روابط لجميع الأجزاء:الجزء 1. الوصول الأولي إلى جهاز محمول (الوصول الأولي)الجزء 2. الثبات والتصعيدالجزء 3. الحصول على وصول الاعتماد (وصول الاعتماد)الجزء 4. التهرب الدفاعالجزء 5. الاكتشاف والحركة الجانبيةأبدأ سلسلة الإصدارات التالية ( انظر الإصدارات السابقة ) المكرسة لدراسة التكتيكات والتقنيات لتنفيذ هجمات القراصنة ، المضمنة في قاعدة MITER ATT & CK للمعرفة . سيصف القسم التقنيات المستخدمة من قبل مجرمي الإنترنت في كل مرحلة من مراحل سلسلة الهجوم على الأجهزة المحمولة.تحت خفض - المتجهات الرئيسية للتهديد الأجهزة النقالة ، تهدف إلى الحصول على المهاجم "وجود" في النظام المهاجم.
المؤلف غير مسؤول عن العواقب المحتملة لتطبيق المعلومات الواردة في المقالة ، كما يعتذر عن عدم الدقة المحتملة في بعض الصياغات والمصطلحات. المعلومات المنشورة هي إعادة سرد مجانية لمحتويات ATT @ CK Mobile Matrices: Device Access .النظام الأساسي: Android ، iOS
الوصف: التطبيقات الضارة هي الطريقة الأكثر شيوعًا للمهاجمين "التواجد" على الأجهزة المحمولة. غالبًا ما يتم تكوين أنظمة تشغيل الأجهزة المحمولة لتثبيت التطبيقات فقط من المتاجر المعتمدة (متجر Google Play أو متجر تطبيقات Apple) ، لذلك قد يحاول الخصم وضع تطبيقه الضار في متجر تطبيقات معتمد.
تتطلب متاجر التطبيقات عادةً تسجيل مطور البرامج وتحتوي على أدوات للكشف عن التطبيقات الضارة ، ولكن يمكن للمعارضين استخدام بعض الطرق لتجاوز حماية المتجر:
- تنزيل الكود الضار أثناء تنفيذ التطبيق بعد تثبيته من متجر التطبيقات ؛
- غموض الملفات والمعلومات ؛
- استخدام بيانات الاعتماد المخفّضة والتوقيعات الرقمية لمطوري تطبيقات الهواتف الجوالة بحسن نية ؛
- اختبار إمكانية تجاوز أنظمة التحليل الآلي لأمان تطبيقات الهاتف المحمول في متجر التطبيقات.
يمكن للخصم وضع تعليمات برمجية ضارة عن قصد في تطبيق ما لتحديد ما إذا كان يعمل في بيئة تحليل الأمان في المتجر المستهدف ، وإذا لزم الأمر ، قم بتعطيل تشغيل محتوى ضار أثناء التحليل. يمكن للمهاجمين أيضًا استخدام الهويات المزيفة وبطاقات الدفع وما إلى ذلك. عند إنشاء حسابات مطور لمزيد من نشر التطبيقات الضارة في المتاجر.
بالإضافة إلى ذلك ، يمكن للمعارضين أيضًا استخدام حسابات مستخدمي Google المعرضة للخطر للاستفادة من التثبيت عن بُعد للتطبيقات على أجهزة Android المرتبطة بحساب Google المسيطر عليه (باستخدام هذه التقنية يمكنك فقط تثبيت التطبيقات من متجر Google Play عن بُعد).
توصيات الحماية: في بيئة الشركة ، يوصى بإجراء عمليات فحص التطبيق بحثًا عن نقاط الضعف والإجراءات غير المرغوب فيها (سرية أو ضارة تنتهك السرية) أو تنفيذ سياسات تقييد التطبيق أو إحضار سياسات الجهاز الخاص بك (إحضار جهازك الخاص) التي تفرض قيودًا فقط للجزء الذي تسيطر عليه المؤسسة من الجهاز. سيساعد التدريب والدورات التدريبية وأدلة المستخدم في دعم تكوين معين من أجهزة الشركة ، وفي بعض الأحيان تمنع إجراءات مستخدم محفوفة بالمخاطر.
