邁克菲報告顯示移動應(yīng)用程序漏洞百出
發(fā)布時間:2015-03-17【賽迪網(wǎng)-IT技術(shù)訊】Intel Security今日發(fā)布了《邁克菲實驗室威脅報告:2015 年 2 月刊》,,報告對移動威脅態(tài)勢進(jìn)行了評估,,以及移動應(yīng)用程序開發(fā)商未對重大安全套接層 (SSL) 漏洞打補(bǔ)丁,從而給數(shù)以百萬計的手機(jī)用戶造成了潛在威脅,。邁克菲實驗室還詳解了日漸“走紅”的 Angler 漏洞攻擊套件,,并對愈發(fā)猖獗的潛在有害程序(PUP)發(fā)出警告,該套件能改變系統(tǒng)設(shè)置,,并在用戶毫不知情的情況下采集個人信息,。
根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的《中國互聯(lián)網(wǎng)發(fā)展?fàn)顩r統(tǒng)計報告》,截至2014年12月,,中國手機(jī)網(wǎng)民規(guī)模達(dá)5.57億,,較2013年底增加5672萬人。網(wǎng)民中使用手機(jī)上網(wǎng)人群占比由2013年的81.0%提升至85.8%,,手機(jī)應(yīng)用的使用率也大幅提高,,其中手機(jī)網(wǎng)上支付規(guī)模達(dá)到2.17億,全年增長率為73.2%,,網(wǎng)民手機(jī)支付的使用比例由25.1%提升至39.0%,。
甫剛結(jié)束的農(nóng)歷春節(jié)更是中國用戶手機(jī)使用率的高峰,朋友聚會,、年夜飯刷手機(jī),、搖一搖、使用移動應(yīng)用程序成為標(biāo)準(zhǔn)動作,。為了趕搭春節(jié)搶紅包,、發(fā)紅包的熱潮,許多手機(jī)用戶也隨即綁定了銀行賬戶信息,,移動支付終端用戶迅速增加,。殊不知伴隨紅包滿天飛,紅包騙局和用戶隱私數(shù)據(jù)泄漏等安全隱患也浮上臺面,,再次引發(fā)社會對手機(jī)移動端安全問題的關(guān)注,。
邁克菲實驗室研究表明,移動應(yīng)用程序開發(fā)商在應(yīng)對最基本的SSL漏洞方面行動遲緩:缺乏適當(dāng)?shù)臄?shù)字證書鏈驗證,。2014 年 9 月,,卡內(nèi)基梅隆大學(xué) (Carnegie Mellon University) 計算機(jī)緊急響應(yīng)小組 (CERT) 公布了存在此類缺陷的移動應(yīng)用程序名單,,其中包括下載量超過百萬的應(yīng)用程序。
一月份,,邁克菲實驗室對CERT名單中25款最熱門的應(yīng)用程序進(jìn)行測試,,發(fā)現(xiàn)這些應(yīng)用程序都通過不安全的連接來發(fā)送登錄憑據(jù),其中18款在有公開披露,、廠商通知的情況下仍未安裝補(bǔ)丁,,在某些情況下,多個版本的更新解決的并不是安全問題,。邁克菲實驗室研究人員模擬了中間人(MITM)攻擊,,成功截獲了在一般認(rèn)為安全的SSL會話中共享的信息。這些易于被攻擊的數(shù)據(jù)包括用戶名和密碼,,在一些案例中,,還包含社交網(wǎng)絡(luò)以及其他第三方服務(wù)的登錄憑據(jù)。
盡管沒有證據(jù)表明這些移動應(yīng)用程序已經(jīng)被漏洞攻擊所利用,,但考慮到這些應(yīng)用程序不斷累積的巨大下載量,邁克菲實驗室研究成果表明,,移動應(yīng)用程序開發(fā)商選擇不對SSL漏洞打補(bǔ)丁的做法,,已使數(shù)以百萬計的用戶暴露在 MITM 攻擊目標(biāo)的潛在風(fēng)險中。
