सभी भागों के लिंक:भाग 1. मोबाइल डिवाइस पर प्रारंभिक एक्सेस (आरंभिक एक्सेस)भाग 2. दृढ़ता और वृद्धिभाग 3. क्रेडेंशियल एक्सेस प्राप्त करना (क्रेडेंशियल एक्सेस)भाग 4. रक्षा चोरीभाग 5. डिस्कवरी और पार्श्व आंदोलनविरोधियों ने मोबाइल डिवाइस के संसाधनों तक अनधिकृत पहुंच को लागू करने के लिए पासवर्ड, टोकन, क्रिप्टोग्राफिक कुंजी और अन्य क्रेडेंशियल्स कैप्चर करने के विभिन्न तरीकों का उपयोग किया है। एक विरोधी द्वारा वैध क्रेडेंशियल्स प्राप्त करना आपको एक सिस्टम या नेटवर्क में एक समझौता किए गए खाते की सभी अनुमतियों को पहचानने और प्राप्त करने की अनुमति देता है, जिससे दुर्भावनापूर्ण गतिविधि का पता लगाना मुश्किल हो जाता है। उचित पहुंच को देखते हुए, एक विरोधी एक हमले के वातावरण में उनके उपयोग के लिए वैध खाते भी बना सकता है।
लेखक लेख में निर्धारित जानकारी को लागू करने के संभावित परिणामों के लिए जिम्मेदार नहीं है, और कुछ योगों और शर्तों में किए गए संभावित अशुद्धि के लिए भी माफी माँगता है। प्रकाशित जानकारी एटीटी @ सीके मोबाइल मैट्रिसेस: डिवाइस एक्सेस की सामग्री का एक मुफ्त रीटेलिंग है।प्लेटफ़ॉर्म: Android
विवरण: एंड्रॉइड एक्सेसिबिलिटी फीचर्स विकलांग लोगों के लिए एक टूलकिट है। दुर्भावनापूर्ण एप्लिकेशन संवेदनशील डेटा प्राप्त करने या दुर्भावनापूर्ण कार्य करने के लिए एंड्रॉइड एक्सेसिबिलिटी सुविधाओं का उपयोग कर सकता है। तथ्य यह है कि एपीआई जो एक्सेसिबिलिटी सेवाएं प्रदान करते हैं, आपको उपयोगकर्ता द्वारा इंटरएक्ट किए जाने वाले इंटरफेस की सामग्री का उपयोग करने की अनुमति देता है (उदाहरण के लिए, ईमेल पढ़ना या बनाना, दस्तावेज़ संपादित करना, आदि)। यह कार्यक्षमता विकलांग लोगों को सार्वजनिक मोबाइल एप्लिकेशन के साथ काम करने की क्षमता प्रदान करती है। ओएस की ऐसी कार्यक्षमता मैलवेयर लेखकों को भी आकर्षित करती है, हालांकि, एंड्रॉइड एक्सेसिबिलिटी फीचर्स को सक्रिय करने के लिए, उपयोगकर्ता को अंत में सुरक्षा चेतावनी के साथ कई असामान्य जोड़तोड़ करने चाहिए।
सुरक्षा सिफारिशें: ओएस संस्करण एंड्रॉइड 7.0 और उच्चतर में इस तकनीक के खिलाफ अतिरिक्त सुरक्षा शामिल है। एप्लिकेशन को कॉर्पोरेट वातावरण में स्थापित करने की अनुमति देने से पहले, यह अनुशंसा की जाती है कि आप इसे एक्सेसिबिलिटी सुविधाओं के संभावित दुरुपयोग के लिए जांच लें या ज्ञात दुर्भावनापूर्ण एप्लिकेशन की पहचान करने के लिए मोबाइल ऐप प्रतिष्ठा सेवा को लागू करें।
प्लेटफ़ॉर्म: Android
विवरण: 4.1 संस्करण से पहले एंड्रॉइड में, एक हमलावर एक दुर्भावनापूर्ण एप्लिकेशन का उपयोग कर सकता है जिसमें डिवाइस की सिस्टम लॉग में संग्रहीत निजी कुंजी, पासवर्ड, और अन्य क्रेडेंशियल्स और गोपनीय डेटा प्राप्त करने की READ_LOGS अनुमति है। एंड्रॉइड 4.1 और बाद में, ओएस पर सफलतापूर्वक विशेषाधिकार बढ़ाने के बाद एक हमलावर केवल लॉग तक पहुंच सकता है।