يمكن لأنظمة EMM / MDM أو حلول أخرى لحماية الأجهزة المحمولة اكتشاف التطبيقات غير المرغوب فيها أو الضارة على أجهزة الشركة تلقائيًا. يتمتع مطورو البرامج عادةً بالقدرة على فحص متاجر التطبيقات بحثًا عن تطبيقات غير مصرح بها تم إرسالها باستخدام معرف مطور البرامج الخاص بهم.
النظام الأساسي: Android ، iOS
الوصف: على الرغم من الحظر المحتمل لتثبيت التطبيقات من مصادر الجهة الخارجية على الجهاز المستهدف ، يمكن للخصم تجنب وضع تطبيق ضار في متاجر التطبيقات المرخص لها عن عمد للحد من خطر الاكتشاف المحتمل.
طرق تسليم التطبيقات البديلة:- Spearphishing Attachment - التطبيق كمرفق برسالة بريد إلكتروني ؛
- رابط التصيد الاحتيالي - رابط إلى حزمة تطبيقات الهاتف المحمول في رسالة بريد إلكتروني أو رسالة نصية (SMS ، iMessage ، Hangouts ، WhatsApp ، وما إلى ذلك) ، موقع ويب ، رمز الاستجابة السريعة ب ، وما إلى ذلك ؛
- متجر التطبيقات التابع لجهة خارجية - يتم نشر التطبيق في متجر التطبيقات ، حيث لا يوجد تحكم أمني مشابه لمتجر معتمد.
في حالة iOS ، يمكن للخصم أيضًا محاولة الحصول على زوج مفاتيح وشهادة مفتاح توزيع Enterprise من أجل نشر التطبيق الضار دون النشر إلى AppStore.
توصيات الحماية: في iOS ، فإن تفعيل
allowEnterpriseAppTrust و
allowEnterpriseAppTrustModification سيمنع المستخدمين من تثبيت التطبيقات الموقعة بواسطة مفتاح توزيع Enterprise.
يتطلب الإصدار 9 من نظام التشغيل iOS والإصدارات الأحدث منه موافقة صريحة من المستخدم لتثبيت تطبيق مفتاح توزيع Enterprise الموقع وليس من AppStore ، لذلك يجب تدريب المستخدمين على عدم الموافقة على تثبيت التطبيق إذا لم يكونوا متأكدين من مصدر توزيع التطبيق.
على Android ، لتثبيت التطبيقات من مصادر خارجية ، يجب تمكين المعلمة "مصادر غير معروفة" ، لذلك يجب تدريب المستخدمين على تنشيط هذه المعلمة والتحكم فيها.
يمكن لـ EMM / MDM أو حلول أخرى لحماية الأجهزة المحمولة تحديد وجود تطبيقات مثبتة من مصادر خارجية ، وتحديد أجهزة Android المسموح لها بتثبيت التطبيقات من مصادر خارجية ، وتحديد وجود حزم تطبيقات Android أو iOS في رسائل البريد الإلكتروني.
النظام الأساسي: Android ، iOS
الوصف: يمكن للخصم الوصول إلى نظام الهاتف المحمول من خلال تنزيل رمز مخفي ، والذي يتم تنفيذه عندما يزور المستخدم موقعًا إلكترونيًا يتحكم فيه مهاجم. يتطلب تنفيذ هذه التقنية ثغرة أمنية مقابلة في متصفح الويب الخاص بالمستخدم. على سبيل المثال ، قد يحتوي موقع الويب على محتوى وسائط ضار مصمم لاستغلال
ثغرة Stagefright في Android.
توصيات الحماية: شراء الأجهزة من الموردين أو مشغلي شبكات الهاتف المحمول التي تضمن توفير التحديثات الأمنية بسرعة. يجب عليك التوقف عن استخدام الأجهزة المعرضة للخطر التي لا تتلقى تحديثات أمنية بسبب انتهاء فترة الدعم.
في بيئة الشركة ، يوصى بتقييد ومنع الوصول إلى موارد الشركة من الأجهزة المحمولة التي لم يتم تثبيت آخر تحديثات الأمان عليها. يمكن التحكم في الوصول من أجهزة Android بناءً على التصحيحات. يمكن التحكم في الوصول من أجهزة iOS بناءً على إصدار نظام التشغيل.