邁克菲實驗室(Intel Security 集團(tuán)成員)高級副總裁 Vincent Weafer 指出:“無論對于個人用戶還是企業(yè)用戶,,移動設(shè)備已成為不可或缺的工具,,我們的生活已經(jīng)離不開這些設(shè)備,以及基于這些設(shè)備所運(yùn)行的應(yīng)用程序,。對我們而言,,數(shù)字可信度是真正發(fā)揮這些設(shè)備所提供的功能,并因此而受益的先決條件,。移動應(yīng)用程序開發(fā)商必須承擔(dān)更大的責(zé)任,,確保其應(yīng)用程序嚴(yán)格遵循安全編程準(zhǔn)則以及過去十年所開發(fā)的漏洞響應(yīng)規(guī)范,只有這樣才能為我們提供所需的保護(hù),,讓我們的數(shù)字生活安全無憂,。”
邁克菲實驗室密切跟蹤的第四季度另一大發(fā)展態(tài)勢是Angler漏洞攻擊套件的崛起―─它是網(wǎng)絡(luò)犯罪即服務(wù)(cybercrime-as-a-service)經(jīng)濟(jì)領(lǐng)域的最新成果之一,,這一現(xiàn)成可用的工具提供了更加惡意的功能,。研究人員發(fā)現(xiàn),2014 年下半年,,網(wǎng)絡(luò)犯罪分子呈現(xiàn)向Angler遷移的態(tài)勢,,在眾多漏洞攻擊套件中受歡迎的程度超過了Blacole。Angler 采用了一系列逃逸技術(shù),,能夠規(guī)避虛擬機(jī),、沙盒和安全軟件的檢測,,并且會頻繁變換模式和有效負(fù)載來隱匿蹤跡以逃過一些安全防護(hù)產(chǎn)品的法眼。
這一犯罪軟件包包含易于使用的攻擊特性以及一些新的功能,,例如,,無文件感染(file-less infection)、虛擬機(jī)和安全產(chǎn)品逃避,,能夠提供廣泛的有效負(fù)載(包括針對銀行業(yè)務(wù)的木馬,、根工具包、勒索軟件,、CryptoLocker 和后門木馬等),。
本報告還揭示了 2014 年最后一個季度其他的一些威脅發(fā)展態(tài)勢,具體如下:
?移動惡意軟件,。根據(jù)邁克菲實驗室的報告,,2014 年第四季度移動惡意軟件樣本數(shù)量增長 14%,亞洲和非洲感染率創(chuàng)出新高,。在邁克菲所監(jiān)控的移動系統(tǒng)中至少有8%在2014 年第四季度被報告遭受過感染,,大部分是由 AirPush 廣告網(wǎng)絡(luò)所致。
?潛在有害程序,。在第四季度,,邁克菲實驗室每天在 9100 萬個系統(tǒng)中檢測到PUP。邁克菲實驗室分析稱,,PUP日漸猖獗,,它們會偽裝成合法應(yīng)用程序來執(zhí)行未經(jīng)授權(quán)的操作,例如,,顯示無意圖廣告,、修改瀏覽器設(shè)置或者采集用戶和系統(tǒng)數(shù)據(jù)。
?勒索軟件,。第三季度起,,新的勒索軟件樣本數(shù)量在經(jīng)歷四個季度下降后開始重拾升勢。第四季度,,新樣本數(shù)量增長155%,。
?簽名惡意軟件。新惡意簽名二進(jìn)制文件在出現(xiàn)短暫下降后,,在第四季度重新恢復(fù)增長,,簽名二進(jìn)制文件增長 17%。
?惡意軟件,。邁克菲實驗室現(xiàn)在每分鐘檢測到 387 個,,或者說每秒有超過 6 個惡意軟件新樣本。
