還要提升自身的安全意識，掌握實時的互聯網安全防禦知識和技術，才能在使用類似的移動威脅防禦系統時，發揮出其真正的實力，才能更好地保護自身的財產安全和國家的網空安全！

參考文獻：

1. 2019年 這6大移動安全威脅需要認真對待 

https://baijiahao.baidu.com/s?id=1618891929641178337&wfr=spider&for=pc

2. 別把移動安全不當回事兒！來看移動安全5個主要威脅~

https://baijiahao.baidu.com/s?id=1591796184603903706&wfr=spider&for=pc

3. “Gooligan”病毒入侵 130 萬谷歌賬户

https://www.kejianet.cn/gooligan/

4. 超過100萬谷歌帳户被Gooligan黑了

https://www.jdon.com/48566

來源：中國科學院計算技術研究所