सुरक्षा सिफारिशें: यदि आप मोबाइल एप्लिकेशन के डेवलपर हैं, तो आपको उत्पादन एप्लिकेशन के सिस्टम लॉग में संवेदनशील डेटा नहीं लिखना चाहिए।
एंड्रॉइड 4.1 के साथ शुरू, एप्लिकेशन सिस्टम लॉग (एप्लिकेशन द्वारा जोड़े गए प्रविष्टियों को छोड़कर) का उपयोग नहीं कर सकते हैं। डिवाइस तक भौतिक पहुंच के साथ, सिस्टम लॉग को
एंड्रॉइड डिबग ब्रिज (एडीबी) उपयोगिता का उपयोग करके यूएसबी के माध्यम से प्राप्त किया जा सकता है।
प्लेटफ़ॉर्म: Android, iOS
विवरण: एक हमलावर गोपनीय या क्रेडेंशियल (निजी कुंजी, पासवर्ड, एक्सेस टोकन) वाली फ़ाइलों को पढ़ने का प्रयास कर सकता है। इस पद्धति के लिए या तो ओएस में उन्नत विशेषाधिकार या सिस्टम में एक लक्ष्य एप्लिकेशन की उपस्थिति की आवश्यकता होती है जो डेटा को असुरक्षित तरीके से (असुरक्षित पहुंच अधिकारों के साथ या असुरक्षित स्थान पर, उदाहरण के लिए, बाहरी संग्रहण निर्देशिका में) संग्रहीत करता है।
सुरक्षा सिफारिशें: सुनिश्चित करें कि आपके द्वारा उपयोग किए जाने वाले एप्लिकेशन असुरक्षित डेटा को असुरक्षित अधिकारों के साथ या असुरक्षित स्थान पर संग्रहीत नहीं करते हैं। एंड्रॉइड और आईओएस एक अलग स्थान पर हार्डवेयर में क्रेडेंशियल्स को स्टोर करने की क्षमता प्रदान करते हैं, जहां वे विशेषाधिकार से सफलतापूर्वक समझौता करने पर भी समझौता नहीं करेंगे। एंड्रॉइड 7 एप्लिकेशन की आंतरिक निर्देशिका में उच्च डिफ़ॉल्ट फ़ाइल अनुमतियां प्रदान करता है, जिससे असुरक्षित अधिकारों का उपयोग करने की संभावना कम हो जाती है।
प्लेटफ़ॉर्म: Android
विवरण: एंड्रॉइड इंटेंट या इंटेंट एक इंटरप्रोसेस मैसेजिंग ऑब्जेक्ट है, जिसके साथ एक एप्लिकेशन दूसरे एप्लिकेशन के घटक से कार्रवाई का अनुरोध कर सकता है। एक दुर्भावनापूर्ण एप्लिकेशन अन्य अनुप्रयोगों के लिए इंटेंट प्राप्त करने के लिए पंजीकरण कर सकता है और फिर गोपनीय मान प्राप्त कर सकता है, जैसे कि OAuth प्रोटोकॉल प्राधिकरण कोड।
सुरक्षा सिफारिशें: संभावित कमजोरियों के लिए आवेदनों की जांच की प्रक्रिया में इरादों के असुरक्षित उपयोग की पहचान करना शामिल है। मोबाइल एप्लिकेशन डेवलपर्स को ऐसे तरीकों का उपयोग करना चाहिए जो केवल उचित गंतव्य तक इरादे भेजने की गारंटी देते हैं (उदाहरण के लिए, स्पष्ट इरादों का उपयोग करें, अनुमतियों की जांच करें, लक्ष्य एप्लिकेशन के प्रमाण पत्र की पुष्टि करें या
ऐप लिंक का उपयोग करें (एक फ़ंक्शन जिसके द्वारा उपयोगकर्ता को एप्लिकेशन चयन लिंक डायलॉग बॉक्स को पार करके लिंक एप्लिकेशन पर लिंक पर पुनः निर्देशित किया जाता है) ), Android 6.0 में जोड़ा गया है। OAuth का उपयोग करने वाले मोबाइल अनुप्रयोगों के लिए, यह अनुशंसा की जाती है कि आप
सर्वोत्तम प्रथाओं का पालन करें।
प्लेटफ़ॉर्म: Android, iOS
विवरण: दुर्भावनापूर्ण एप्लिकेशन डिवाइस क्लिपबोर्ड पर संग्रहीत संवेदनशील डेटा को कैप्चर करने का प्रयास कर सकते हैं, उदाहरण के लिए, पासवर्ड की प्रतिलिपि पासवर्ड मैनेजर एप्लिकेशन से कॉपी / पेस्ट की गई।
