الثبات والامتياز التصعيد
روابط لجميع الأجزاء:الجزء 1. الوصول الأولي إلى جهاز محمول (الوصول الأولي)الجزء 2. الثبات والتصعيدالجزء 3. الحصول على وصول الاعتماد (وصول الاعتماد)الجزء 4. التهرب الدفاعالجزء 5. الاكتشاف والحركة الجانبيةتصف تقنيات التثبيت كيفية الحصول على حقوق الوصول وتغيير تكوين جهاز محمول وإجراءات أخرى نتيجة للمهاجم الذي يضمن وجوده في النظام. غالبًا ما يتم إجبار الخصم على الحفاظ على الوصول إلى جهاز محمول على الرغم من توقف نظام التشغيل مؤقتًا نتيجة لإعادة التشغيل أو إعادة ضبط النظام على إعدادات المصنع.
بعد اكتسابه موطئ قدم في النظام ، يحصل الخصم على فرصة "تسجيل الدخول" إلى جهاز محمول ، ولكن ربما بحقوق محدودة للغاية. ومع ذلك ، من خلال الاستفادة من نقاط الضعف الدفاعية ، يمكن للخصم الحصول على الامتيازات العليا اللازمة لتحقيق هدف الهجوم.
المؤلف غير مسؤول عن العواقب المحتملة لتطبيق المعلومات الواردة في المقالة ، كما يعتذر عن عدم الدقة المحتملة في بعض الصياغات والمصطلحات. المعلومات المنشورة هي إعادة سرد مجانية لمحتويات ATT @ CK Mobile Matrices: Device Access .منصة: أندرويد
الوصف: قد يطلب تطبيق ضار من المستخدم حقوق المسؤول عن الجهاز ، وإذا تم الحصول على الامتيازات ، فعليك إجراء عمليات معالجة تجعل من الصعب حذفها.
توصيات الحماية:التطبيق قبل التحقق من الصحةعادةً ما تستخدم التطبيقات نادراً الوصول الإداري. في بيئة الشركات ، ينبغي أن يحدد الفحص الأولي للتطبيقات هذه البرامج بهدف إجراء مزيد من الدراسة الشاملة. وصف Maggi و Zanero
طريقة إجراء تحليل ثابت للتطبيقات من أجل تحديد تطبيقات الفدية التي تسيء الوصول إلى مسؤول الجهاز. باختصار ، يتكون اكتشاف تطبيقات رانسومواري من الكشف المبكر للمؤشرات التالية في ملف apk: تهديد النص ، رمز مرتبط بحظر استخدام الجهاز للجهاز (مربعات الحوار غير القابلة للحذف ، حظر أزرار التنقل ، ملء الشاشة مع نافذة ، إلخ) ، تشفير البيانات أو إساءة استخدام API المسؤول.
توخي الحذر عند استخدام وصول مسؤول الجهازيجب تحذير مستخدمي الأجهزة المحمولة من أنهم يجب ألا يقبلوا طلبات منح امتيازات المسؤول للتطبيقات. بالإضافة إلى ذلك ، يجب التحقق من التطبيق لاستخدام حقوق المسؤول قبل تثبيته ، ويجب دراسة التطبيقات الضرورية التي تطلب وصول المسؤول إلى الجهاز بعناية وعدم السماح باستخدامها إلا إذا كان هناك سبب وجيه. يمكن لمستخدمي Android عرض قائمة التطبيقات التي لها حقوق المسؤول في إعدادات الجهاز.
باستخدام أحدث إصدارات نظام التشغيللا تحتوي أحدث إصدارات نظام التشغيل ، كقاعدة عامة ، على تصحيحات فحسب ، بل تحتوي أيضًا على بنية أمان محسّنة توفر مقاومة لأوجه الضعف التي لم يتم اكتشافها من قبل. على سبيل المثال ، أدخل Android 7 تغييرات لمنع احتمال إساءة استخدام حقوق المسؤول.
