本文為2013年5月18日在烏云北京沙龍所做報告的部分摘要。文章所述觀點僅代表本人,不代表本人所在企業或其他組織。
移動客戶端的漏洞在當前并未受到重視。
從用戶的角度來說,對移動軟件安全中的反病毒、軟件漏洞和軟件版權這三個方面并不能很好的區別開;甚至安全企業、安全組織和機構、安全研究人員在移動領域也經常濫用“移動安全”這個詞,將其狹義地定義為移動應用中是否存在惡意行為;最關鍵的是,軟件開發者并不太關心自身軟件是否存在安全漏洞,這一方面是所謂的attack surface相比于傳統web系統或服務器而言太窄,另一方面則有商業競爭和快速迭代特性開發的因素。
然而,如果考慮到當前的諸多針對性攻擊,移動軟件漏洞將在下一波攻擊中變得越來越重要。移動軟件漏洞與針對性攻擊的結合已經是一種必然的趨勢,這種結合也已經發生。
針對性攻擊的特點包括:攻擊者擁有最先進的經驗、能力、工具和人力,長時間地、精準地對確定的目標發起全方位的隱蔽性攻擊,以獲得實現知道的目標,并從現實世界的角度獲得更大的受益。
這類攻擊的典型代表是Stuxnet系列攻擊。美國政府發起的這個對伊朗核電站的系列攻擊曾成功地導致伊朗核武器生產陷入停滯狀態,其中的技術手段非常經典。
從過程來看,針對性攻擊有一個確定目標、搜集信息、長期滲透、開展攻擊的過程,其中會結合社會工程學、軟件和系統漏洞、惡意代碼等手段。
相比于PC平臺,移動終端在多個方面具有顯著的差異。這些差異將成為新的攻擊目標。
從通信的角度,移動終端擁有2G/3G/LTE等移動通信渠道,WiFi網絡連接,USB數據連接,藍牙設備連接,NFC近場通信,PC網絡互相共享等。這些通信渠道使得移動終端是:1)幾乎隨時在線;2)連接了辦公網絡和家庭網絡;3)連接了真實世界。
從社交的角度,移動終端中往往包含了聯系人、短信、通話、SNS數據、身份數據和日歷信息,移動設備已經幾乎成為了身份的標志,而這種身份非常容易發生偽造。
從地理的角度,移動終端中包含了當前的粗略和精確地理位置、包含了地理位置的歷史記錄、包含了LBS應用的搜索查詢記錄。與日歷信息、時間信息、通信記錄等結合起來,可以精確地定位到個人的下一步行程。
從移動辦公的角度,移動終端已經成為標準的辦公設施,郵件、VPN、Wifi和企業應用等方案均已經非常成熟。
因此,移動平臺可以為針對性攻擊在確定目標、搜集信息、交叉滲透等多個角度提供比PC更為有用的幫助。
在Android 2.1-2.3系統,此前已經出現了多個通用的提權漏洞;在4.0.4之后,主要是針對三星、摩托羅拉等特定機型出現了針對性的提權漏洞。被忽略的兩個問題是,一、部分有root或system權限的軟件出現漏洞后,可能導致攻擊者同樣獲得類似于提權的攻擊效果;二、對特定機型驅動和系統定制部分的漏洞挖掘難度并不太高。
對系統和第三方庫而言,此前在webview、flash player等組件中曾出現大量的漏洞,甚至出現遠程執行的漏洞。第三方庫的1day問題被長期忽視。
應用軟件漏洞問題則更為嚴重,國內外主流互聯網企業的移動客戶端均曾出現安全漏洞,大部分都可以導致本地數據泄露或服務器端數據泄露。在針對性攻擊的場景下,以往對客戶端漏洞的定義已經顯然不夠適用。
移動端針對性攻擊的案例包括:
1. Ssucl,它會從移動終端通過USB設備的自動運行特性感染PC,在PC上安裝麥克風驅動,監聽PC端的語音信息并回傳;同時,它還讀取SD卡上的所有文件回傳,這涉及所謂的應用軟件外部明文存儲的安全漏洞。
2. 在Xuxian Jiang發現Android系統預裝短信軟件存在本地任意短信號碼和內容構造的漏洞之后,不到一個月的時間,我們已經發現了實際采用這一漏洞的惡意代碼。
3. Chuli惡意代碼針對政治性組織定向攻擊,并查詢手機中已安裝軟件信息,針對性挖掘漏洞并投放漏洞利用代碼。
4. 2013年4月中旬,烏云平臺連續報告了華為手機的五個提權漏洞。
對移動平臺針對性攻擊的方案,從反病毒、主動防御、MDM、設備加密、系統加固、沙盒等來看,均存在各類不足,而這些方案均有的問題包括:
1. 均難以檢測和防止漏洞利用
2. 均難以抵抗看似一般的信息搜集
3. 均難以對抗針對性、隱蔽性攻擊
在針對性攻擊與移動平臺的結合中,移動平臺的漏洞問題將越來越重要,并帶來相應的技術挑戰和機遇。