首席执行官杰夫·施密特JAS 全球顾问今年早些时候,施密特正在用他的新 Android 智能手机(他的第一部 Android 手机)上网,屏幕上突然弹出了一个广告。这个“广告”看起来像是他的手机铃声响起时出现的提示。他点击了广告上的按钮接听了假定的电话,然后广告开始将一个二进制文件(恶意软件)下载到他的 Android 手机上。施密特受到了驱动下载的攻击,这种程序会在终端用户的电脑上自动安装恶意软件,而且这种现象越来越普遍,智能手机上也是如此,而他们对此毫不知情。
“我是个相当偏执和老练的用户,”施密特说,他的公司提供信息安全和风险管理服务。“我没想到我会受到这种攻击,但由于我不熟悉用户界面,我点击了广告。这真的让我很惊讶。”
幸运的是,施密特意识到发生了什么事后,立即停止了下载,并在手机出现问题之前将其截获。他不确定恶意软件会在他的手机上安装什么,但他怀疑它可能是某种间谍软件,例如按键记录器,或其他一些会将他的电脑变成垃圾邮件机器人或以其他方式危害他的安全和隐私的应用程序。
施密特在应对移动恶意软件(特别是移动驱动下载)方面的经验表明,用户在检测和防止移动恶意软件感染智能手机方面面临诸多挑战。它还表明,针对移动设备的安全威胁十分复杂,而且不断变化。
移动恶意软件现象:为何难以检测
移动恶意软件正以惊人的速度激增。针对移动设备的安全威胁增长超过600%2010 年至 2011 年间,根据卡巴斯基实验室仅在 2011 年 12 月,卡巴斯基发现的新型移动恶意软件应用程序数量就比 2004 年至 2010 年间发现的数量还要多。
“移动设备之所以可怕,是因为人们通常不知道他们下载的软件有什么用处,无论是从应用商店下载的还是手机自带的,”施密特说。“移动设备上的应用一点也不透明。很多安装在设备上的软件用户并不理解。”
智能手机已成为犯罪分子传播恶意软件的有效途径,因为在智能手机上识别恶意软件比在 PC 上更困难。“这些设备的屏幕空间非常有限,”他说。“我们在 PC 上习惯的视觉提示(当我们下载病毒时)在移动环境中是无法获得的。即使是经验丰富的用户,也不完全清楚幕后发生了什么。”
更快的连接速度和更强大的设备进一步增加了安全性的难度。施密特表示,这两个因素使得恶意软件更容易在用户不知情的情况下更快地下载。“这使得受感染的设备对坏人来说更有价值,”他补充道。
这也使得智能手机更容易受到驱动下载的攻击。
驱动下载如何在你的智能手机上工作
信息安全咨询公司创始人凯文·约翰逊表示,攻击者正在将流行且有效的驱动下载方法应用于移动设备。安全理念也是《安全 542:Web 应用程序渗透测试和道德黑客》一书的作者。
路过式下载利用的是网络浏览器、插件或其他浏览器组件的漏洞。路过式下载利用浏览器漏洞将应用程序转储到用户计算机上,例如假冒的防病毒软件——伪装成防病毒软件的恶意软件。
约翰逊同时也是SANS 技术研究所“使用 iPhone,我无法浏览网站并让其在我的 iPhone 上安装应用程序。iPhone 无法做到这一点,这很好,”他说。“问题是驱动下载模型已经发生了变化,以考虑到这一点。”
因此,受感染的网站不会将应用程序转储到你的智能手机的操作系统上,而是利用 Safari 浏览器等中的漏洞,在手机操作系统内运行命令或程序包来改变其工作方式,约翰逊说。
“这不是安装软件,而是对手机进行恶意操作,”他补充道。“这算是越狱或获取设备权限。”
如何保护你的智能手机
IT 部门可以锁定公司智能手机,这样员工就无法在手机上安装任何东西或浏览随机网站。保护员工智能手机的安全显然要困难得多。约翰逊说,公司需要强调意识,让员工了解安全风险。他还建议使用移动设备管理系统来限制某些用户活动。
Good Technology 就推出了一款用于“自带设备”环境的移动设备管理解决方案。Johnson 表示,Good Technology 提供了一款智能手机用户可以在其设备上安装的应用程序。该软件充当手机上工作相关活动的容器。Johnson 表示,它基本上将公司工作与手机的其他部分分开。
例如,当员工准备进入公司网络查看电子邮件或产品库存时,他只需启动 Good 应用程序,系统会提示他进行身份验证。“该应用程序内部发生的一切都与手机的其他部分隔离开来,”约翰逊说。“当应用程序运行时,所有内容都保存在内存中。当您关闭应用程序时,它会将其他所有内容保存到加密文件中。攻击者无法访问它。因此,如果驱动下载攻击手机,它无法访问任何公司资料。它不能保护设备;它保护公司免受受感染设备的侵害。”
约翰逊表示,Good Technology 应用程序的缺点是用户界面与手机的其他部分不同。“如果你习惯了 Android 的邮件方式,Good 邮件客户端的工作方式就不同了。它没有相同的功能集。很多用户对此抱怨,”他补充道。“但如果这是用户投诉与驱动下载安全性之间的区别,那么 Good 胜出。”
Meridith Levinson 为 CIO.com 撰写职业、安全和云计算方面的报道。在 Twitter 上关注 Meridith @meridith。在 Twitter @CIOonline 和 Facebook 上关注 CIO.com 的所有内容。向 Meridith 发送电子邮件,邮箱地址为 [email protected]。