منصة: أندرويد
الوصف: يمكن لتطبيق Android الاستماع إلى بث رسائل البث BOOT_COMPLITED ، والتي تضمن تفعيلها في كل مرة يتم تشغيل الجهاز ، دون انتظار المستخدم لبدء تشغيله يدويًا. BOOT_COMPLITED هو حدث للبث في Android ، حيث يقوم بإخطار التطبيقات بنهاية عملية تمهيد نظام التشغيل. يمكن لأي تطبيق مزود بجهاز استقبال BroadcastRecevier خاص استلام رسائل البث واتخاذ الإجراءات بناءً عليها.
أظهر تحليل لـ 1260 تطبيقًا ضارًا لنظام Android ، نُشر في عام 2012 ، أن 83.3٪ من البرامج الضارة استمع إلى BOOT_COMPLITED.
توصيات الحماية: في بيئة الشركة ، يمكن تنظيم التحقق من التطبيق من أجل تحديد البرامج التي تعلن عن BroadcastReceiver ، والذي يحتوي على مرشح نوايا بواسطة BOOT_COMPLITED. ومع ذلك ، نظرًا للزيادة الكبيرة في عدد التطبيقات التي تستخدم هذا السلوك ، فإن هذه الطريقة غير عملية للغاية.
النظام الأساسي: Android ، iOS
الوصف: حدد فرصة لزيادة الامتيازات ، فقد يحاول الخصم وضع رمز ضار في نواة نظام التشغيل أو مكونات قسم التمهيد ، حيث لا يمكن اكتشاف الرمز ، وسيتم حفظه بعد إعادة تشغيل الجهاز ، ولا يمكن للمستخدم حذفه. في بعض الحالات (على سبيل المثال ، عند استخدام
Samsung Knox ) ، قد يتم اكتشاف هجوم ، ولكن سيؤدي ذلك إلى نقل الجهاز إلى وضع الأداء الوظيفي المحدود.
توفر العديد من أجهزة Android القدرة على إلغاء قفل أداة تحميل التشغيل لأغراض التطوير ، ولكن هذه الوظيفة توفر القدرة على تحديث النواة بشكل ضار أو تعديل رمز قسم التمهيد. إذا لم يتم إلغاء قفل أداة الإقلاع ، فسيظل هناك احتمال لاستغلال الثغرات الأمنية لتحديث كود kernel.
توصيات الحماية: قم بتثبيت تحديثات الأمان وتنفيذ أنظمة الشهادات عن بُعد (Android SafetyNet و Samsung KNOX TIMA) وحظر الوصول إلى موارد الشركة للأجهزة غير المعتمدة. تنظيم فحص لحالة قفل أداة تحميل التشغيل على الأجهزة التي توفر إمكانية إلغاء قفل أداة تحميل التشغيل (وبالتالي السماح بكتابة أي كود نظام تشغيل على الجهاز).
يمكن استخدام واجهة برمجة تطبيقات Android SafetyNet Attestation لتحديد الأجهزة المعرضة للخطر والرد عليها عن بُعد. يوفر Samsung KNOX القدرة على التحقق من صحة أجهزة Samsung Android عن بُعد. تتضمن أجهزة Samsung KNOX "فتيل ضمان Knox غير قابل للانعكاس" والذي سيعمل إذا تم تحميل نواة غير KNOX على الجهاز. عند التشغيل ، لن تتوفر خدمات حاويات KNOX على الجهاز. كما هو موضح في دليل أمان iOS ، لا يمكن لأجهزة iOS التمهيد أو السماح بتنشيط الجهاز في حالة اكتشاف تغييرات غير مصرح بها. تقوم العديد من تطبيقات المؤسسات بإجراء عمليات الفحص الخاصة بها للكشف عن الأجهزة التي تم اختراقها والرد عليها. مثل هذه الفحوصات ليست وسيلة موثوقة ، لكنها يمكن أن تكتشف العلامات الأساسية للتسوية.
