Tautan ke semua bagian:Bagian 1. Akses Awal ke Perangkat Seluler (Akses Awal)Bagian 2. Kegigihan dan EskalasiBagian 3. Mendapatkan Akses Kredensial (Akses Kredensial)Bagian 4. Pertahanan EvasionBagian 5. Penemuan dan Gerakan LateralPenentang menggunakan berbagai metode untuk menangkap kata sandi, token, kunci kriptografi, dan kredensial lainnya untuk menerapkan akses tidak sah ke sumber daya perangkat seluler. Memperoleh kredensial yang sah oleh musuh memungkinkan Anda mengidentifikasi dan mendapatkan semua izin akun yang disusupi dalam suatu sistem atau jaringan, yang membuatnya sulit untuk mendeteksi aktivitas jahat. Diberikan akses yang tepat, musuh juga dapat membuat akun yang sah untuk penggunaannya di lingkungan yang diserang.
Penulis tidak bertanggung jawab atas konsekuensi yang mungkin timbul dari penerapan informasi yang ditetapkan dalam artikel, dan juga meminta maaf atas kemungkinan ketidakakuratan yang dibuat dalam beberapa formulasi dan ketentuan. Informasi yang diterbitkan adalah pengungkapan ulang gratis konten Matriks Seluler ATT @ CK: Akses Perangkat .Platform: Android
Deskripsi: Fitur Aksesibilitas Android adalah toolkit untuk penyandang cacat. Aplikasi jahat dapat menggunakan fitur aksesibilitas Android untuk mendapatkan data sensitif atau melakukan tindakan jahat. Faktanya adalah API yang menyediakan layanan aksesibilitas memungkinkan Anda untuk mengakses konten antarmuka yang berinteraksi dengan pengguna (misalnya, membaca atau membuat email, mengedit dokumen, dll.). Fungsi ini menyediakan kemampuan para penyandang cacat untuk bekerja dengan aplikasi seluler publik. Fungsionalitas OS semacam itu juga menarik penulis malware, namun, untuk mengaktifkan Fitur Aksesibilitas Android, pengguna harus melakukan sejumlah manipulasi yang tidak biasa dengan peringatan keamanan pada akhirnya.
Rekomendasi perlindungan: OS versi Android 7.0 dan lebih tinggi mencakup perlindungan tambahan terhadap teknik ini. Sebelum mengizinkan aplikasi dipasang di lingkungan perusahaan, Anda disarankan untuk memeriksanya untuk kemungkinan penyalahgunaan fitur aksesibilitas atau mengimplementasikan Layanan Reputasi Aplikasi Seluler untuk mengidentifikasi aplikasi berbahaya yang diketahui.
Platform: Android
Deskripsi: Di Android sebelum versi 4.1, penyerang dapat menggunakan aplikasi jahat yang memiliki izin READ_LOGS untuk mendapatkan kunci pribadi, kata sandi, dan kredensial lainnya serta data rahasia yang disimpan dalam log sistem perangkat. Di Android 4.1 dan yang lebih baru, penyerang hanya dapat mengakses log setelah berhasil meningkatkan hak istimewa pada OS.
Rekomendasi perlindungan: Jika Anda adalah pengembang aplikasi seluler, maka Anda tidak boleh menulis data sensitif ke log sistem aplikasi produksi.
Dimulai dengan Android 4.1, aplikasi tidak dapat mengakses log sistem (kecuali untuk entri yang ditambahkan oleh aplikasi itu sendiri). Dengan akses fisik ke perangkat, log sistem dapat diperoleh melalui USB menggunakan utilitas
Android Debug Bridge (adb) .
Platform: Android, iOS
Deskripsi: Penyerang dapat mencoba membaca file yang berisi rahasia atau kredensial (kunci pribadi, kata sandi, token akses). Metode ini memerlukan peningkatan hak istimewa dalam OS atau keberadaan aplikasi target dalam sistem yang menyimpan data dengan cara yang tidak aman (dengan hak akses yang tidak aman atau di tempat yang tidak aman, misalnya, di direktori penyimpanan eksternal).
Rekomendasi perlindungan: Pastikan aplikasi yang Anda gunakan tidak menyimpan data sensitif dengan hak tidak aman atau di tempat yang tidak aman. Android dan iOS menyediakan kemampuan untuk menyimpan kredensial dalam perangkat keras di tempat yang terisolasi di mana mereka tidak akan dikompromikan bahkan jika hak istimewa berhasil ditingkatkan. Android 7 memberikan izin file default yang lebih tinggi di direktori internal aplikasi, mengurangi kemungkinan menggunakan hak tidak aman.
Platform: Android
Deskripsi: Android Intent atau Intent adalah objek olahpesan interproses di mana satu aplikasi dapat meminta tindakan dari komponen aplikasi lain. Aplikasi jahat dapat mendaftar untuk menerima maksud untuk aplikasi lain dan kemudian menerima nilai rahasia, seperti kode otorisasi protokol OAuth.
