Liens vers toutes les parties:Partie 1. Accès initial à un appareil mobile (accès initial)Partie 2. Persistance et escaladePartie 3. Obtention de l'accès aux informations d'identification (accès aux informations d'identification)Partie 4. Évasion de la défensePartie 5. Découverte et mouvement latéralLes opposants utilisent diverses méthodes de capture de mots de passe, jetons, clés cryptographiques et autres informations d'identification pour mettre en œuvre un accès non autorisé aux ressources d'un appareil mobile. L'obtention d'informations d'identification légitimes par un adversaire vous permet d'identifier et d'obtenir toutes les autorisations d'un compte compromis dans un système ou un réseau, ce qui rend difficile la détection d'une activité malveillante. Avec un accès approprié, un adversaire peut également créer des comptes légitimes pour son utilisation dans un environnement attaqué.
L'auteur n'est pas responsable des conséquences possibles de l'application des informations énoncées dans l'article, et s'excuse également pour d'éventuelles inexactitudes faites dans certaines formulations et termes. Les informations publiées sont une nouvelle version gratuite du contenu de ATT @ CK Mobile Matrices: Device Access .Plateforme: Android
Description: Android Accessibility Features est une boîte à outils pour les personnes handicapées. Une application malveillante peut utiliser les fonctionnalités d'accessibilité d'Android pour obtenir des données sensibles ou effectuer des actions malveillantes. Le fait est que les API qui fournissent des services d'accessibilité vous permettent d'accéder au contenu des interfaces avec lesquelles l'utilisateur interagit (par exemple, lire ou créer un e-mail, modifier un document, etc.). Cette fonctionnalité permet aux personnes handicapées de travailler avec des applications mobiles publiques. Une telle fonctionnalité du système d'exploitation attire également les auteurs de logiciels malveillants, cependant, pour activer les fonctionnalités d'accessibilité d'Android, l'utilisateur doit effectuer un certain nombre de manipulations inhabituelles avec un avertissement de sécurité à la fin.
Recommandations de protection: la version du système d'exploitation Android 7.0 et supérieur inclut une protection supplémentaire contre cette technique. Avant d'autoriser l'installation de l'application dans un environnement d'entreprise, il est recommandé de la vérifier pour un éventuel abus des fonctionnalités d'accessibilité ou de mettre en œuvre le service de réputation des applications mobiles pour identifier les applications malveillantes connues.
Plateforme: Android
Description: dans Android avant la version 4.1, un attaquant peut utiliser une application malveillante disposant de l'autorisation READ_LOGS pour obtenir des clés privées, des mots de passe et d'autres informations d'identification et des données confidentielles stockées dans le journal système de l'appareil. Dans Android 4.1 et versions ultérieures, un attaquant ne peut accéder au journal qu'après avoir réussi à augmenter les privilèges sur le système d'exploitation.
Recommandations de protection: Si vous êtes un développeur d'applications mobiles, vous ne devez pas écrire de données sensibles dans le journal système des applications de production.
À partir d'Android 4.1, les applications ne peuvent pas accéder au journal système (à l'exception des entrées ajoutées par l'application elle-même). Avec un accès physique à l'appareil, le journal système peut être obtenu via USB à l'aide de l'utilitaire
Android Debug Bridge (adb) .
Plateforme: Android, iOS
Description: un attaquant peut tenter de lire des fichiers contenant des informations confidentielles ou des informations d'identification (clés privées, mots de passe, jetons d'accès). Cette méthode nécessite soit des privilèges élevés dans le système d'exploitation, soit la présence d'une application cible dans le système qui stocke les données de manière non sécurisée (avec des droits d'accès non sécurisés ou dans un endroit non sécurisé, par exemple, dans un répertoire de stockage externe).
Recommandations de protection: assurez-vous que les applications que vous utilisez ne stockent pas de données sensibles avec des droits non sécurisés ou dans un endroit non sécurisé. Android et iOS offrent la possibilité de stocker les informations d'identification dans le matériel dans un endroit isolé où elles ne seront pas compromises même si les privilèges augmentent avec succès. Android 7 fournit des autorisations de fichiers par défaut plus élevées dans le répertoire interne de l'application, ce qui réduit la possibilité d'utiliser des droits non sécurisés.
Plateforme: Android
Description: Android Intent ou Intent est un objet de messagerie interprocessus avec lequel une application peut demander une action Ă un composant d'une autre application. Une application malveillante peut s'inscrire pour recevoir des intentions pour d'autres applications, puis recevoir des valeurs confidentielles, telles que les codes d'autorisation du protocole OAuth.
