Mobil malware: En klar og nærværende fare

William Francis - stipendiat TechRepublic forfatter / Android etterforskningspartner - og jeg forsker på Android-tillatelser og Android-skadelig programvare. Hvert trinn på veien har vi støtte og veiledning av eksperter - det ene er Adrienne Porter Felt. Jeg har nettopp erfart at Adrienne og andre UC Berkeley-forskere Matthew Finifter, Erika Chin, Steven Hanna og David Wagner var medforfatter til "A Survey of Mobile Malware in the Wild". Poenget deres: Mobil malware er en klar og nåværende fare. Jeg unngår normalt det dramatiske, men mange gode mennesker prøver å bevisstgjøre den økte tilstedeværelsen av mobil malware, og jeg vil hjelpe.

Etter å ha lest avisen, sendte jeg e-post til William og fortalte ham om avisen. Jeg håpet at han skulle føle det samme om det. En retur e-post sa at han gjorde det. Han sendte meg også to spørsmål, pluss eksplisitte instruksjoner - pass på at Adrienne får dem. Fyren kjenner meg, jeg hadde allerede samlet en liste over spørsmål.

Klassifiser mobil malware

Jeg gikk nesten foran meg selv. Forskerteamet grupperte alle mobiltrusler i tre klassifiseringer. Hvordan de gjorde det er litt annerledes, så det kan være best å se på sammenbruddet før du får spørsmålene:

Malware : Få tilgang til en enhet med det formål å stjele data, skade enheten eller irritere brukeren, osv. Angriperen bedrager brukeren om å installere den ondsinnede applikasjonen eller får uautorisert fjerntilgang ved å dra nytte av en sårbarhet på enheten. Malware gir ingen juridisk varsel til den berørte brukeren.

Denne trusselen inkluderer trojanere, ormer, botnett og virus. Malware er ulovlig i mange land, inkludert USA, og distribusjonen av det kan være straffbart med fengsel.

Personlig spionprogramvare : Samler personlig informasjon, for eksempel beliggenhet eller tekstmeldingshistorikk over en periode. Med personlig spyware har angriperen fysisk tilgang til enheten og installerer programvaren uten brukerens viten.

Personlig spionprogramvare sender offerets informasjon til personen som installerte applikasjonen på offerets enhet, i stedet for til forfatteren av applikasjonen. For eksempel kan en person installere personlig spyware på ektefellens telefon. Det er lovlig å selge personlig spyware i USA fordi det ikke svindler kjøperen (dvs. angriperen).

Personlig spionprogramvare er ærlig om formålet med den som kjøper og installerer applikasjonen. Imidlertid kan det være ulovlig å installere personlig spyware på en annen persons smarttelefon uten hans eller hennes autorisasjon.

Grayware : Legitime applikasjoner samler inn brukerdata for markedsføring eller brukerprofilering. Gråvare spionerer på brukere, men selskapene som distribuerer gråvare har ikke som mål å skade brukere. Stykker av gråvare gir brukerne ekte funksjonalitet og verdi.

Bedriftene som distribuerer gråvare kan røpe innsamlingsvanene sine i personvernreglene, med ulik grad av klarhet. Gråvare sitter på kanten av lovligheten; dens oppførsel kan være lovlig eller ulovlig avhengig av klagens jurisdiksjon og ordlyden i personvernreglene. I motsetning til skadelig programvare eller personlig spionvare, straffes ulovlig gråvare med bøter i stedet for personlige setninger.

Selv når aktiviteten til gråvare er lovlig, kan brukere innvende mot datainnsamlingen hvis de oppdager det. Applikasjonsmarkeder kan velge å fjerne eller tillate gråvare når det oppdages fra sak til sak.

spørsmål

Kassner : William og jeg diskuterte hvordan avisen klassifiserte skadelig malware. Vi var ikke enige om hvorfor det ble gjort på denne måten. Når jeg var eldre og klokere, foreslo jeg at vi lot Adrienne forklare. Porter Felt : Vi valgte disse tre klassifiseringene fordi hver krever et annet forsvar:
  • Malware kan bekjempes med antivirusprogramvare, sikkerhetsgjennomgang på markedet og tillatelser.
  • FTC kan avskrekke gråvare ved å bruke lovlige midler for å forfølge legitime selskaper som utfører handlinger uten tilstrekkelig forbrukerens samtykke.
  • Med personlig spyware er det underliggende problemet at "angriperen" har fysisk tilgang til telefonen, så det beste forsvaret er å låse skjermen din og holde telefonen fysisk trygg.

Vi fokuserte på malware fordi denne trusselkategorien kan benyttes fra et rent teknisk perspektiv, som er vårt fagområde.