يوصى باستخدام أحدث إصدارات أنظمة تشغيل الأجهزة المحمولة فقط ، والتي ، كقاعدة عامة ، لا تحتوي على تصحيحات فحسب ، بل تحتوي أيضًا على بنية أمان محسّنة توفر مقاومة لأوجه الضعف التي لم يتم اكتشافها من قبل.
النظام الأساسي: Android ، iOS
الوصف: يمكن توصيل جهاز محمول (عادةً عن طريق USB) بمحطة شحن أو كمبيوتر محفوف بالمخاطر ، حيث يمكن للخصم محاولة الوصول إلى الجهاز.
المظاهرات الشهيرة للهجمات الناجحة:
- إدخال التطبيقات الضارة في أجهزة iOS ( المصدر ) ؛
- استغلال ثغرات Nexus 6 أو 6P عبر USB ، بما في ذلك اعتراض المكالمات الهاتفية وحركة مرور الشبكة واستقبال البيانات حول الموقع الفعلي للجهاز ؛
- استغلال ثغرات Android عبر USB باستخدام مثال Google Pixel 2.
من المتوقع أن تستخدم
منتجات Cellebrite و Grayshift الوصول الفعلي إلى منافذ البيانات لإلغاء تأمين كلمات المرور على بعض أجهزة iOS.
توصيات الحماية: يجب أن تمنع سياسات أمان الشركات تضمين تصحيح أخطاء USB على أجهزة Android (إذا لم يكن ذلك مطلوبًا ، على سبيل المثال ، عند استخدام الجهاز لتطوير التطبيقات). على الأجهزة التي توفر إمكانية إلغاء قفل أداة تحميل التشغيل ، مما يسمح لك بتعديل البرنامج الثابت ، يلزم إجراء فحوص دورية لقفل أداة تحميل التشغيل فعليًا.
لا يوصى باستخدام محطات الشحن العامة أو أجهزة الكمبيوتر لشحن أجهزتك. تزويد المستخدمين بأجهزة الشحن التي تم شراؤها من مورد موثوق. لا ينصح المستخدمون بإضافة أجهزة موثوق بها إلا إذا لزم الأمر.
الوصف: قد يتم استغلال الثغرات الأمنية عبر واجهة الاتصالات الخلوية أو واجهات الراديو الأخرى.
مآثر الفرقة الأساسيةيمكن للرسالة المرسلة إلى جهاز محمول عبر واجهة راديو (عادةً ما تكون خلوية ، ولكن أيضًا Bluetooth و GPS و NFC و
Wi-Fi وما إلى ذلك) استغلال
الثغرات الموجودة في الكود الذي يعالج الرسالة المستلمة (على سبيل المثال ،
الثغرة الأمنية في Samsung S6) .
الرسائل القصيرة الخبيثةقد تحتوي رسالة SMS على محتوى مصمم لاستغلال
الثغرات الأمنية في محلل الرسائل القصيرة على جهاز الاستقبال. قد تحتوي الرسائل القصيرة أيضًا على رابط إلى موقع ويب يحتوي على محتوى ضار. يمكن استغلال
بطاقات SIM المستضعفة وإعادة برمجتها عن بعد باستخدام رسائل SMS.
توصيات الحماية: شراء الأجهزة من الموردين أو مشغلي شبكات الهاتف المحمول التي تضمن توفير التحديثات الأمنية بسرعة. يجب عليك التوقف عن استخدام الأجهزة المعرضة للخطر التي لا تتلقى تحديثات أمنية بسبب انتهاء فترة الدعم.
في بيئة الشركة ، يوصى بتقييد ومنع الوصول إلى موارد الشركة من الأجهزة المحمولة التي لم يتم تثبيت آخر تحديثات الأمان عليها. يمكن التحكم في الوصول من أجهزة Android بناءً على التصحيحات. يمكن التحكم في الوصول من أجهزة iOS بناءً على إصدار نظام التشغيل.
