📅  最后修改于: 2020-12-06 11:39:45             🧑  作者: Mango
根据定义,攻击向量是黑客用来获取对另一个计算设备或网络的访问权的一种方法或技术,以便注入通常称为有效负载的“错误代码”。此向量可帮助黑客利用系统漏洞。许多攻击媒介都利用了人为因素,因为它是该系统的最弱点。以下是攻击向量过程的示意图,黑客可能同时使用许多攻击向量。
一些移动攻击媒介是-
恶意软件
病毒和Rootkit
应用修改
操作系统修改
数据渗漏
数据离开组织
列印画面
复制到USB并丢失备份
数据篡改
由其他应用程序修改
未检测到篡改尝试
越狱设备
资料遗失
设备丢失
未经授权的设备访问
应用程序漏洞
攻击媒介是如上所述的黑客入侵过程,并且成功,其次是对您的移动设备的影响。
丢失数据-如果您的移动设备被黑客入侵或引入了病毒,则所有存储的数据都将丢失并由攻击者获取。
滥用您的移动资源-这意味着您的网络或移动设备可能会过载,因此您将无法访问正版服务。在更坏的情况下,被黑客用来附加另一台计算机或网络。
声誉损失-如果您的Facebook帐户或企业电子邮件帐户被黑客入侵,则黑客可以向您的朋友,业务伙伴和其他联系人发送虚假消息。这可能会损害您的声誉。
身份盗用-可能发生身份盗用的情况,例如照片,姓名,地址,信用卡等,并且可以用于犯罪。
以下是移动攻击的解剖示意图。它从包括攻击媒介在内的感染阶段开始。
对于Android和iOS设备,使用移动间谍软件感染设备的方式有所不同。
Android-用户通常被诱骗通过使用社交工程攻击从市场或第三方应用程序下载应用程序。远程感染也可以通过中间人(MitM)攻击来执行,其中主动对手会拦截用户的移动通信以注入恶意软件。
iOS -iOS感染需要物理访问移动设备。也可以通过利用零时漏洞来感染设备,例如JailbreakME漏洞。
要安装后门程序,需要通过植根Android设备并越狱Apple设备来获得管理员特权。尽管设备制造商设置了生根/越狱检测机制,但移动间谍软件仍可以轻松绕过它们-
Android的-生根检测机制并不适用于故意生根。
iOS –越狱的“社区”充满争议和积极性。
间谍软件以纯文本形式向攻击者服务器发送移动内容,例如加密的电子邮件和消息。间谍软件不会直接攻击安全容器。它在用户从安全容器中提取数据以便读取数据的那一刻抓取数据。在那个阶段,当内容解密以供用户使用时,间谍软件将控制该内容并将其发送。
在大多数情况下,我们大多数人都认为如果手机被黑客入侵,我们可能会损失什么。答案很简单-我们将失去我们的隐私。我们的设备将成为黑客观察我们的监视系统。黑客的其他牟利活动是获取我们的敏感数据,付款,进行DDoS攻击之类的非法活动。以下是示意图。
在谈论移动安全性时,我们将漏洞类型基于OWASP,OWASP是4月21日在美国成立的非营利慈善组织。OWASP是国际组织,OWASP基金会支持OWASP在世界范围内的工作。
对于移动设备,OWASP具有10个漏洞分类。
此类涵盖了平台功能的滥用或平台安全控件的使用失败。它可能包括Android意图,平台许可,对TouchID,钥匙串的误用或作为移动操作系统一部分的其他安全控件。移动应用程序可以通过几种方式来承受这种风险。
这个新类别是2014年《移动十佳》中M2和M4的结合。这涵盖了不安全的数据存储和意外的数据泄漏。
这涵盖了较差的握手,错误的SSL版本,较弱的协商,敏感资产的明文通信等。
此类别捕获了验证最终用户或不良会话管理的概念。这包括-
该代码将加密技术应用于敏感信息资产。但是,加密在某种程度上是不足的。请注意,与TLS或SSL相关的所有内容都在M3中。此外,如果该应用程序在应有的时间根本不使用加密技术,则可能属于M2。此类别用于尝试加密但未正确完成的问题。
此类别用于捕获授权中的任何失败(例如,客户端中的授权决定,强制浏览等)。它与身份验证问题(例如,设备注册,用户标识等)不同。
如果该应用在应有的情况下根本不对用户进行身份验证(例如,在需要经过身份验证和授权访问时授予匿名访问某些资源或服务的权限),那么这就是身份验证失败,而不是授权失败。
这就是“通过不可信输入进行的安全决策”,这是我们使用较少的类别之一。这将是移动客户端中代码级实现问题的全部内容。这与服务器端编码错误不同。这将捕获诸如缓冲区溢出,格式字符串漏洞以及各种其他代码级错误之类的问题,其中解决方案是重写一些在移动设备上运行的代码。
此类别涵盖二进制修补程序,本地资源修改,方法挂钩,方法混乱和动态内存修改。
一旦将应用程序交付给移动设备,代码和数据资源便会驻留在该设备中。攻击者可以直接修改代码,动态更改内存的内容,更改或替换应用程序使用的系统API或修改应用程序的数据和资源。这可以为攻击者提供直接的方法,以破坏软件的预期用途以获取个人或金钱利益。
此类别包括对最终核心二进制文件的分析,以确定其源代码,库,算法和其他资产。诸如IDA Pro,Hopper,otool和其他二进制检查工具之类的软件使攻击者能够深入了解应用程序的内部工作原理。这可用于利用应用程序中的其他新生漏洞,以及揭示有关后端服务器,密码常数和密码以及知识产权的信息。
开发人员通常会包含隐藏的后门功能或其他内部开发安全控件,这些控件不打算发布到生产环境中。例如,开发人员可能会在混合应用程序中无意中包含密码作为注释。另一个示例包括在测试期间禁用2因子身份验证。