Liens vers toutes les parties:Partie 1. Accès initial à un appareil mobile (accès initial)Partie 2. Persistance et escaladePartie 3. Obtention de l'accès aux informations d'identification (accès aux informations d'identification)Partie 4. Évasion de la défensePartie 5. Découverte et mouvement latéralJe commence la prochaine série de publications ( voir les précédentes ) consacrées à l'étude des tactiques et techniques de mise en œuvre des attaques de pirates, incluses dans la base de connaissances MITRE ATT & CK. La section décrira les techniques utilisées par les cybercriminels à chaque étape de la chaîne d'attaque sur les appareils mobiles.Under the cut - les principaux vecteurs de compromission des appareils mobiles, visant à obtenir par l'attaquant une "présence" dans le système attaqué.
L'auteur n'est pas responsable des conséquences possibles de l'application des informations énoncées dans l'article, et s'excuse également pour d'éventuelles inexactitudes faites dans certaines formulations et termes. Les informations publiées sont une nouvelle version gratuite du contenu de ATT @ CK Mobile Matrices: Device Access .Plateforme: Android, iOS
Description: Les applications malveillantes sont le moyen le plus courant pour un attaquant de "être présent" sur les appareils mobiles. Les systèmes d'exploitation mobiles sont souvent configurés pour installer des applications uniquement à partir de magasins autorisés (Google Play Store ou Apple App Store), de sorte que l'adversaire peut essayer de placer leur application malveillante dans un magasin d'applications autorisé.
Les magasins d'applications nécessitent généralement l'enregistrement du développeur et disposent d'outils pour détecter les applications malveillantes, mais les opposants peuvent utiliser certaines méthodes pour contourner la protection du magasin:
- Téléchargez du code malveillant pendant l'exécution de l'application après l'avoir installé à partir du magasin d'applications;
- Obscurcissement de fichiers et d'informations;
- Utilisation d'informations d'identification compromises et de signatures numériques de développeurs d'applications mobiles de bonne foi;
- Tester la possibilité de contourner les systèmes pour une analyse automatisée de la sécurité des applications mobiles dans le magasin d'applications.
Un adversaire peut intentionnellement placer du code malveillant dans une application pour déterminer s'il fonctionne dans l'environnement d'analyse de sécurité du magasin cible et, si nécessaire, désactiver le lancement de contenu malveillant pendant l'analyse. Les attaquants peuvent également utiliser de fausses identités, des cartes de paiement, etc. lors de la création de comptes de développeur pour la publication ultérieure d'applications malveillantes dans les magasins.
De plus, les opposants peuvent également utiliser des comptes d'utilisateurs Google compromis pour profiter de l'installation à distance d'applications sur des appareils Android associés à un compte Google contrôlé (en utilisant cette technique, vous ne pouvez installer des applications qu'à partir du Google Play Store à distance).
Recommandations de protection: dans un environnement d'entreprise, il est recommandé d'effectuer des vérifications des applications pour détecter les vulnérabilités et les actions indésirables (malveillantes ou violant la confidentialité), mettre en œuvre des politiques de restriction des applications ou apporter des politiques BYOD (apporter votre propre appareil) (apporter votre propre appareil) qui imposent des restrictions uniquement à la partie de l'appareil contrôlée par l'entreprise. La formation, les formations et les guides de l'utilisateur aideront à prendre en charge une certaine configuration des appareils de l'entreprise, et parfois même à empêcher des actions utilisateur à risque spécifiques.
Les systèmes EMM / MDM ou d'autres solutions de protection des appareils mobiles peuvent détecter automatiquement les applications indésirables ou malveillantes sur les appareils d'entreprise. Les développeurs de logiciels ont généralement la possibilité de rechercher dans les magasins d'applications les applications non autorisées envoyées à l'aide de leur ID de développeur.
Plateforme: Android, iOS
Description: malgré l'interdiction éventuelle d'installer des applications de sources tierces sur le périphérique cible, un adversaire peut délibérément éviter de placer une application malveillante dans les magasins d'applications autorisés afin de réduire le risque de détection potentielle.
Méthodes alternatives de livraison des applications:- Pièce jointe Spearphishing - application en tant que pièce jointe à un message électronique;
- Lien de phishing - un lien vers un package d'application mobile dans un e-mail ou un message texte (SMS, iMessage, Hangouts, WhatsApp, etc.), un site Web, un code QR b, etc.;
- Magasin d'applications tiers - l'application est publiée dans le magasin d'applications, dans lequel il n'existe aucun contrôle de sécurité similaire à un magasin autorisé.
