روابط لجميع الأجزاء:الجزء 1. الوصول الأولي إلى جهاز محمول (الوصول الأولي)الجزء 2. الثبات والتصعيدالجزء 3. الحصول على وصول الاعتماد (وصول الاعتماد)الجزء 4. التهرب الدفاعالجزء 5. الاكتشاف والحركة الجانبيةيستخدم المعارضون طرقًا مختلفة لالتقاط كلمات المرور والرموز ومفاتيح التشفير وبيانات الاعتماد الأخرى لتنفيذ وصول غير مصرح به إلى موارد جهاز محمول. يتيح لك الحصول على بيانات اعتماد شرعية من قبل الخصم تحديد جميع أذونات حساب مخترق في نظام أو شبكة والحصول عليها ، مما يجعل من الصعب اكتشاف أي نشاط ضار. من خلال الوصول المناسب ، يمكن للخصم أيضًا إنشاء حسابات شرعية لاستخدامها في بيئة تمت مهاجمتها.
المؤلف غير مسؤول عن العواقب المحتملة لتطبيق المعلومات الواردة في المقالة ، كما يعتذر عن عدم الدقة المحتملة في بعض الصياغات والمصطلحات. المعلومات المنشورة هي إعادة سرد مجانية لمحتويات ATT @ CK Mobile Matrices: Device Access .منصة: أندرويد
الوصف: ميزات الوصول إلى Android عبارة عن مجموعة أدوات للأشخاص ذوي الإعاقة. قد يستخدم تطبيق ضار ميزات إمكانية الوصول إلى Android للحصول على بيانات حساسة أو تنفيذ إجراءات ضارة. الحقيقة هي أن واجهات برمجة التطبيقات التي توفر خدمات إمكانية الوصول تسمح لك بالوصول إلى محتويات الواجهات التي يتفاعل معها المستخدم (على سبيل المثال ، قراءة أو إنشاء بريد إلكتروني ، تحرير مستند ، وما إلى ذلك). توفر هذه الوظيفة قدرة الأشخاص ذوي الإعاقة على العمل مع تطبيقات الهاتف المحمول العامة. تجذب هذه الوظيفة لنظام التشغيل أيضًا مؤلفي البرامج الضارة ، على الرغم من ذلك ، لتنشيط ميزات إمكانية الوصول إلى Android ، يجب على المستخدم إجراء عدد من العمليات غير المعتادة مع تحذير أمان في النهاية.
توصيات الحماية: يتضمن إصدار نظام التشغيل Android 7.0 والإصدارات الأحدث حماية إضافية ضد هذه التقنية. قبل السماح بتثبيت التطبيق في بيئة شركة ، يوصى بالتحقق منه بحثًا عن إساءة استخدام محتملة لميزات إمكانية الوصول أو تنفيذ خدمة سمعة تطبيقات الجوال لتحديد التطبيقات الضارة المعروفة.
منصة: أندرويد
الوصف: في Android قبل الإصدار 4.1 ، يمكن للمهاجم استخدام تطبيق ضار له إذن READ_LOGS للحصول على المفاتيح الخاصة وكلمات المرور وبيانات الاعتماد الأخرى والبيانات السرية المخزنة في سجل نظام الجهاز. في Android 4.1 والإصدارات الأحدث ، لا يمكن للمهاجم الوصول إلى السجل إلا بعد تصعيد الامتيازات بنجاح على نظام التشغيل.
توصيات الحماية: إذا كنت مطورًا لتطبيقات الأجهزة المحمولة ، فعليك ألا تكتب بيانات حساسة في سجل النظام لتطبيقات الإنتاج.
بدءًا من Android 4.1 ، لا يمكن للتطبيقات الوصول إلى سجل النظام (باستثناء الإدخالات المضافة بواسطة التطبيق نفسه). من خلال الوصول الفعلي إلى الجهاز ، يمكن الحصول على سجل النظام عبر USB باستخدام أداة
Android Debug Bridge (adb) .
