《个人手机电脑安全危机及防范》由会员分享,可在线阅读,更多相关《个人手机电脑安全危机及防范(22页珍藏版)》请在金锄头文库上搜索。
1、针对个人手机、电脑安全攻击、防范等手段报告个人手机1.针对个人手机攻击方式:(安卓、ios)随着智能手机的不断普及,安卓系统是现在用户使用量最多的系统。通过 f-secure提供的最 新数据显示,安卓系统目前仍然是恶意软件黑客攻击的主要对象。针对安卓手机的攻击主要分为漏洞式攻击,社工式攻击。安卓漏洞攻击方式主要分为: 引诱下载或传输木马性文件漏洞式攻击中引诱用户下载或传输木马性文件是攻击方式中危害性最大的一种攻击方式,在2015年10月被爆出的android移动操作系统的两大严重漏洞将令超过10亿台Android设备面临被黑的风险。且无论其所搭载的是1.0版本Android系统还是最新的5.0
2、版本。此漏洞主要的攻击方式为黑客可利用这些漏洞欺骗用户访问含有恶意MP3或MP4文件的网站,一旦用户预览被感染的多媒体文件(通常以音乐或视频方式出现 ),则其Android设备就会迅速被黑。这种被黑风险所涉及的问题是Android处理多媒体文件元数据的方式,该系统通过名为“Stagefright的媒体播放引擎来对这种数据进行处理。这并非安全研究人士首次发现这一部分的Android代码存在重大被黑风险。今年早些时候,发现了上述漏洞的移动安全 公司Zimperium zLabs披露了一系列的7个Stragefright漏洞,这些漏洞可能令黑客仅通过一 条被感染的多媒体文本信息就黑掉最多9.5亿台A
3、ndroid设备。跟这7个漏洞一样,最新的这两个漏洞(研究人员将其称为“Stagefright 2.0也可令黑客控制被黑的设备,取得对其数据、照片、摄像头和麦克风的准入权。整体而言,这两个漏洞所带来的新问题更加广泛,原因是影响的设备更多。第一个新漏洞被称为“CVE015-6602”,这个漏洞影响到了从 2008年第一代Android操作系统推出以来所发布的几乎所有Android设备。第二个新漏洞则被称为“CVE015-3876”,影响至ij了搭载5.0版本Android及以上版本系统的设备, 并使得上述问题 更 易触发。平台漏洞平台漏洞中应用最多的可数Android平台的SQL注入漏洞,14年
4、11月在百度xteam博客中看到其公开了此前报告给Google的CVE-2014-8507漏洞细节一一系统代码在处理经由短信承载的WAP推送内容时产生的经典 了方便开发者可以很轻便的扩展功能, 过 sqlite_load_extension API (或者 源码的情况下,通过动态加载的库(SQL注入漏洞,影响 Android 5.0以下的系统。开发者为SQLite从3.3.6版本开始提供了支持扩展的能力,通 load_extensionSQL语句),开发者可以在不改动SQLiteso/dll/dylib )来扩展SQLite的能力。此便利功能被黑客利用来实施攻击。借助SQLite动态加载的这个
5、特性,我们仅需要在可以预测的存储路径中预先放置一个覆盖 SQLite扩展规范的动态库(Android平台的so库),然后通过SQL注入漏 洞调用load_extension ,就可以很轻松的激活这个库中的代码,直接形成了远程代码执行漏 洞。通过此漏洞具体应用到个人手机的危害就是通过手机发送带有恶意病毒的彩信或短信将触发漏洞,打开短信将完全控制手机的所有权限,包括个人手机中的照片、短信、电话等所有的个人隐私。Android远程定位追踪(正常软件权限匹配不严谨)使用安卓系统的用户有没有想过自己的手机在时时刻刻暴露自己的当前位置,而实现此功能也相对简单,大部分的安卓手机在网页浏览中喜欢下载UC浏览器