Dans le cas d'iOS, un adversaire peut également essayer d'obtenir une paire de clés et un certificat de clé de distribution d'entreprise afin de propager l'application malveillante sans publier sur l'AppStore.
Recommandations de protection: dans iOS, l'activation des paramètres
allowEnterpriseAppTrust et
allowEnterpriseAppTrustModification empêchera les utilisateurs d'installer des applications signées par la clé de distribution Enterprise.
iOS version 9 et supérieure nécessite le consentement explicite de l'utilisateur pour installer l'application de clé de distribution d'entreprise signée et non depuis l'AppStore, donc les utilisateurs doivent être formés à ne pas accepter d'installer l'application s'ils ne sont pas sûrs de la source de la distribution de l'application.
Sur Android, pour installer des applications à partir de sources tierces, le paramètre «Sources inconnues» doit être activé, les utilisateurs doivent donc être formés à l'activation et au contrôle de ce paramètre.
EMM / MDM ou d'autres solutions de protection des appareils mobiles peuvent identifier la présence d'applications installées à partir de sources tierces, identifier les appareils Android autorisés à installer des applications à partir de sources tierces et déterminer la présence de packages d'applications Android ou iOS dans les e-mails.
Plateforme: Android, iOS
Description: un adversaire peut accéder à un système mobile grâce à un téléchargement de code caché, qui est exécuté lorsqu'un utilisateur visite un site Web contrôlé par un attaquant. La mise en œuvre de cette technique nécessite une vulnérabilité correspondante dans le navigateur Web de l'utilisateur. Par exemple, un site Web peut contenir du contenu multimédia malveillant conçu pour exploiter la
vulnérabilité Stagefright dans Android.
Recommandations de protection: Achetez des appareils auprès de fournisseurs ou d'opérateurs mobiles qui garantissent la fourniture rapide de mises à jour de sécurité. Vous devez cesser d'utiliser des appareils vulnérables qui ne reçoivent pas de mises à jour de sécurité en raison de l'expiration de la période d'assistance.
Dans un environnement d'entreprise, il est recommandé de restreindre et de bloquer l'accès aux ressources d'entreprise à partir d'appareils mobiles sur lesquels les dernières mises à jour de sécurité ne sont pas installées. L'accès à partir d'appareils Android peut être contrôlé en fonction des correctifs. L'accès à partir d'appareils iOS peut être contrôlé en fonction de la version du système d'exploitation.
Il est recommandé d'utiliser uniquement les dernières versions des systèmes d'exploitation mobiles, qui, en règle générale, contiennent non seulement des correctifs, mais également une architecture de sécurité améliorée qui offre une résistance aux vulnérabilités précédemment non détectées.
Plateforme: Android, iOS
Description: un appareil mobile peut être connecté (généralement via USB) à une station de charge ou un PC compromis, avec lequel un adversaire peut essayer d'accéder à l'appareil.
Démonstrations célèbres d'attaques réussies:
- L'introduction d'applications malveillantes dans les appareils iOS ( source );
- Exploiter les vulnérabilités du Nexus 6 ou 6P via USB, notamment intercepter les appels téléphoniques, le trafic réseau et recevoir des données sur l'emplacement physique de l'appareil;
- Exploiter les vulnérabilités Android via USB en utilisant l'exemple de Google Pixel 2.
Les produits Cellebrite et Grayshift devraient utiliser un accès physique aux ports de données pour déverrouiller les mots de passe sur certains appareils iOS.
Recommandations de protection: les politiques de sécurité de l'entreprise doivent empêcher l'inclusion du débogage USB sur les appareils Android (si cela n'est pas nécessaire, par exemple, lorsque l'appareil est utilisé pour le développement d'applications). Sur les appareils qui permettent de déverrouiller le chargeur de démarrage, vous permettant de modifier le micrologiciel, des vérifications périodiques sont nécessaires pour verrouiller réellement le chargeur de démarrage.