النظام الأساسي: Android ، iOS
الوصف: يمكن للمهاجم محاولة قراءة الملفات التي تحتوي على بيانات سرية أو بيانات اعتماد (المفاتيح الخاصة ، كلمات المرور ، الرموز المميزة للوصول). تتطلب هذه الطريقة إما امتيازات مرتفعة في نظام التشغيل أو وجود تطبيق مستهدف في النظام الذي يخزن البيانات بطريقة غير آمنة (مع حقوق وصول غير آمنة أو في مكان غير آمن ، على سبيل المثال ، في دليل تخزين خارجي).
توصيات الحماية: تأكد من أن التطبيقات التي تستخدمها لا تخزن البيانات الحساسة مع حقوق غير آمنة أو في مكان غير آمن. يوفر كل من Android و iOS القدرة على تخزين بيانات الاعتماد في الأجهزة في مكان معزول حيث لن يتم اختراقها حتى في حالة تصاعد الامتيازات بنجاح. يوفر Android 7 أذونات ملفات افتراضية أعلى في الدليل الداخلي للتطبيق ، مما يقلل من إمكانية استخدام حقوق غير آمنة.
منصة: أندرويد
الوصف: Android Intent أو Intent عبارة عن كائن مراسلة للمعالجة يمكن لأحد التطبيقات أن يطلب إجراءً من أحد مكونات تطبيق آخر. قد يسجل تطبيق ضار لتلقي نوايا للتطبيقات الأخرى ثم يتلقى قيمًا سرية ، مثل رموز تخويل بروتوكول OAuth.
توصيات الحماية: يجب أن تتضمن عملية التحقق من طلبات نقاط الضعف المحتملة تحديد الاستخدام غير الآمن للنوايا. يجب أن يستخدم مطورو تطبيقات الأجهزة المحمولة طرقًا لضمان إرسال النوايا فقط إلى الوجهة المناسبة (على سبيل المثال ، استخدام النوايا الصريحة أو التحقق من الأذونات أو التحقق من شهادة التطبيق الهدف أو استخدام
ارتباطات التطبيق (وظيفة يتم من خلالها إعادة توجيه المستخدم إلى رابط للتطبيق المستهدف تجاوز مربع الحوار تحديد التطبيق ) ، تم إضافته في Android 6.0. بالنسبة لتطبيقات الأجهزة المحمولة التي تستخدم OAuth ، يوصى باتباع
أفضل الممارسات .
النظام الأساسي: Android ، iOS
الوصف: قد تحاول التطبيقات الضارة التقاط البيانات الحساسة المخزنة على حافظة الجهاز ، على سبيل المثال ، كلمات المرور التي تم نسخها / لصقها من تطبيق Password Manager.
توصيات الحماية: في بيئة الشركة ، يوصى بتنفيذ عمليات فحص التطبيقات الخاصة بمواطن الضعف والإجراءات غير المرغوب فيها ، وسياسات تقييد تثبيت التطبيق ، وسياسات إحضار الجهاز الخاص بك (BYOD) التي تفرض قيودًا فقط على جزء الجهاز الذي تتحكم فيه المؤسسة. يمكن لأنظمة EMM / MDM أو غيرها من حلول أمان الأجهزة المحمولة اكتشاف وجود تطبيقات غير مرغوب فيها أو ضارة على أجهزة الشركة.
النظام الأساسي: Android ، iOS
الوصف: قد يجمع تطبيق ضار البيانات الحساسة المرسلة في رسائل SMS ، بما في ذلك بيانات المصادقة. غالبًا ما تستخدم رسائل SMS لنقل رموز المصادقة متعددة العوامل.
يجب أن يطلب تطبيق Android ويتلقى إذنًا لاستلام رسائل SMS أثناء التثبيت أو التنفيذ. بدلاً من ذلك ، قد يحاول تطبيق ضار رفع الامتيازات للتحايل على هذه الحماية. لا يمكن لتطبيقات iOS الوصول إلى رسائل SMS أثناء التشغيل المنتظم ، لذلك سيحتاج العدو أولاً إلى تنفيذ هجوم على تصعيد الامتياز.
توصيات الحماية: في بيئة الشركة ، يوصى بفحص التطبيقات مسبقًا للحصول على إذن RECEIVE_SMS. في حالة اكتشاف هذا الإذن ، يتطلب التطبيق تحليلًا مفصلاً.