Recommandations de protection: Le processus de vérification des applications pour détecter d'éventuelles faiblesses devrait inclure l'identification de l'utilisation non sûre des intentions. Les développeurs d'applications mobiles doivent utiliser des méthodes pour garantir que les intentions ne sont envoyées qu'à la destination appropriée (par exemple, utiliser des intentions explicites, vérifier les autorisations, vérifier le certificat de l'application cible ou utiliser les
liens d'application (une fonction par laquelle un utilisateur est redirigé vers un lien vers l'application cible en contournant la boîte de dialogue de sélection d'application). ), ajouté dans Android 6.0. Pour les applications mobiles utilisant OAuth, il est recommandé de suivre les
meilleures pratiques .
Plateforme: Android, iOS
Description: des applications malveillantes peuvent essayer de capturer des données sensibles stockées dans le presse-papiers de l'appareil, par exemple, des mots de passe copiés / collés à partir de l'application Gestionnaire de mots de passe.
Recommandations de protection: dans un environnement d'entreprise, il est recommandé de mettre en œuvre des processus de vérification des vulnérabilités et des actions indésirables des applications, des stratégies de restriction d'installation des applications et des stratégies BYOD (Bring Your Own Device) qui n'imposent des restrictions qu'à la partie de l'appareil contrôlée par l'entreprise. Les systèmes EMM / MDM ou d'autres solutions de sécurité pour appareils mobiles peuvent détecter la présence d'applications indésirables ou malveillantes sur les appareils de l'entreprise.
Plateforme: Android, iOS
Description: une application malveillante peut collecter des données sensibles envoyées par SMS, y compris des données d'authentification. Les messages SMS sont souvent utilisés pour transmettre des codes d'authentification multifactoriels.
L'application Android doit demander et recevoir l'autorisation de recevoir des messages SMS lors de l'installation ou de l'exécution. Une application malveillante peut également essayer d'élever des privilèges pour contourner cette protection. Les applications iOS ne peuvent pas accéder aux messages SMS pendant le fonctionnement normal, donc l'ennemi devra d'abord effectuer une attaque sur l'escalade de privilèges.
Recommandations de protection: dans un environnement d'entreprise, il est recommandé de pré-vérifier les applications pour obtenir l'autorisation RECEIVE_SMS. Si cette autorisation est détectée, l'application nécessite une analyse détaillée.
Plateforme: Android
Description: des applications malveillantes ou d'autres vecteurs d'attaque peuvent être utilisés pour exploiter les vulnérabilités du code exécuté dans un environnement de confiance (TEE). L'adversaire peut alors obtenir les privilèges dont TEE dispose, notamment la possibilité d'accéder à des clés cryptographiques ou à d'autres données sensibles. Pour attaquer TEE, un adversaire peut d'abord avoir besoin de privilèges élevés sur le système d'exploitation. Sinon, les privilèges TEE peuvent être utilisés pour exploiter les vulnérabilités du système d'exploitation.
Recommandations de protection: recherchez dans l'application des vulnérabilités connues. Mises à jour de sécurité. Utilisation des dernières versions du système d'exploitation.
Plateforme: Android, iOS
Description: une application malveillante peut s'enregistrer en tant que clavier de l'appareil et intercepter les frappes pendant que l'utilisateur entre des données sensibles, telles que le nom d'utilisateur et le mot de passe.
Recommandations de protection: les applications sont rarement enregistrées en tant que claviers, de sorte que les applications qui le font doivent être soigneusement analysées lors de la vérification préliminaire. IOS et Android nécessitent l'autorisation explicite de l'utilisateur pour utiliser des claviers logiciels tiers. Il est conseillé aux utilisateurs de faire preuve d'une extrême prudence avant d'accorder une telle autorisation (sur demande).
Plateforme: Android, iOS
Description: un attaquant peut capturer le trafic entrant et sortant ou rediriger le trafic réseau pour passer par une passerelle contrôlée par l'ennemi afin d'obtenir des informations d'identification et d'autres données sensibles.
Une application malveillante peut s'inscrire en tant que client VPN sur Android ou iOS pour accéder aux paquets réseau. Cependant, sur les deux plates-formes, l'utilisateur doit donner son consentement à l'application pour exécuter les fonctions d'un client VPN, et sur iOS, l'application nécessite une autorisation spéciale d'Apple.
Alternativement, une application malveillante peut tenter d'élever des privilèges afin d'accéder au trafic réseau. Un adversaire peut rediriger le trafic réseau vers une passerelle qu'il contrôle en établissant une connexion VPN ou en modifiant les paramètres de proxy sur le périphérique attaqué. Un exemple est la possibilité de rediriger le trafic réseau en installant un profil de configuration iOS malveillant (
lien vers la source ).