Il n'est pas recommandé d'utiliser des bornes de recharge publiques ou des ordinateurs pour charger vos appareils. Fournissez aux utilisateurs des chargeurs achetés auprès d'un fournisseur de confiance. Il n'est pas recommandé aux utilisateurs d'ajouter des appareils fiables, sauf si cela est nécessaire.
Description: Des vulnérabilités peuvent être exploitées via l'interface de communication cellulaire ou d'autres interfaces radio.
Exploits de la bande de baseUn message envoyé à un appareil mobile via une interface radio (généralement cellulaire, mais aussi bluetooth, GPS, NFC,
Wi-Fi , etc.) peut exploiter les
vulnérabilités du code qui traite le message reçu (par exemple, une
vulnérabilité dans Samsung S6) .
SMS malveillantsUn SMS peut contenir du contenu conçu pour exploiter les
vulnérabilités de l'analyseur SMS sur l'appareil récepteur. Les SMS peuvent également contenir un lien vers un site Web contenant du contenu malveillant.
Les cartes SIM vulnérables peuvent être exploitées et reprogrammées à distance à l'aide de messages SMS.
Recommandations de protection: Achetez des appareils auprès de fournisseurs ou d'opérateurs mobiles qui garantissent la fourniture rapide de mises à jour de sécurité. Vous devez cesser d'utiliser des appareils vulnérables qui ne reçoivent pas de mises à jour de sécurité en raison de l'expiration de la période d'assistance.
Dans un environnement d'entreprise, il est recommandé de restreindre et de bloquer l'accès aux ressources d'entreprise à partir d'appareils mobiles sur lesquels les dernières mises à jour de sécurité ne sont pas installées. L'accès à partir d'appareils Android peut être contrôlé en fonction des correctifs. L'accès à partir d'appareils iOS peut être contrôlé en fonction de la version du système d'exploitation.
Il est recommandé d'utiliser uniquement les dernières versions des systèmes d'exploitation mobiles, qui, en règle générale, contiennent non seulement des correctifs, mais également une architecture de sécurité améliorée qui offre une résistance aux vulnérabilités précédemment non détectées.
Plateforme: Android, iOS
Description: un adversaire peut essayer d'installer une configuration dangereuse ou malveillante sur un appareil mobile en utilisant un message de phishing ou un message texte contenant un fichier de configuration en pièce jointe ou un lien Web vers les paramètres de configuration. Lors de la définition des paramètres de configuration, l'utilisateur peut être trompé en utilisant des méthodes d'ingénierie sociale. Par exemple, un certificat indésirable d'une autorité de certification (CA) peut être placé dans le magasin de certificats de confiance de l'appareil, ce qui augmente la vulnérabilité de l'appareil aux attaques de l'homme du milieu.
Sur iOS, les profils de configuration malveillants peuvent contenir des certificats d'autorité de certification (CA) indésirables ou d'autres paramètres non sécurisés, tels que l'adresse d'un proxy ou d'un serveur VPN indésirable pour acheminer le trafic des périphériques via un système attaquant. L'appareil peut également être inscrit dans un système ennemi de gestion des appareils mobiles (MDM).
Recommandations de protection: dans iOS 10.3 et versions ultérieures, une étape supplémentaire a été ajoutée qui nécessite une action de l'utilisateur pour installer de nouveaux certificats de CA de confiance. Sur Android, les applications compatibles avec Android 7 et versions supérieures (API niveau 24), par défaut, ne font confiance qu'aux certificats d'autorité de certification fournis avec le système d'exploitation, et non ajoutés par l'utilisateur ou l'administrateur, ce qui réduit généralement la vulnérabilité du système d'exploitation aux attaques de la personne intermédiaire.
En règle générale, les paramètres de configuration dangereux ou malveillants ne sont pas définis sans le consentement de l'utilisateur, les utilisateurs doivent donc savoir qu'ils ne doivent pas définir de paramètres de configuration inattendus (certificats CA, profils de configuration iOS, établissement d'une connexion à MDM).
Sur Android, un utilisateur peut afficher les certificats d'autorité de certification approuvés via les paramètres de l'appareil pour identifier les certificats suspects. Les systèmes de sécurité d'entreprise pour les appareils mobiles peuvent également rechercher automatiquement des anomalies dans le magasin de certificats.
Sur iOS, un utilisateur peut afficher les profils de configuration installés via les paramètres de l'appareil et identifier les profils suspects. De même, les systèmes MDM peuvent utiliser l'API iOS MDM pour vérifier les listes de profils installés pour les anomalies.