6、,而uc浏览器会使用基站定位当前位置,并在uc乐园()显示。使用burp (黑客专用抓包工具通过此软件进 行拦截数据包并进行数据分析)抓取 uc乐园主页数据分析 (http:/yaseng.me/use-burpsuite-audit-android-app- data.html) 页面,止匕页面需要 cookie 登陆验 证想要获取 http: 页面的内容即获取用户位置,由于浏览器的同源策略与登陆验证等然后通过XSSiS行数据的调回。便可随时进行远程定位追踪。在安卓应用中,大量的软件在开发过程中并没有对调用的相应权限进行充分验证,在用户安装软件过程中提出的文件使用说明等信息并不在意,导致软件
7、随意进行权限的调取,导致一些恶意软件可通过这些权限疏忽造成隐私的大量泄露。(4)远程控制木马在今年10月份首届GeekPwn大赛上,来自KeenTeam的高手现场演示了 Android手机在关 机状态下被黑客通过听筒进行窃听的全过程。近日,百度安全实验室发现一款关机窃听”病毒。该病毒通过 Hook系统shutdown方法实现关机拦截,当用户关机时弹出自定义黑色界 面,使手机处于 假关机”状态;后台窃取用户短信、联系 人、通话记录、位置信息、通话 录音,上传到服务器。AndroidClientService发送定时器,注册广播接收器,触发恶意方法,窃取短信、联系人、通话记录、位置信息、通话录音等
8、信息,并将隐私信息上传到远程服务 器。远程控制木马也是黑客针对手机漏洞研究的最终目的,就是为了获取个人手机的所有权限,并实时进行监控。远程控制木马可通过以上介绍的多个方式同时进行触发。社工式攻击社工攻击主要的攻击方式分为两种, 一种是通过曾用密码等信息进行社工,可通过社工裤获取相应数据,然后对手机中的需要密码等应用进行暴力破解。从而获取手机隐私。 比如手机端的邮件管理器,微信, QQ等社交软件。再一种就是浏览钓鱼页面,或发送钓鱼短信,目前最多攻击方法就是伪基站的发送。个人用户访问了以假乱真的钓鱼页面并输入了真实信息,攻击者可通过获取的相关重要信息进行攻击。如银行卡密码,身份证信息等。防范方式:
9、(1):使用官方市场谈到安全问题,最简单的法则就是使用Android官方的应用商店 一一Google Play Store。这里是最接近“喻氓软件的地方,要注意这里我用的词语是接近”,因为每天有成千上万个应用被上传到应用市场,而审核机制并不能确保完全过滤掉流氓软件。Virus Shiled就是Google曾经漏掉的一款付费 杀毒”软件,虽然它不是流氓软件,但它也没 有任何杀毒功能,仅仅是一个空壳,但仍然获得了很高的下载量并一度排在排行榜第三名。但事发后不久 Google便将其下架,能看出官方虽然审核有疏忽,但处理速度还是非常及时 的,值得信任。需要注意的是,Google Play Store在
10、国内由于政策问题无法正常访问,如需使用它作为 日常的应用商店,需要通过VPN (代理服务器)才能进行应用浏览和下载。(1):使用可信任的第三方应用商店在Android设备中,应用程序并不被限制在唯一一个应用商店中发行,一些类似亚马逊 Appstore的第三方应用商店也有权限发行应用软件,并且安全性不亚于Google Play Store。需要注意的是,国内第三方应用商店种类繁多,某些商店中可能会包含一些来源不明的应用,我们要避免使用这些商店中的应用软件,因为你无法判断这些应用的来源是否合法或是否被二次编译过。但譬如豌豆荚,应用汇这些国内大型的第三方应用商店中的应用质量还都是有 保证的。(2):