Rekomendasi perlindungan: Proses memeriksa aplikasi untuk kelemahan potensial harus mencakup mengidentifikasi penggunaan Intents yang tidak aman. Pengembang aplikasi seluler harus menggunakan metode untuk memastikan bahwa niat dikirim hanya ke tujuan yang sesuai (misalnya, menggunakan niat eksplisit, memeriksa izin, memverifikasi sertifikat aplikasi target atau menggunakan
Tautan Aplikasi (fungsi yang digunakan pengguna untuk dialihkan ke tautan ke aplikasi target dengan mem-bypass kotak dialog pemilihan aplikasi) ), ditambahkan di Android 6.0. Untuk aplikasi seluler yang menggunakan OAuth, Anda disarankan untuk mengikuti
praktik terbaik .
Platform: Android, iOS
Deskripsi: Aplikasi berbahaya dapat mencoba untuk menangkap data sensitif yang disimpan di papan klip perangkat, misalnya, kata sandi yang disalin / ditempelkan dari aplikasi Pengelola kata sandi.
Rekomendasi perlindungan: Dalam lingkungan perusahaan, disarankan untuk menerapkan proses untuk memeriksa kerentanan aplikasi dan tindakan yang tidak diinginkan, kebijakan pembatasan instalasi aplikasi, dan kebijakan Bawa Perangkat Anda Sendiri (BYOD) yang menerapkan pembatasan hanya pada bagian perangkat yang dikendalikan perusahaan. Sistem EMM / MDM atau solusi keamanan perangkat seluler lainnya dapat mendeteksi keberadaan aplikasi yang tidak diinginkan atau berbahaya pada perangkat perusahaan.
Platform: Android, iOS
Deskripsi: Aplikasi jahat dapat mengumpulkan data sensitif yang dikirim dalam pesan SMS, termasuk data otentikasi. Pesan SMS sering digunakan untuk mengirimkan kode otentikasi multi-faktor.
Aplikasi Android harus meminta dan menerima izin untuk menerima pesan SMS selama instalasi atau eksekusi. Atau, aplikasi jahat dapat mencoba untuk meningkatkan hak istimewa untuk menghindari perlindungan ini. Aplikasi iOS tidak dapat mengakses pesan SMS selama operasi reguler, jadi musuh harus terlebih dahulu melakukan serangan pada eskalasi hak istimewa.
Rekomendasi perlindungan: Dalam lingkungan perusahaan, disarankan agar aplikasi dipindai lebih dulu untuk izin RECEIVE_SMS. Jika izin ini terdeteksi, aplikasi memerlukan analisis terperinci.
Platform: Android
Deskripsi: Aplikasi berbahaya atau vektor serangan lainnya dapat digunakan untuk mengeksploitasi kerentanan dalam kode yang dieksekusi di Lingkungan Eksekusi Tepercaya (TEE). Musuh kemudian dapat memperoleh hak istimewa yang dimiliki TEE, termasuk kemampuan untuk mengakses kunci kriptografi atau data sensitif lainnya. Untuk menyerang TEE, musuh mungkin perlu hak istimewa OS yang lebih tinggi. Jika tidak, maka hak istimewa TEE dapat digunakan untuk mengeksploitasi kerentanan OS.
Rekomendasi perlindungan: Periksa aplikasi untuk mengetahui kerentanan yang diketahui. Pembaruan keamanan. Menggunakan versi OS terbaru.
Platform: Android, iOS
Deskripsi: Aplikasi jahat dapat mendaftar sebagai keyboard perangkat dan mencegat penekanan tombol saat pengguna memasukkan data sensitif, seperti nama pengguna dan kata sandi.
Rekomendasi perlindungan: Aplikasi jarang terdaftar sebagai keyboard, jadi aplikasi yang melakukan ini harus dianalisis dengan hati-hati selama pemeriksaan pendahuluan. Baik iOS dan Android membutuhkan izin eksplisit pengguna untuk menggunakan keyboard perangkat lunak pihak ketiga. Pengguna disarankan untuk sangat berhati-hati sebelum memberikan izin tersebut (saat diminta).
Platform: Android, iOS
Deskripsi: Penyerang dapat menangkap lalu lintas masuk dan keluar atau mengarahkan lalu lintas jaringan untuk melewati gerbang yang dikontrol musuh untuk mendapatkan kredensial dan data sensitif lainnya.
Aplikasi jahat dapat mendaftar sebagai klien VPN di Android atau iOS untuk mendapatkan akses ke paket jaringan. Namun, pada kedua platform, pengguna harus memberikan izin kepada aplikasi untuk melakukan fungsi-fungsi klien VPN, dan pada iOS, aplikasi tersebut memerlukan izin khusus dari Apple.
Atau, aplikasi jahat dapat mencoba meningkatkan hak istimewa untuk mendapatkan akses ke lalu lintas jaringan. Musuh dapat mengarahkan lalu lintas jaringan ke gateway yang dikendalikan olehnya dengan membuat koneksi VPN atau mengubah pengaturan proxy pada perangkat yang diserang. Contohnya adalah kemampuan untuk mengarahkan lalu lintas jaringan dengan memasang profil konfigurasi iOS berbahaya (
tautan ke sumber ).
