GSS資安電子報0100期【手機安全面臨的十大基本挑戰】
文章來源: Checkmarx Blog, 由InfoSec Institute 研究員 Rohit T 提供翻譯整理: 叡揚資訊 資訊安全事業處
行動裝置的安全已成為保護機敏資料的重要議題,原本專注於電腦的惡意軟體攻擊已移轉到手機及應用程式上,手機製造商已經意識到這個問題的嚴重性,所以增加資安上面的投資。
手持設備攻擊主要可分為4大類:
● 作業系統攻擊(OS Attacks)
作業系統的漏洞容易產生遭受攻擊的弱點,供應商試著以修補程式解決這些問題。
● 手機應用系統攻擊(Mobile App Attacks)
設計不良的程式碼和開發不當的系統將造成漏洞,危及安全。
● 通訊網路攻擊(Communication Network Attacks)
像藍牙和無限網路的連線易產生設備遭受攻擊的弱點。
● 惡意軟體攻擊(Malware Attacks)
行動裝置上的惡意軟體不斷增加。主要都是刪除檔案和製造混亂。
下列這些類別,歸類出不同種類的攻擊,我們可以更清楚地看看手機上流傳的惡意軟體的各類問題。這不是一個窮舉的清單,但可以幫助我們了解行動設備所遭遇風險的嚴重性。
1 –實體安全 (Physical Security )
Lookout實驗室估計2011年,在美國,民眾每3.5秒就會遺失一隻手機,且撿到遺失設備的人幾乎都會嘗試去取得手機上的資訊。當然我希望做這個”取得”資訊這動作的人,是嘗試知道失主是誰,但誰知道呢? 如果沒有妥善的收藏好手機, 即使只是短暫的離開視線或遺失, 也會使重要的資料有外流的風險。
2 –多使用者登入 (Multiple User Logging)
手機使用也存在一段時間,但功能依然不如電腦般多樣化。多個使用者依然無法在同一台手持設備上,受到個人帳號的保護。簡單來說,只要取得手持設備,就可以得知行動設備擁有者的使用習慣等資訊,雖然有第三方的保護軟體,但最安全的作法還是不要將手機借出。
3 –安全資料儲存 (Secure Data Storage )
手機需要好的加密機制加強安全。畢竟誰想要將企業敏感的資料,落入他人之手? 如果沒有適當的加密,不僅個人資料任何人都可取得,其至連銀行的密碼、信用卡、商業應用程序都可以取得。加密敏感資料,確保小偷僅能取得一堆無法辨識內容的資料。
4 –手機瀏覽 (Mobile Browsing)
手機的一個最好的功能是可以隨時隨地連上網路,但也讓手機曝露於風險下。主要問題在於使用者無法完整地看到整串的URL或連結,也就無法辨識這個URL或連結是否安全,這樣使用者就很容易瀏覽到釣魚網頁。 如果想要更進一步了解行種裝置安全,請參考InfoSec Institute iPhone課程。
5 –應用程式隔離 (Application Isolation)
手機應用程式的應用類型很廣泛,從社交網路到銀行。在安裝任何手機應用程式時,請務必詳閱應用程式存取權限的要求。通常大家都會忽視安裝協議,包含關於如何讓應用程式存取設備的特定權限設定。要留意安裝的應用程式聲稱可做到什麼以及實際上能做什麼事。像是計算機應用程式不需要存取到網路或個人訊息。
6 –系統更新(System Updates)
大家習慣將資安的問題怪罪在手機製造商身上,但也不能全怪他們。更新和修補程式是設計於修補行動設備的問題,但並不像電腦更新般單純。很多時候手機製造商釋放出更新軟體,但電信公司卻因為商業或行政因素未將這些更新釋出。
7 –手持設備程式問題(Mobile Device Coding Issues)
程式設計師也是人,也會出錯,因而使產品有資安上的缺失。常出現的問題之一是無法正確的運用加密管道進行資料傳輸,或密碼保護做得不完全。開發階段的問題無論電腦或行動裝置都會產生資安上的弱點。
8 –藍牙攻擊 (Bluetooth Attacks)
藍芽使用上很簡便,但對於想竊取資料的人來說也很容易。駭客只須執行程式找尋附近的藍芽裝置就可以開始攻擊。所以只要使用完畢就要記得將藍芽功能關閉。
9 –惡意軟體攻擊持續增加 (Malware on the Rise)
就如同電腦一樣, 惡意軟體對行動裝置也會造成損害。2014年更是變本加厲,而業者與使用者也只能採取積極的態度保護自己的行動裝置。單就今年一月Android惡意軟體就已經影響六十萬台手機。
10 –新功能造成的嚴重威脅(Serious Threats in New Features)
更新、改版等更動所加入的新功能也會產生新的重大威脅。NFC就是一個很好的例子,NFC設計讓人們可以把手機當成錢包使用,但不幸的是任何人只要拿著含有NFC晶片的物件接觸手機就可以擷取資料。不難想像在市面上有那麼多種類的行動裝置及手機,資安確實是很嚴重的問題。每一台手機及行動OS都有它獨自的資安缺失,當我們越來越依賴我們的行動裝置,我們更需要小心謹慎。
更多應用系統安全部落格文章, 請參考http://www.checkmarx.com/resources/blog