Kassner : Jeg ønsket å nevne at Adrienne hjalp William og meg da vi trengte malware-prøver for artikkelen min, "Android-sikkerhetsapper som spiller innhenting til malcode". Det var da jeg lærte om forskerteamets samling av mobil malware.

Jeg regnet med at forskerne omutviklet prøvene, og det var det. Men de gjorde mer. For eksempel klassifiserte de fangede malware-prøver i henhold til oppførsel:

  • Utfiltrerer brukerinformasjon: 28
  • Premium samtaler eller SMS: 24
  • Sender SMS-annonsesøppel: 8
  • Nyhet og underholdning: 6
  • Utfiltrerer brukeropplysninger: 4
  • Optimalisering av søkemotorer: 1
  • Løsning: 1

William og jeg trodde at "eksfiltrerer brukeropplysninger" ville ha rangert høyere, mye høyere. Nysgjerrig nå spurte jeg Adrienne om resultatene var som de forventet.

Porter Felt : Vi hadde forventet å se flere phishing-angrep. Jeg tror vi får se mer i fremtiden. Vi har samlet det datasettet i løpet av sommeren (2011), og siden den gang har jeg blitt klar over minst et nytt stykke malware som eksfiltrerer brukeropplysninger - en Netflix phishing-app.

Jeg mistenker også at det er mer skadelig programvare fra SEO enn vi klarte å oppdage, men det blir ikke rapportert fordi det ikke skader forbrukeren direkte.

Kassner : Jeg leste om delen som beskriver fordelene ved å selge eksfiltrert brukerinformasjon. Det virker som om penger snakker:

"Legitime applikasjoner med reklamebiblioteker kan forvente å tjene mellom $ 1, 90 og $ 9, 50 per bruker per måned, som inkluderer både verdien av å samle inn brukerdata og vise annonser."

Per måned? Er dette grunnen til at både utviklere og velmenende utviklere er mer tilbøyelige til å lage gratis apper og inkludere reklame? De får en månedlig avkastning i stedet for en engangsbetaling.

Porter Felt : Mer presist kan legitime applikasjoner forvente å tjene så mye per måned med bruk . Hvis en utvikler kan skrive en applikasjon som folk fortsetter å bruke, vil utvikleren tjene mer penger på annonser enn en forhåndsavgift.

På den annen side går de fleste applikasjoner ubrukte etter den første dagen eller to. Så legitime utviklere må satse på hvor "klissete" (dvs. vanedannende) applikasjonene deres vil være. Ondsinnede applikasjoner kan imidlertid bruke urettferdige taktikker, og lastes selv når brukeren ikke vil ha applikasjonen.

Kassner : Jeg merket også at "nyhet og underholdning" rangerte høyere på listen enn mitt valg. Jeg nevnte min forvirring overfor Adrienne. Porter følte : Når noen ser våt betong, skar de initialene sine inn i den. Det er det samme med nye datasystemer; visse mennesker kan ikke motstå fristelsen til å utnytte åpenbare svakheter, bare for moro skyld. Kassner : Papiret satte mye vekt på applikasjonsbutikkene, og var de viktigste depotene for apper. Føler du at det er deres ansvar å sørge for at alle apper er fri for skadelig programvare? Porter Felt : Apples vurderingsprosess ser ut til å være svært effektiv til å enten avskrekke eller finne skadelig programvare. Jeg tror imidlertid ikke det er den langsiktige løsningen på skadelig programvare. Jeg er ikke sikker på hvor godt gjennomgangsprosessen deres kan skalere til titalls millioner søknader. I utgangspunktet synes jeg at vurderingsprosessen fungerer bra akkurat nå, men vi trenger andre tilnærminger. Francis : Det er brukt mye tid på å beskrive konseptet med mobile markeder for nedlasting av apper, samt gjennomgangsprosessene de forskjellige markedsplassene håndhever (eller ikke).

Jeg fant ikke noe tall i forhold til hvor mange av Android-malware-appene som ble undersøkt, faktisk gjorde det til det offisielle markedet, og hvor lenge disse truslene var til stede før de ble trukket. Jeg tror det ville være et ekstremt interessant datapunkt, fordi jeg mistenker at det kun er lasting av apper fra et offisielt marked, også et som ikke er polert som Android, og reduserer sårbarhetsvinduet dramatisk.

Porter Felt : Jeg er helt enig. Bare fire stykker malware i datasettet vårt gjorde det til det offisielle Android Market. Videre fjernet Android-sikkerhetsteamet dem umiddelbart etter å ha fått vite om dem. Likevel er malware fortsatt i uoffisielle markeder.

Dessverre vet jeg ikke den nøyaktige tiden hver malware var i Android Market før de ble fjernet.