منصة: أندرويد
الوصف: يمكن استخدام التطبيقات الضارة أو متجهات الهجوم الأخرى لاستغلال الثغرات الأمنية في التعليمات البرمجية المنفذة في بيئة التنفيذ الموثوق (TEE). يمكن للخصم بعد ذلك الحصول على الامتيازات التي يتمتع بها TEE ، بما في ذلك القدرة على الوصول إلى مفاتيح التشفير أو البيانات الحساسة الأخرى. لمهاجمة TEE ، قد يحتاج الخصم أولاً إلى امتيازات OS مرتفعة. إذا لم يكن كذلك ، فيمكن استخدام امتيازات TEE لاستغلال نقاط ضعف نظام التشغيل.
توصيات الحماية: تحقق من التطبيق لمعرفة الثغرات الأمنية المعروفة. تحديثات الأمان. باستخدام أحدث إصدارات نظام التشغيل.
النظام الأساسي: Android ، iOS
الوصف: يمكن للتطبيق الضار التسجيل باعتباره لوحة مفاتيح الجهاز واعتراض ضربات المفاتيح أثناء قيام المستخدم بإدخال بيانات حساسة ، مثل اسم المستخدم وكلمة المرور.
توصيات الحماية: نادراً ما يتم تسجيل التطبيقات على هيئة لوحات مفاتيح ، لذلك يجب تحليل التطبيقات التي تقوم بذلك بعناية أثناء الفحص الأولي. يتطلب كل من iOS و Android إذنًا صريحًا من المستخدم لاستخدام لوحات مفاتيح برامج الجهات الخارجية. يُنصح المستخدمون بتوخي أقصى درجات الحذر قبل منح هذا الإذن (عند الطلب).
النظام الأساسي: Android ، iOS
الوصف: يمكن للمهاجم التقاط حركة المرور الواردة والصادرة أو إعادة توجيه حركة مرور الشبكة للمرور عبر بوابة يتحكم فيها العدو للحصول على بيانات الاعتماد والبيانات الحساسة الأخرى.
قد يسجل تطبيق ضار كعميل VPN على Android أو iOS للوصول إلى حزم الشبكة. ومع ذلك ، في كلا النظامين ، يجب على المستخدم الموافقة على التطبيق لأداء وظائف عميل VPN ، وعلى iOS ، يتطلب التطبيق إذنًا خاصًا من Apple.
بدلاً من ذلك ، قد يحاول تطبيق ضار رفع الامتيازات من أجل الوصول إلى حركة مرور الشبكة. يمكن للخصم إعادة توجيه حركة مرور الشبكة إلى بوابة يتحكم فيها من خلال إنشاء اتصال VPN أو تغيير إعدادات الخادم الوكيل على الجهاز الذي تمت مهاجمته. مثال على ذلك هو القدرة على إعادة توجيه حركة مرور الشبكة عن طريق تثبيت ملف تعريف تكوين iOS ضار (
رابط إلى المصدر ).
نصائح
أمنية: راجع بعناية التطبيق الذي يطلب وصول VPN قبل السماح باستخدامه. تشفير حركة المرور ليست فعالة دائما ، لأن يمكن للخصم اعتراض حركة المرور قبل تشفيرها. يتصور كل من iOS و Android إنشاء اتصال VPN في شريط الحالة العلوي للجهاز.
منصة: دائرة الرقابة الداخلية
الوصف: أنظمة عناوين URL (كما تدعوهم Apple) عبارة عن معالجات URL يمكن استدعاءها بواسطة متصفح Safari أو استخدامها من قبل تطبيق لاستدعاء تطبيق آخر. على سبيل المثال ، يمكن استخدام مخطط tel: لبدء تشغيل تطبيق الهاتف والطلب على رقم معين عن طريق وضع رمز HTML المقابل في الصفحة المقصودة:
<iframe src="tel:"></iframe>
مخطط Skype: بدء مكالمة Skype ":
<iframe src="skype:user?call"></iframe>
يسمح نظام التشغيل iOS للتطبيقات من مختلف المطورين بمشاركة مخططات عناوين URL نفسها. يمكن للتطبيق الضار التسجيل ضارًا باستخدام مخطط URL الخاص بتطبيق آخر ، مما سيسمح له باعتراض مكالمة إلى تطبيق شرعي واستخدام واجهة التصيد للحصول على بيانات اعتماد المستخدم أو رموز ترخيص OAuth.