सुरक्षा सिफारिशें: कॉर्पोरेट वातावरण में, कमजोरियों और अवांछित कार्यों, एप्लिकेशन इंस्टॉलेशन प्रतिबंध नीतियों, और अपनी खुद की डिवाइस (BYOD) नीतियों को लाने के लिए प्रक्रियाओं को लागू करने की सिफारिश की जाती है जो केवल डिवाइस के उद्यम-नियंत्रित हिस्से पर प्रतिबंध लगाती हैं। ईएमएम / एमडीएम सिस्टम या अन्य मोबाइल डिवाइस सुरक्षा समाधान कॉर्पोरेट उपकरणों पर अवांछित या दुर्भावनापूर्ण एप्लिकेशन की उपस्थिति का पता लगा सकते हैं।
प्लेटफ़ॉर्म: Android, iOS
विवरण: एक दुर्भावनापूर्ण एप्लिकेशन एसएमएस संदेशों में भेजे गए संवेदनशील डेटा को इकट्ठा कर सकता है, जिसमें प्रमाणीकरण डेटा शामिल है। एसएमएस संदेश अक्सर बहु-कारक प्रमाणीकरण कोड प्रसारित करने के लिए उपयोग किए जाते हैं।
एंड्रॉइड एप्लिकेशन को इंस्टॉलेशन या निष्पादन के दौरान एसएमएस संदेश प्राप्त करने के लिए अनुरोध और अनुमति लेनी होगी। वैकल्पिक रूप से, एक दुर्भावनापूर्ण एप्लिकेशन इस सुरक्षा को दरकिनार करने के लिए विशेषाधिकारों को बढ़ाने की कोशिश कर सकता है। iOS एप्लिकेशन नियमित संचालन के दौरान एसएमएस संदेशों तक नहीं पहुंच सकते हैं, इसलिए दुश्मन को पहले विशेषाधिकार वृद्धि पर एक हमला करने की आवश्यकता होगी।
सुरक्षा सिफारिशें: कॉर्पोरेट वातावरण में, यह अनुशंसा की जाती है कि RECEIVE_SMS की अनुमति के लिए आवेदन पूर्व-स्कैन किए जाएं। यदि इस अनुमति का पता लगाया जाता है, तो आवेदन के लिए एक विस्तृत विश्लेषण की आवश्यकता होती है।
प्लेटफ़ॉर्म: Android
विवरण: दुर्भावनापूर्ण एप्लिकेशन या अन्य अटैक वैक्टर का उपयोग विश्वसनीय निष्पादन वातावरण (TEE) में निष्पादित कोड में कमजोरियों का फायदा उठाने के लिए किया जा सकता है। फिर विरोधी को वे विशेषाधिकार प्राप्त हो सकते हैं जिनमें टीईई शामिल है, जिसमें क्रिप्टोग्राफिक कुंजी या अन्य संवेदनशील डेटा तक पहुंचने की क्षमता शामिल है। टीईई पर हमला करने के लिए, एक विरोधी को पहले उन्नत ओएस विशेषाधिकार की आवश्यकता हो सकती है। यदि नहीं, तो ओएस कमजोरियों का फायदा उठाने के लिए टीईई विशेषाधिकारों का उपयोग किया जा सकता है।
सुरक्षा सिफारिशें: ज्ञात कमजोरियों के लिए आवेदन की जाँच करें। सुरक्षा अद्यतन। नवीनतम OS संस्करणों का उपयोग करना।
प्लेटफ़ॉर्म: Android, iOS
विवरण: एक दुर्भावनापूर्ण एप्लिकेशन डिवाइस के कीबोर्ड के रूप में पंजीकरण कर सकता है और उपयोगकर्ता के उपयोगकर्ता नाम और पासवर्ड जैसे संवेदनशील डेटा दर्ज करते समय कीस्ट्रोक्स को रोक सकता है।
सुरक्षा सिफारिशें: एप्लिकेशन को शायद ही कभी कीबोर्ड के रूप में पंजीकृत किया जाता है, इसलिए ऐसा करने वाले अनुप्रयोगों का प्रारंभिक जांच के दौरान सावधानीपूर्वक विश्लेषण किया जाना चाहिए। IOS और Android दोनों को तृतीय-पक्ष सॉफ़्टवेयर कीबोर्ड का उपयोग करने के लिए उपयोगकर्ता की स्पष्ट अनुमति की आवश्यकता होती है। उपयोगकर्ताओं को सलाह दी जाती है कि वे ऐसी अनुमति देने से पहले अत्यधिक सावधानी बरतें (जब अनुरोध किया जाए)।
प्लेटफ़ॉर्म: Android, iOS