Kassner : Både William og jeg ble imponert. Oppgaven krevde sidetanke. For eksempel kan lagets prediksjon om hvordan fremtidig mobil malware kan se ut:
  • Annonsering av klikksvindel
  • Invasiv reklame
  • Faktureringssvindel i søknaden
  • regjeringer
  • E-post spam
  • Nektet tilgang til tjenester
  • Nærmarkskommunikasjon og kredittkort

To spådommer skiller seg ut - en, på en merkelig måte, kreativ; og en, rent skummel. For det første, vil du forklare hvordan "faktureringssvindel i applikasjonen" fungerer? Neste, hvorfor er regjeringer bekymret?

Porter Felt : Det er noen få måter for faktureringssvindel i applikasjonen å skje. Den ene er phishing. En bruker kan prøve å kjøpe en vare og deretter se en uredelig skjerm for "bekreft passord". En annen potensiell angrepsvektor er applikasjonen som håndterer fakturering (dvs. App Store). Det kan ha sårbarheter som en applikasjon kan utnytte for å lure den til å tro at brukeren gikk med på et kjøp.

Når det gjelder den statlige trusselmodellen, er noen regjeringer villige til å sensurere og overvåke innbyggerne. For eksempel fikk UAE-regjeringen en ISP til å presse en "falsk oppdatering" til Blackberry-telefoner som kopierte innbyggernes e-post.

Kassner : Avisen nevner at både malware-skapere og smarttelefoneiere ønsker å "jailbreak" smarte mobile enheter. Skurkene trenger å forringe sikkerheten, og eierne vil tilpasse telefonene sine.

For å bevise sin påstand opprettet teamet følgende tabell og tidslinje fra innsamlede data:

Funnene antyder at jailbreaking er uunngåelig. Og jailbreaking exploits er tilgjengelig kort tid etter utgivelsen av en telefon eller ny firmware.

Selv den mektige Apple iOS4 bukker under. To dager etter at den ble utgitt, var jailbreaking how-to's over hele Internett.

Jeg nevnte tidligere at jeg var imponert over avantgardekonklusjonene. En slik frigjøring er ideen deres om hvordan de kan eliminere fengselsbrudd. Jeg lar Adrienne forklare.

Porter Felt : For øyeblikket hjelper smarttelefonprodusenter og nettverksleverandører indirekte (og tilfeldigvis) malware-forfattere ved å selge "låste" telefoner. Det er sterk etterspørsel blant visse segmenter av markedet for ulåste telefoner, så ekspertbrukere er motivert for å finne utnyttelser.

Vi mener produsenter og nettverksleverandører bør selge telefoner som enkelt kan låses opp av eierne - uten å bruke utnyttelse. Dette ville fjerne incentivet for teknisk kunnskapsrike individer til å finne og publisere utnyttelser.

Francis : Det er mye diskusjon om rotutnyttelse, spesielt om Android-enheter. Jeg vil være nysgjerrig på å vite om du foruten den ulåste oppstartslasteren, var pro / con eller likegyldig til åpen kildekode og dets innvirkning på mobilsikkerhet. Porter Felt : Så vidt meg bekjent, kommer ingen av Android-privilegieres eskaleringsproblemer fra Android Open Source Project. Sikkerhetseksperter kan finne sårbarheter i programvare enten det er åpen kildekode eller ikke. Mangel på kildekode er ikke en utfordring for en erfaren hacker. Som nevnt tidligere, er iOS-versjoner vanligvis brutt i løpet av dager etter utgivelse, akkurat som Android-versjoner. Kassner : Det ser ut til at kampen mellom skadelig programvare og datautstyr har nådd bærbarhetene våre. Hvordan vil du rangere mobile enheter - maskinvare og programvare - sammenlignet med andre formfaktorer? Porter Felt : Smarttelefonsikkerhet går i riktig retning. Smarttelefon OS-designere klarte å se tilbake og unngå problemer med å plage desktop-programvare. Følgelig har smarttelefoner verktøy for å beskytte forbrukerne, som tillatelser og søknadsgjennomgangsprosesser.

Og den vellykkede smarttelefonteknologien migrerer nå til stasjonære PC-er. Apple App Store for OS X er et flott eksempel. Jeg tror fremtidige nettlesere på stasjonære datamaskiner sannsynligvis også vil inkludere elementer fra nåværende smarttelefonplattformer.

Siste tanker

Forskerteamet investerte betydelig innsats i å katalogisere eksisterende mobil malware og forutsi hva som kommer. Det ser ut til at dårlige mennesker jobber hardere enn noen gang for å gjøre det digitale livet vanskelig.

Kudos til UC of Berkeley forskerteam for en flott artikkel. Og en spesiell takk til Adrienne for at han hjalp William og meg med å navigere i minefeltene.

© Copyright 2020 | mobilegn.com