النظام الأساسي: Android ، iOS
الوصف: إذا تمكن الخصم من زيادة الامتيازات ، فسيتمكن من استخدامها لوضع كود ضار في قسم النظام بالجهاز ، حيث سيبقى بعد إعادة تشغيل نظام التشغيل ولن يكون من السهل على المستخدم إزالته. تسمح لك العديد من أجهزة Android بإلغاء تأمين أداة تحميل التشغيل لأغراض التطوير. يمكن أيضًا استخدام هذه الميزة بواسطة خصم لتعديل قسم النظام.
توصيات الحماية: تجري أجهزة Android المزودة بدعم التحقق من التمهيد التحقق من سلامة قسم النظام. يمكن استخدام واجهة برمجة تطبيقات Android SafetyNet لتحديد الأجهزة المعرضة للخطر. يوفر Samsung KNOX أيضًا القدرة على التحكم عن بُعد في الأجهزة المدعومة. لن تقوم أجهزة IOS بالتمهيد أو لن تسمح بتنشيط جهاز يتم فيه اكتشاف تغييرات غير مصرح بها.
منصة: أندرويد
الوصف: مع وجود الامتيازات المناسبة ، يمكن للمهاجم محاولة وضع تعليمات برمجية ضارة في وقت تشغيل موثوق به (TEE) لجهاز أو في وقت تشغيل معزول مماثل حيث لا يمكن اكتشاف الرمز ، سيتم حفظه بعد إعادة تشغيل الجهاز ولا يمكن حذفه بواسطة المستخدم. سيوفر تنفيذ التعليمات البرمجية في TEE للخصم القدرة على التحكم أو تزييف تشغيل الجهاز.
تلميحات الأمان: يجب أن تقوم الأجهزة بإجراء اختبارات تكامل على الرمز الذي يتم تشغيله في TEE في وقت التمهيد. لن يتم تشغيل نظام التشغيل iOS إذا فشل الرمز الذي يتم تشغيله في Secure Enclave في التحقق من التوقيع الرقمي.
منصة: أندرويد
الوصف: من أجل تحسين الأداء ، يقوم Android Runtime (ART) بتجميع شفرة الكود (classes.dex) إلى رمز الجهاز أثناء تثبيت التطبيق. إذا قام المهاجم برفع الامتيازات ، فيمكنه تعديل هذا الرمز المخزن مؤقتًا. منذ أن تم تجميع الشفرة في الأصل على الجهاز ، لا يتم تطبيق التحكم في النزاهة عليها ، على عكس الرمز الموجود في قسم النظام.
توصيات الحماية: استخدم أحدث إصدارات نظام التشغيل المحمول والتثبيت الإلزامي لبقع الأمان.
النظام الأساسي: Android ، iOS
الوصف: قد تستغل التطبيقات الضارة الثغرات الأمنية التي لا مثيل لها في نظام تشغيل الهاتف المحمول للحصول على امتيازات متقدمة.
توصيات الحماية: تحقق من التطبيق لمعرفة الثغرات الأمنية المعروفة. تثبيت تحديثات الأمان. باستخدام أحدث إصدارات نظام التشغيل.
منصة: أندرويد
الوصف: يمكن استخدام التطبيقات الضارة أو متجهات الهجوم الأخرى لاستغلال الثغرات الأمنية في التعليمات البرمجية المنفذة في بيئة التنفيذ الموثوق (TEE). يمكن للخصم بعد ذلك الحصول على الامتيازات التي يتمتع بها TEE ، بما في ذلك القدرة على الوصول إلى مفاتيح التشفير أو البيانات الحساسة الأخرى. لمهاجمة TEE ، قد يحتاج الخصم أولاً إلى امتيازات OS مرتفعة. إذا لم يكن كذلك ، فيمكن استخدام امتيازات TEE لاستغلال نقاط ضعف نظام التشغيل.
توصيات الحماية: تحقق من التطبيق لمعرفة الثغرات الأمنية المعروفة. تثبيت تحديثات الأمان. باستخدام أحدث إصدارات نظام التشغيل.