يوصى باستخدام أحدث إصدارات أنظمة تشغيل الأجهزة المحمولة فقط ، والتي ، كقاعدة عامة ، لا تحتوي على تصحيحات فحسب ، بل تحتوي أيضًا على بنية أمان محسّنة توفر مقاومة لأوجه الضعف التي لم يتم اكتشافها من قبل.
النظام الأساسي: Android ، iOS
الوصف: قد يحاول
أحد الخصوم تثبيت تكوين غير آمن أو ضار على جهاز محمول باستخدام رسالة تصيد أو رسالة نصية تحتوي على ملف تكوين كمرفق أو رابط ويب لمعلمات التكوين. عند تعيين معلمات التكوين ، يمكن خداع المستخدم باستخدام أساليب الهندسة الاجتماعية. على سبيل المثال ، يمكن وضع شهادة غير مطلوبة من المرجع المصدق (CA) في مخزن الشهادات الموثوق بالجهاز ، مما يزيد من حساسية الجهاز للهجمات في منتصف الشخص.
في نظام التشغيل iOS ، قد تحتوي ملفات تعريف التكوين الضارة على شهادات المرجع المصدق (CA) غير المرغوب فيها أو غيرها من الإعدادات غير الآمنة ، مثل عنوان الوكيل غير المرغوب فيه أو خادم VPN لتوجيه حركة مرور الجهاز عبر نظام المهاجمين. يمكن أيضًا تسجيل الجهاز في نظام إدارة الجهاز المحمول العدو (MDM).
توصيات الحماية: في نظام iOS 10.3 وما فوق ، تمت إضافة خطوة إضافية تتطلب إجراء المستخدم لتثبيت شهادات المرجع المصدق الموثوقة الجديدة. على Android ، التطبيقات المتوافقة مع Android 7 والإصدارات الأحدث (API مستوى 24) ، بشكل افتراضي ، تثق فقط في شهادات المرجع المصدق (CA) التي يتم تسليمها مع نظام التشغيل ، ولا يضيفها المستخدم أو المسؤول ، مما يقلل بشكل عام من قابلية نظام التشغيل لهجمات الشخص المتوسط.
كقاعدة عامة ، لا يتم ضبط إعدادات التكوين غير الآمنة أو الضارة دون موافقة المستخدم ، لذلك يجب أن يدرك المستخدمون أنه لا ينبغي عليهم تعيين إعدادات التكوين غير المتوقعة (شهادات المرجع المصدق (CA) ، ملفات تعريف تكوين iOS ، إنشاء اتصال بـ MDM).
على Android ، يمكن للمستخدم عرض شهادات المرجع المصدق الموثوق بها من خلال إعدادات الجهاز لتحديد الشهادات المشبوهة. يمكن لأنظمة أمان الشركات للأجهزة المحمولة التحقق من مخزن الشهادات للحصول على الحالات الشاذة تلقائيًا.
على نظام التشغيل iOS ، يمكن للمستخدم عرض ملفات تخصيص التكوين المثبتة من خلال إعدادات الجهاز وتحديد ملفات التعريف المشبوهة. وبالمثل ، يمكن لأنظمة MDM استخدام واجهة برمجة تطبيقات iOS MDM للتحقق من قوائم الملفات الشخصية المثبتة لمعرفة الحالات الشاذة.
النظام الأساسي: Android ، iOS
الوصف: بعد الوصول الفعلي إلى جهاز محمول ، قد يحاول الخصم تجاوز شاشة قفل الجهاز.
خداع البيومتريةقد يحاول الخصم أن يخدع آلية المصادقة البيومترية. يعمل نظام التشغيل iOS على تخفيف هذا الهجوم جزئيًا عن طريق طلب كلمة مرور للجهاز ، وليس بصمة ، بعد كل عملية إعادة تشغيل وبعد 48 ساعة من آخر فتح. الروبوت لديه آليات حماية مماثلة.
تخمين رمز فتح أو بحث بسيطقد يحاول الخصم تخمين أو بطريقة أو بأخرى تخمين رمز الوصول ، بما في ذلك الملاحظة المادية (تصفح sohulder) أثناء استخدام المستخدم للجهاز.