Kiat
Keamanan: Tinjau aplikasi yang meminta akses VPN dengan hati-hati sebelum mengizinkannya digunakan. Enkripsi lalu lintas tidak selalu efektif, karena musuh dapat mencegat lalu lintas sebelum dienkripsi. Baik iOS dan Android memvisualisasikan pembentukan koneksi VPN di bilah status atas perangkat.
Platform: iOS
Deskripsi: Skema URL (seperti Apple menyebutnya) adalah penangan URL yang dapat dipanggil oleh browser Safari atau digunakan oleh aplikasi untuk memanggil aplikasi lain. Misalnya, skema tel: dapat digunakan untuk meluncurkan aplikasi Telepon dan memanggil nomor tertentu dengan menempatkan kode HTML yang sesuai pada halaman arahan:
<iframe src="tel:"></iframe>
Skema Skype: mulai panggilan Skype ":
<iframe src="skype:user?call"></iframe>
iOS memungkinkan aplikasi dari pengembang yang berbeda untuk berbagi skema URL yang sama. Aplikasi jahat dapat mendaftar dengan jahat menggunakan skema URL aplikasi lain, yang akan memungkinkannya mencegat panggilan ke aplikasi yang sah dan menggunakan antarmuka phishing untuk memperoleh kredensial pengguna atau kode otorisasi OAuth.
Rekomendasi perlindungan: Selama analisis keamanan aplikasi, periksa keberadaan skema URL yang berpotensi berbahaya. Berikan preferensi untuk program yang menggunakan tautan universal sebagai alternatif dari skema URL (ini adalah tautan yang dialihkan pengguna ke aplikasi yang diinstal khusus).
Platform: Android, iOS
Deskripsi: Spoofing UI digunakan untuk menipu pengguna agar memberikan informasi rahasia, termasuk kredensial, detail bank, atau data pribadi.
Substitusi UI untuk aplikasi atau fungsi perangkat yang sahPada Android dan iOS, musuh dapat menyamar sebagai antarmuka pengguna dari aplikasi atau fungsi perangkat yang sah, memaksa pengguna untuk memasukkan informasi sensitif. Ukuran tampilan perangkat seluler yang terbatas (dibandingkan dengan PC) dapat membuat pengguna tidak mungkin memberikan informasi kontekstual (misalnya, menampilkan alamat situs web lengkap) yang dapat mengingatkan pengguna akan bahaya. Seorang penyerang juga dapat menggunakan teknik ini tanpa ada di perangkat seluler, misalnya, melalui halaman web palsu.
Pergantian aplikasi yang sahAplikasi jahat dapat sepenuhnya mengulangi aplikasi target - gunakan nama yang sama, ikon dan diinstal pada perangkat melalui toko aplikasi resmi atau dikirim dengan cara lain (
lihat teknik pengiriman aplikasi ), dan kemudian meminta pengguna untuk memasukkan informasi rahasia.
Penyalahgunaan kemampuan OS untuk mengganggu aplikasi yang sahDalam versi Android yang lebih lama, aplikasi jahat dapat menggunakan fungsi OS biasa untuk mengganggu aplikasi yang sedang berjalan. Kita berbicara tentang metode
ActivityManager.getRunnigTasks yang usang (tersedia di Android sebelum versi 5.1.1), yang memungkinkan Anda untuk mendapatkan daftar proses OS dan mendefinisikan aplikasi latar depan, misalnya, untuk meluncurkan antarmuka ganda palsu.
Rekomendasi perlindungan: Dalam lingkungan perusahaan, disarankan untuk melakukan pemeriksaan aplikasi untuk kerentanan dan tindakan yang tidak diinginkan (jahat atau melanggar kerahasiaan), menerapkan kebijakan pembatasan aplikasi atau Membawa Perangkat Anda Sendiri (BYOD) kebijakan (bawa perangkat Anda sendiri) yang memberlakukan pembatasan hanya ke bagian perangkat yang dikendalikan perusahaan. Pelatihan, pelatihan, dan panduan pengguna akan membantu mendukung konfigurasi tertentu dari perangkat perusahaan, dan kadang-kadang bahkan mencegah tindakan pengguna tertentu yang berisiko.
Sistem EMM / MDM atau solusi lain untuk melindungi perangkat seluler dapat secara otomatis mendeteksi aplikasi yang tidak diinginkan atau berbahaya pada perangkat perusahaan. Pengembang perangkat lunak biasanya memiliki kemampuan untuk memindai toko aplikasi untuk aplikasi yang tidak sah yang dikirim menggunakan ID pengembang mereka.
Disarankan untuk hanya menggunakan versi terbaru dari sistem operasi seluler, yang, sebagai suatu peraturan, tidak hanya berisi tambalan, tetapi juga memiliki arsitektur keamanan yang ditingkatkan yang memberikan perlawanan terhadap kerentanan yang sebelumnya tidak terdeteksi.