11、避免使用盗版软件盗版软件在收入不高的地区使用频繁,我在这里告诉大家尽量不要使用盗版软件的原因不是因为它们侵权,而是因为这些盗版软件往往经过二次编译,其中不乏被加入了恶意代码的可能。虽然从外表上它们看起来和正版软件类似或者完全一样,但是它们可能会在后台偷偷监视你的账户变动,键盘输入甚至通话和信息的内容。(3):避免使用未知来源的应用程序Android的 设置-安全”中,有一个选项叫做朱知来源一一允许安装来自Play商店之外的其它来源的应用这个选项默认是关闭的,我不建议开启。不知道大家有没有遇到过类似情 况,打开某些网站后,会弹出后台下载窗口自动下载应用程序,下载完毕后还会弹出安装窗口。这样的应用
12、安装包不一定通过正规应用商店的审核,安装后轻则可能会泄露个人信息, 重则被盗取银行账户资料,或导致数据丢失和损坏。而 朱知来源”这个设置如果被关闭,那 么这样的应用就无法被安装到手机当中,也就阻挡了不明应用所带来的伤害。(4):始终保持手机系统为最新版本Android系统的迭代更新会修复很多安全漏洞并提升安全特性,你使用的系统版本越新,那 么你感染流氓软件的几率就越小。打个比方,在 Android 4.2果冻豆系统中,Google添加了 对应用内付费的安全防护措施,手机平白无故发送扣费短信的几率也就越来越小了。同时, 新版的Google服务中加入了设备扫描选项,可以定期扫描潜在威胁进行警告和提
13、醒,这都 是老版本Android系统所不能实现的功能。(5):使用防病毒软件PC中使用防病毒软件是非常普遍的情况,譬如新版的Windows就预装了 Defender来抵御基础病毒的攻击,日常使用基本没有什么问题。而Android系统使用沙盒机制”来限制流 氓软件可能带来的危害,安装了Play商店的手机则可以通过后台筛查来及时移除可以程序,保证用户安全。虽然有沙盒机制”的保护,防病毒软件依然可以在Android手机中体现其应有的价值。(6):不浏览陌生短信、网页攻击者为了取得被攻击者的信任往往绞尽脑汁,诱惑性极强,为了避免攻击发生, 需更要提高警惕。针对近两年的安卓攻击产生原因、攻击方法方法及建
14、议:1 .应用反编译漏洞:APK包非常容易被反编译成可读文件,稍加修改就能重新打包成新的APK。利用:软件破解,内购破解,软件逻辑修改,插入恶意代码,替换广告商ID。建议:使用 ProGuard等工具混淆代码,重要逻辑用NDK实现。例子:反编译重打包FlappyBird,把广告商ID换了,游戏改加插一段恶意代码等等。2 .数据的存储与传输漏洞:外部存储(SD卡)上的文件没有权限管理,所有应用都可读可写。开发者把敏感信 息明文存在 SD卡上,或者动态加载的payload放在SD卡上。利用:窃取敏感信息,篡改配置文件,修改 payload逻辑并重打包。建议:不要把敏感信息放在外部存储上面;在动态加
15、载外部资源的时候验证文件完整性。漏洞:使用全局可读写( MODE_WORLD_READABLE MODE_WORLD_WRITEABLE 的内部存 储方式,或明文存储敏感信息(用户账号密码等)。利用:全局读写敏感信息,或 root后读取明文信息。建议:不适用全局可读写的内部存储方式,不明文存储用户账号密码。3 .密码泄露漏洞:密码明文存储,传输。利用:root后可读写内部存储。SD卡全局可读写。公共WiFi抓包获取账号密码。建议:实用成熟的加密方案。不要把密码明文存储在SD卡上。4 . 组件暴露 (Activity, Service, Broadcast Receiver, Content Provider)漏洞:组件在被调用时未做验证。在调用其他组件时未做验证。利用:调用暴露的组件,达到某种效果,获取某些信息,构造某些数据。(比如:调用暴露的组件发短信、微博等)。监听暴露组件,读取数据。建议:验证输入信息、验证组件调用等。android:exported 设置为false。使用 android:protectionLevel=signature 验证调用来源。5 . WebView漏洞:恶意 App可