Conseils de
sécurité: examinez attentivement l'application qui demande l'accès VPN avant d'autoriser son utilisation. Le chiffrement du trafic n'est pas toujours efficace, car un adversaire peut intercepter le trafic avant qu'il ne soit chiffré. IOS et Android visualisent tous deux l'établissement d'une connexion VPN dans la barre d'état supérieure de l'appareil.
Plateforme: iOS
Description: les schémas d'URL (comme Apple les appelle) sont des gestionnaires d'URL qui peuvent être invoqués par le navigateur Safari ou utilisés par une application pour appeler une autre application. Par exemple, le schéma tel: peut être utilisé pour lancer l'application Téléphone et composer un numéro spécifique en plaçant le code HTML correspondant sur la page de destination:
<iframe src="tel:"></iframe>
Schéma Skype: démarrer un appel Skype ":
<iframe src="skype:user?call"></iframe>
iOS permet aux applications de différents développeurs de partager les mêmes schémas d'URL. Une application malveillante peut s'inscrire de manière malveillante à l'aide du schéma d'URL d'une autre application, ce qui lui permettra d'intercepter un appel vers une application légitime et d'utiliser l'interface de phishing pour obtenir les informations d'identification de l'utilisateur ou les codes d'autorisation OAuth.
Recommandations de protection: lors de l'analyse de la sécurité des applications, vérifiez la présence de schémas d'URL potentiellement dangereux. Privilégiez les programmes qui utilisent des liens universels comme alternative aux schémas d'URL (il s'agit d'un lien que l'utilisateur redirige vers une application installée spécifique).
Plateforme: Android, iOS
Description: l' usurpation de l'interface utilisateur est utilisée pour inciter l'utilisateur à fournir des informations confidentielles, notamment des informations d'identification, des coordonnées bancaires ou des données personnelles.
Substitution d'interface utilisateur d'applications ou de fonctions d'appareil légitimesSur Android et iOS, un adversaire peut se faire passer pour l'interface utilisateur d'une application ou d'une fonction d'appareil légitime, forçant l'utilisateur à saisir des informations sensibles. La taille d'affichage limitée des appareils mobiles (par rapport à un PC) peut rendre moins possible pour l'utilisateur de fournir des informations contextuelles (par exemple, afficher l'adresse complète du site Web) qui pourraient alerter l'utilisateur sur le danger. Un attaquant peut également utiliser cette technique sans être présent sur un appareil mobile, par exemple via une fausse page Web.
Substitution d'une demande légitimeUne application malveillante peut répéter complètement l'application cible - utiliser le même nom, la même icône et être installée sur l'appareil via un magasin d'applications autorisé ou remise d'autres manières (
voir les techniques de livraison des applications ), puis demander Ă l'utilisateur d'entrer des informations confidentielles.
Utilisation abusive des capacités du système d'exploitation pour interférer avec une application légitimeDans les anciennes versions d'Android, une application malveillante peut utiliser les fonctions normales du système d'exploitation pour interférer avec une application en cours d'exécution. Nous parlons de la méthode obsolète
ActivityManager.getRunnigTasks (disponible sur Android avant la version 5.1.1), qui vous permet d'obtenir une liste de processus OS et de définir une application de premier plan, par exemple, pour lancer une fausse double interface.
Recommandations de protection: dans un environnement d'entreprise, il est recommandé d'effectuer des vérifications des applications pour détecter les vulnérabilités et les actions indésirables (malveillantes ou violant la confidentialité), mettre en œuvre des politiques de restriction des applications ou apporter des politiques BYOD (apporter votre propre appareil) (apporter votre propre appareil) qui imposent des restrictions uniquement à la partie de l'appareil contrôlée par l'entreprise. L'éducation, la formation et les guides d'utilisation aideront à prendre en charge une configuration spécifique des appareils de l'entreprise, et parfois même à empêcher des actions spécifiques à risque pour les utilisateurs.
Les systèmes EMM / MDM ou d'autres solutions de protection des appareils mobiles peuvent détecter automatiquement les applications indésirables ou malveillantes sur les appareils d'entreprise. Les développeurs de logiciels ont généralement la possibilité de rechercher dans les magasins d'applications des applications non autorisées envoyées à l'aide de leur identifiant de développeur.
Il est recommandé d'utiliser uniquement les dernières versions des systèmes d'exploitation mobiles, qui, en règle générale, contiennent non seulement des correctifs, mais également une architecture de sécurité améliorée qui offre une résistance aux vulnérabilités précédemment non détectées.