विवरण: एक हमलावर क्रेडेंशियल्स और अन्य संवेदनशील डेटा प्राप्त करने के लिए दुश्मन-नियंत्रित प्रवेश द्वार से गुजरने के लिए आने वाले और बाहर जाने वाले ट्रैफ़िक या रीडायरेक्ट नेटवर्क ट्रैफ़िक को कैप्चर कर सकता है।
दुर्भावनापूर्ण एप्लिकेशन नेटवर्क पैकेट तक पहुंच प्राप्त करने के लिए Android या iOS पर VPN क्लाइंट के रूप में पंजीकृत हो सकता है। हालांकि, दोनों प्लेटफार्मों पर, उपयोगकर्ता को वीपीएन क्लाइंट के कार्यों को करने के लिए एप्लिकेशन को सहमति देनी चाहिए, और आईओएस पर, एप्लिकेशन को ऐप्पल से विशेष अनुमति की आवश्यकता होती है।
वैकल्पिक रूप से, दुर्भावनापूर्ण एप्लिकेशन नेटवर्क ट्रैफ़िक तक पहुँच प्राप्त करने के लिए विशेषाधिकारों को बढ़ाने का प्रयास कर सकता है। एक वीपीएन कनेक्शन स्थापित करने या हमला करने वाले डिवाइस पर प्रॉक्सी सेटिंग्स बदलकर उसके द्वारा नियंत्रित गेटवे के लिए एक प्रतिकूल नेटवर्क ट्रैफ़िक को पुनर्निर्देशित कर सकता है। एक उदाहरण दुर्भावनापूर्ण iOS कॉन्फ़िगरेशन प्रोफ़ाइल (
स्रोत से लिंक ) स्थापित करके नेटवर्क ट्रैफ़िक को पुनर्निर्देशित करने की क्षमता है।
सिक्योरिटी टिप्स
: वीपीएन एक्सेस का अनुरोध करने वाले एप्लिकेशन का सावधानीपूर्वक उपयोग करने से पहले उसकी समीक्षा करें। ट्रैफ़िक एन्क्रिप्शन हमेशा प्रभावी नहीं होता है, क्योंकि एक एनक्रिप्ट होने से पहले ही विपक्षी ट्रैफिक को रोक सकता है। IOS और Android दोनों डिवाइस के ऊपरी स्टेटस बार में वीपीएन कनेक्शन की स्थापना की कल्पना करते हैं।
प्लेटफ़ॉर्म: आईओएस
विवरण: URL योजनाएं (जैसे कि Apple उन्हें कॉल करता है) URL हैंडलर होते हैं जिन्हें सफारी ब्राउज़र द्वारा लागू किया जा सकता है या किसी एप्लिकेशन द्वारा उपयोग किया जा सकता है। उदाहरण के लिए, टेल: स्कीम का उपयोग फोन एप्लिकेशन को लॉन्च करने के लिए किया जा सकता है और लैंडिंग पृष्ठ पर संबंधित एचटीएमएल कोड डालकर एक विशिष्ट नंबर डायल कर सकता है:
<iframe src="tel:"></iframe>
Skype योजना: Skype कॉल प्रारंभ करें:
<iframe src="skype:user?call"></iframe>
iOS विभिन्न डेवलपर्स से समान URL योजनाओं को साझा करने के लिए एप्लिकेशन की अनुमति देता है। दुर्भावनापूर्ण एप्लिकेशन किसी अन्य एप्लिकेशन की URL योजना का उपयोग करके दुर्भावनापूर्ण रूप से पंजीकरण कर सकता है, जो इसे एक वैध एप्लिकेशन को कॉल को इंटरसेप्ट करने और उपयोगकर्ता क्रेडेंशियल या OAuth प्राधिकरण कोड प्राप्त करने के लिए फ़िशिंग इंटरफ़ेस का उपयोग करने की अनुमति देगा।
सुरक्षा सिफारिशें: आवेदन सुरक्षा के विश्लेषण के दौरान, संभावित खतरनाक URL योजनाओं की उपस्थिति की जांच करें। URL योजनाओं के विकल्प के रूप में सार्वभौमिक लिंक का उपयोग करने वाले कार्यक्रमों को प्राथमिकता दें (यह एक लिंक है जो उपयोगकर्ता एक विशिष्ट इंस्टॉल किए गए एप्लिकेशन को रीडायरेक्ट करता है)।
प्लेटफ़ॉर्म: Android, iOS
विवरण: यूआई स्पूफिंग का उपयोग उपयोगकर्ता को गोपनीय जानकारी प्रदान करने के लिए किया जाता है, जिसमें क्रेडेंशियल, बैंक विवरण या व्यक्तिगत डेटा शामिल हैं।