Plateforme: Android, iOS
Description: ayant un accès physique à un appareil mobile, un adversaire peut essayer de contourner l'écran de verrouillage de l'appareil.
Usurpation biométriqueUn adversaire peut tenter de tromper le mécanisme d'authentification biométrique. iOS atténue partiellement cette attaque en exigeant un mot de passe d'appareil, pas une empreinte digitale, après chaque redémarrage et 48 heures après le dernier déverrouillage. Android dispose de mécanismes de protection similaires.
Devinez le code de déverrouillage ou une simple rechercheUn adversaire peut essayer de deviner ou, d'une autre manière, deviner le code d'accès, y compris l'observation physique (surf sur sohulder) pendant que l'utilisateur utilise l'appareil.
Autres exploits d'écran de verrouillageAndroid 5 et iOS 6 et d'autres appareils mobiles montrent périodiquement comment exploiter les vulnérabilités pour contourner l'écran de verrouillage. Les vulnérabilités sont généralement corrigées par l'appareil ou le développeur du système d'exploitation dès qu'ils prennent conscience de leur existence.
Recommandations de protection: les politiques de sécurité d'entreprise pour les appareils mobiles doivent définir des exigences pour la complexité des mots de passe sur l'appareil. La politique de l'entreprise peut inclure la destruction automatique de toutes les données sur l'appareil lors de la saisie répétée du mauvais mot de passe. Ces deux politiques visent à empêcher les attaques par force brute, à deviner ou à "espionner" les codes d'accès.
Si nécessaire, la politique de l'entreprise peut également interdire l'authentification biométrique. Cependant, l'authentification biométrique est plus pratique que l'utilisation d'un code d'accès long et complexe, car vous n'avez pas à l'entrer à chaque fois.
Il est recommandé d'installer les mises à jour de sécurité et d'utiliser les dernières versions du système d'exploitation mobile.
Plateforme: Android, iOS
Description: un adversaire peut télécharger une application, la désassembler, ajouter du code malveillant, puis la réassembler (
exemple ). L'application reconstruite ressemblera à l'original, mais contiendra des fonctions malveillantes supplémentaires. Ensuite, une telle application peut être publiée dans des magasins d'applications ou livrée à l'appareil en utilisant d'autres techniques.
Recommandations de protection: installez les applications uniquement à partir de magasins autorisés qui sont moins susceptibles de contenir des applications malveillantes reconditionnées.
Les systèmes EMM / MDM et d'autres outils de sécurité des applications mobiles de niveau entreprise peuvent détecter automatiquement les applications indésirables, inconnues, non sécurisées ou malveillantes sur les appareils.
Plateforme: Android, iOS
Description: Un compromis de la chaîne d'approvisionnement est une modification d'un produit logiciel et des mécanismes de livraison de produit avant qu'ils ne soient reçus par un consommateur afin de compromettre des données ou un système. Les opposants peuvent exploiter des vulnérabilités non intentionnelles, il est donc difficile dans de nombreux cas de déterminer si la fonctionnalité vulnérable est le résultat d'une erreur malveillante ou involontaire.
Identification des vulnérabilités dans les bibliothèques de logiciels tiersLes bibliothèques tierces incluses dans les applications mobiles peuvent contenir du code malveillant qui viole la confidentialité ou crée des vulnérabilités. Il existe des exemples connus de vulnérabilités et de problèmes de sécurité dans les bibliothèques de publicité mobile.
Distribution d'outils de développement de logiciels malveillantsComme l'attaque
XcodeGhost l'a démontré , les développeurs d'applications peuvent utiliser des versions modifiées d'outils de développement logiciel (par exemple, des compilateurs) qui injectent automatiquement du code malveillant ou des vulnérabilités dans l'application.
Recommandations de protection: les bibliothèques tierces non sécurisées peuvent être détectées par diverses méthodes de vérification des applications. Par exemple, le programme d'amélioration de la sécurité des applications Google détecte l'utilisation de bibliothèques tierces présentant des vulnérabilités connues dans les applications Android disponibles sur le Google Play Store. Les outils de développement de logiciels malveillants et les outils de développement de logiciels modifiés peuvent être détectés à l'aide de systèmes de surveillance de l'intégrité des fichiers sur les ordinateurs des développeurs.