توصيات الحماية: أثناء تحليل أمان التطبيق ، تحقق من وجود أنظمة عناوين URL التي يحتمل أن تكون خطرة. أعط الأفضلية للبرامج التي تستخدم الارتباطات العالمية كبديل لأنظمة عناوين URL (هذا رابط يعيد المستخدم توجيهه إلى تطبيق مثبت محدد).
النظام الأساسي: Android ، iOS
الوصف: يتم استخدام خداع واجهة المستخدم لخداع المستخدم في توفير معلومات سرية ، بما في ذلك بيانات الاعتماد أو التفاصيل المصرفية أو البيانات الشخصية.
استبدال واجهة المستخدم للتطبيقات المشروعة أو وظائف الجهازعلى كل من Android و iOS ، يمكن للخصم انتحال واجهة المستخدم لتطبيق شرعي أو وظيفة جهاز ، مما يجبر المستخدم على إدخال معلومات حساسة. قد يجعل حجم أجهزة العرض المحدود للأجهزة المحمولة (مقارنة بجهاز كمبيوتر) من الممكن للمستخدم تقديم معلومات سياقية (على سبيل المثال ، عرض عنوان الموقع بالكامل) الذي قد ينبه المستخدم إلى الخطر. يمكن للمهاجم أيضًا استخدام هذه التقنية دون أن يكون موجودًا على جهاز محمول ، على سبيل المثال ، من خلال صفحة ويب مزيفة.
استبدال طلب شرعيقد يكرر تطبيق ضار التطبيق المستهدف تمامًا - استخدم نفس الاسم والرمز وسيتم تثبيته على الجهاز من خلال متجر تطبيقات مرخص أو تسليمه بطرق أخرى (
انظر تقنيات تسليم التطبيق ) ، ثم اطلب من المستخدم إدخال معلومات سرية.
إساءة استخدام قدرات نظام التشغيل للتداخل مع تطبيق مشروعفي الإصدارات الأقدم من Android ، قد يستخدم تطبيق ضار وظائف نظام التشغيل العادية للتداخل مع تطبيق قيد التشغيل. نحن نتحدث عن طريقة
ActivityManager.getRunnigTasks القديمة (المتاحة على أندرويد قبل الإصدار 5.1.1) ، والتي تتيح لك الحصول على قائمة بعمليات نظام التشغيل وتحديد تطبيق أمامي ، على سبيل المثال ، لإطلاق واجهة مزدوجة وهمية.
توصيات الحماية: في بيئة الشركة ، يوصى بإجراء عمليات فحص للتطبيق للتأكد من عدم وجود ثغرات أمنية وإجراءات غير مرغوب فيها (ضارة أو تنتهك السرية) أو تنفيذ سياسات تقييد التطبيق أو إحضار سياسات الجهاز الخاص بك (إحضار جهازك الخاص) التي تفرض قيودًا فقط للجزء الذي تسيطر عليه المؤسسة من الجهاز. سيساعد التدريب والدورات التدريبية وأدلة المستخدم في دعم تكوين معين من أجهزة الشركة ، وفي بعض الأحيان تمنع إجراءات مستخدم محفوفة بالمخاطر.
يمكن لأنظمة EMM / MDM أو حلول أخرى لحماية الأجهزة المحمولة اكتشاف التطبيقات غير المرغوب فيها أو الضارة على أجهزة الشركة تلقائيًا. يتمتع مطورو البرامج عادةً بالقدرة على فحص متاجر التطبيقات بحثًا عن تطبيقات غير مصرح بها تم إرسالها باستخدام معرف مطور البرامج الخاص بهم.
يوصى باستخدام أحدث إصدارات أنظمة تشغيل الأجهزة المحمولة فقط ، والتي ، كقاعدة عامة ، لا تحتوي على تصحيحات فحسب ، بل تحتوي أيضًا على بنية أمان محسّنة توفر مقاومة لأوجه الضعف التي لم يتم اكتشافها من قبل.