वैध अनुप्रयोगों या डिवाइस कार्यों के यूआई प्रतिस्थापनएंड्रॉइड और आईओएस दोनों पर, एक विरोधी एक वैध एप्लिकेशन या डिवाइस फ़ंक्शन के उपयोगकर्ता इंटरफ़ेस को लागू कर सकता है, जिससे उपयोगकर्ता को संवेदनशील जानकारी दर्ज करने के लिए मजबूर किया जा सकता है। मोबाइल उपकरणों के सीमित प्रदर्शन आकार (एक पीसी की तुलना में) उपयोगकर्ता को प्रासंगिक जानकारी प्रदान करने के लिए कम संभव बना सकता है (उदाहरण के लिए, पूर्ण वेबसाइट पता प्रदर्शित करना) जो उपयोगकर्ता को खतरे के प्रति सचेत कर सकता है। एक हमलावर मोबाइल तकनीक पर मौजूद बिना भी इस तकनीक का उपयोग कर सकता है, उदाहरण के लिए, एक नकली वेब पेज के माध्यम से।
एक वैध आवेदन का प्रतिस्थापनदुर्भावनापूर्ण एप्लिकेशन पूरी तरह से लक्ष्य एप्लिकेशन को दोहरा सकता है - एक अधिकृत एप्लिकेशन स्टोर के माध्यम से डिवाइस पर समान नाम, आइकन का उपयोग करें और अन्य तरीकों से वितरित करें (
एप्लिकेशन डिलीवरी तकनीक देखें ), और फिर उपयोगकर्ता से गोपनीय जानकारी दर्ज करने का अनुरोध करें।
एक वैध आवेदन के साथ हस्तक्षेप करने के लिए ओएस क्षमताओं का दुरुपयोगएंड्रॉइड के पुराने संस्करणों में, एक दुर्भावनापूर्ण एप्लिकेशन नियमित ओएस फ़ंक्शन का उपयोग कर सकता है ताकि एक चल रहे एप्लिकेशन को बाधित किया जा सके। हम अप्रचलित
एक्टिविटीमैनेजर .getRunnigTasks पद्धति (संस्करण 5.1.1 से पहले एंड्रॉइड पर उपलब्ध) के बारे में बात कर रहे हैं, जो आपको ओएस प्रक्रियाओं की एक सूची प्राप्त करने और एक अग्रभूमि अनुप्रयोग को परिभाषित करने की अनुमति देता है, उदाहरण के लिए, एक नकली दोहरी इंटरफ़ेस लॉन्च करने के लिए।
सुरक्षा सिफारिशें: कॉर्पोरेट वातावरण में, कमजोरियों और अवांछित कार्यों (दुर्भावनापूर्ण या गोपनीयता का उल्लंघन) के लिए आवेदन जांच करने की सिफारिश की जाती है, आवेदन प्रतिबंध नीतियों को लागू करें या अपनी खुद की डिवाइस (BYOD) नीतियां लाएं (अपने स्वयं के उपकरण) जो प्रतिबंध लगाते हैं डिवाइस के केवल एंटरप्राइज़-नियंत्रित भाग के लिए। प्रशिक्षण, प्रशिक्षण और उपयोगकर्ता गाइड कॉर्पोरेट उपकरणों के एक निश्चित कॉन्फ़िगरेशन का समर्थन करने में मदद करेंगे, और कभी-कभी विशिष्ट जोखिम वाले उपयोगकर्ता कार्यों को भी रोक सकते हैं।
मोबाइल उपकरणों की सुरक्षा के लिए ईएमएम / एमडीएम सिस्टम या अन्य समाधान स्वचालित रूप से कॉर्पोरेट उपकरणों पर अवांछित या दुर्भावनापूर्ण एप्लिकेशन का पता लगा सकते हैं। सॉफ़्टवेयर डेवलपर्स में आमतौर पर अनधिकृत अनुप्रयोगों के लिए एप्लिकेशन स्टोर को स्कैन करने की क्षमता होती है जो उनके डेवलपर आईडी का उपयोग करके भेजे गए थे।
यह केवल मोबाइल ऑपरेटिंग सिस्टम के नवीनतम संस्करणों का उपयोग करने की सिफारिश की जाती है, जो एक नियम के रूप में, न केवल पैच होते हैं, बल्कि एक बेहतर सुरक्षा वास्तुकला भी होती है जो पहले से अनपेक्षित कमजोरियों के लिए प्रतिरोध प्रदान करती है।