يستغل قفل الشاشة الأخرىيوضح Android 5 و iOS 6 والأجهزة المحمولة الأخرى بشكل دوري كيفية استغلال الثغرات الأمنية لتجاوز شاشة القفل. عادة ما يتم إصلاح الثغرات الأمنية عن طريق الجهاز أو مطور نظام التشغيل بمجرد إدراك وجودها.
توصيات الحماية: يجب أن تحدد سياسات أمان الشركات لأجهزة الجوال متطلبات تعقيد كلمة المرور على الجهاز. قد تتضمن سياسة الشركة التدمير التلقائي لجميع البيانات الموجودة على الجهاز عند إدخال كلمة مرور خاطئة بشكل متكرر. تهدف كلتا السياستين إلى منع هجمات القوة الغاشمة أو رموز التخمين أو "التجسس".
إذا لزم الأمر ، قد تحظر سياسة الشركة المصادقة البيومترية. ومع ذلك ، فإن المصادقة البيومترية أكثر ملاءمة من استخدام رمز وصول طويل ومعقد ، لأنه ليس عليك إدخاله في كل مرة.
يوصى بتثبيت التحديثات الأمنية واستخدام أحدث إصدارات نظام تشغيل الهاتف المحمول.
النظام الأساسي: Android ، iOS
الوصف: يمكن للخصم تنزيل تطبيق ما ، وتفكيكه ، وإضافة رمز ضار ، ثم إعادة تجميعه (
مثال ). سيبدو التطبيق الذي تم إعادة بنائه كالأصلي ، ولكنه يحتوي على وظائف ضارة إضافية. بعد ذلك ، يمكن نشر هذا التطبيق في متاجر التطبيقات أو تسليمه إلى الجهاز باستخدام تقنيات أخرى.
توصيات الحماية: قم بتثبيت التطبيقات فقط من المتاجر المخولة الأقل احتمالًا أن تحتوي على تطبيقات خبيثة معاد تعبئتها.
يمكن لأنظمة EMM / MDM وغيرها من أدوات أمان تطبيقات الهاتف المحمول على مستوى المؤسسات اكتشاف التطبيقات غير المرغوب فيها أو غير المعروفة أو غير الآمنة أو الضارة على الأجهزة.
النظام الأساسي: Android ، iOS
الوصف: تمثل تسوية سلسلة التوريد تعديلاً لمنتج البرنامج وآليات تسليم المنتج قبل أن يستلمه المستهلك من أجل تسوية البيانات أو النظام. يمكن للمعارضين استغلال الثغرات غير المقصودة ، لذلك في العديد من الحالات يكون من الصعب تحديد ما إذا كانت الوظيفة المستضعفة هي نتيجة لخطأ ضار أو غير مقصود.
تحديد نقاط الضعف في مكتبات برامج الجهات الخارجيةقد تحتوي مكتبات الطرف الثالث المضمنة في تطبيقات الأجهزة المحمولة على تعليمات برمجية ضارة تنتهك الخصوصية أو تخلق ثغرات أمنية. هناك أمثلة معروفة عن الثغرات الأمنية وقضايا الأمن في مكتبات الإعلانات المتنقلة.
توزيع أدوات تطوير البرمجيات الخبيثةكما
أثبت هجوم
XcodeGhost ، يمكن لمطوري التطبيقات استخدام إصدارات معدلة من أدوات تطوير البرامج (على سبيل المثال ، برامج التحويل البرمجي) التي تقوم تلقائيًا بضخ التعليمات البرمجية الضارة أو الثغرات الأمنية في التطبيق.
توصيات الحماية: يمكن اكتشاف مكتبات الطرف الثالث غير الآمنة بطرق مختلفة للتحقق من التطبيق. على سبيل المثال ، يكشف برنامج تحسين أمان تطبيقات Google عن استخدام مكتبات الجهات الخارجية التي بها نقاط ضعف معروفة في تطبيقات Android المتوفرة في متجر Google Play. يمكن اكتشاف أدوات تطوير البرامج الضارة وأدوات مطوري البرامج المعدلة باستخدام أنظمة مراقبة سلامة الملفات على أجهزة كمبيوتر المطورين.