Marble移动安全实验室最近对50000个 Android应用程序进行了分析,其结果不容乐观。一些类似短消息服务(SMS)等的应用程序可以读取地址簿等信息,其足以构成对企业安全的巨大威胁。许多公司认为, Android和iOS等移动平台的核心安全在于保证他们端点安全即可。但这项研究表明:员工下载应用程序,危害不仅在于他们设备上的数据和文件,其设备上的用户名和密码等也能使攻击者对其公司及其他员工构成高度威胁。
一、近三分之一的移动应用程序会访问用户的谷歌账户
一些应用程序自动登录到用户的谷歌帐户、个人和企业的电子邮件、文档等。然后他们可以访问存储在谷歌文档中的文件,并可能造成设备关闭,对企业和用户数据进行曝光或盗窃,或通过这一手段进一步进行网络渗透。这无疑是一个巨大的威胁。
二、17%的应用程序会将IMEI/SIM卡的ID发送至网络服务器
IMEI和SIM卡是用于识别移动设备的独一无二的号码,电信运营商可以通过它们验证您和您的设备。当应用程序获取和发送这些标识符到第三方服务器,他们便可以对您和您的设备进行跟踪。此外,有了这些标识符,罪犯还可以克隆一个设备,并以此接收用户的电话和短信。
三、12%的应用程序读取用户的短信通信信息
如果一个应用程序可以读取移动设备上的短信文本,那么其同样也会得到用户的通讯信息。对于企业员工来说,这意味着一个重要的安全漏洞,因为罪犯可能用它来冒充熟悉的人,或者通过其他渠道更成功的进行钓鱼攻击。如果短信信息被第三方或恶意程序所见,那么其轻易就可以击败由Google、Twitter和许多银行提供的短信的双重认证。
四、9%的应用程序读取用户的电话的通话记录
正如被读取的短息文本,一个应用程序如果能够读取用户的移动电话的通话记录,便可以帮助罪犯开始构建社对特定用户的社会工程学攻击。罪犯将利用现在已知的用户通话和短信服务诱使被联系人信任,并用这种信任对特定的公司发动攻击,获取网络登录和敏感信息等。
五、9%的应用程序读取用户的联系人数据库
如果一个公司的联系人数据库被第三方广告服务器连接到互联网上,那这将是一个严重的安全漏洞。因为它暴露了被用于发送垃圾邮件、进行网络钓鱼和社会工程学攻击的关键数据。看似无害的嵌入式应用程序,比如游戏和应用软件,可以直接将联系人数据库转移到在互联网的服务器上。
六、6%的应用程序会读取设备上的Web浏览器历史
企业并不希望自己员工的浏览历史被暴露,因为它可以使罪犯了解到员工访问过哪些网站、在哪里工作、他们银行在哪里、企业的url访问地址,甚至包括邮箱服务器和SharePoint站点。有了员工浏览历史和登录凭据,犯罪可以很容易地访问公司网络,因为许多人在访问需要验证的网站时都使用的是相同的或略有变化的密码。
七、2.8%的应用程序会修改设备的无线设置
应用程序会自动更改员工移动设备上的无线网络设置,以发动各种各样的网络攻击。员工使用被网络罪犯控制的无线网络时,他们所有的流量都可以被监控,或是受到“中间人攻击”。
八、1.6%的应用程序试图在设备上安装其他应用程序或恶意软件
在一些旧版本的Android手机上,应用程序可以在用户不知道的情况下安装其他应用程序或恶意软件。事实上,1.6%的Android应用程序都会请求许可安装应用程序。任何移动应用都没有理由将另一个程序安装在设备上。这些额外的应用程序可以被罪犯进行修改,并在员工不知情的情况下完全控制其设备,以跟踪短信文本、监控电话、读取浏览器历史和修改无线网络设置,让员工和企业暴露在无数形式的攻击之下。
九、应用程序的恶意软件版本可以预装在设备上
Marble安全实验室已经确认了恶意应用程序可以被预装在设备上,一个特定的案例是Netflix被发现出现了恶意程序的顶替者。这个应用程序大约有10到12版本,其中一个恶意程序版本旨在窃取信用卡信息并可供下载。实验室发现该恶意版本经常被预装在手机和平板电脑中。类似的方法还可以针对企业进行应用,寻求员工远程登录信息和密码,这也是发动高级持续性威胁(APT)的第一步。