Что согласно терминологии mitre cve позволяет открытость
Что нового от MITRE? Атаки на системы машинного обучения
Сегодня компьютеры пишут тексты и сочиняют стихи, создают картины и обрабатывают фотографии. Роботы не только умеют самостоятельно двигаться, но даже помогают врачам проводить операции. Все это возможно благодаря технологиям искусственного интеллекта, одним из разделов которого является машинное обучение.
Для алгоритмов машинного обучения (machine learning, ML) характерно не прямое решение поставленной задачи, а обучение на множестве сходных задач. Исходя из специфики задачи и доступных данных, разработчики составляют наборы обучающих данных, которые и образуют модель машинного обучения.
Модели машинного обучения участвуют в принятии важных решений, поэтому разработчики и пользователи должны быть уверенны, что модель нельзя обмануть. К сожалению, злоумышленникам нередко это удается. Есть несколько основных сценариев атак на машинное обучение:
Мы уже рассказывали об adversarial атаках на выходные данные алгоритмов машинного обучения. Они сводятся к созданию векторов, при обработке которых модель дает некорректный вывод. Но adversarial все не ограничивается, существуют и другие виды атак, о них мы поговорим далее. Можно разделить их на следующие группы:
Атаки на процесс принятия решения:
Атаки на процесс обучения:
Традиционные атаки (Traditional Attacks) – злоумышленник использует хорошо зарекомендовавшие себя методы атак для достижения своих целей.
Недавно MITRE совместно с IBM, NVIDIA, Bosch, Microsoft и другими выпустили матрицу, в которой собраны все известные методы атак на системы машинного обучения.
Здесь оранжевым цветом выделены атаки, характерные только для систем машинного обучения, а серым – традиционные атаки. Более подробное описание атак приведено здесь.
Поводом для создания матрицы стало растущее количество атак на алгоритмы машинного обучения. Первые звоночки появились еще в 2004 году. С этого момента и алгоритмы, и методы атак непрерывно развивались. В академической среде идет своего рода гонка вооружений. In-the-wild кейсов еще не так много, но необходимость защиты моделей машинного обучения стала очевидной.
Компания Microsoft провела опрос среди 28 компаний, 25 из которых указали, что не имеют необходимых инструментов защиты систем машинного обучения, хотя они пытаются повысить их защищенность.
Эта матрица, как другие матрицы от MITRE, основана на реальных атаках на системы машинного обучения. Авторы матрицы привели примеры уже совершенных атак, мы рассмотрим некоторые из них.
ClearviewAI Misconfiguration
Инцидент. Защищенный паролем репозиторий исходного кода Clearview AI был неправильно настроен, что позволило злоумышленнику зарегистрировать учетную запись. Так он получил доступ к частному репозиторию кода, который содержал производственные учетные данные Clearview AI, ключи к сегментам облачного хранилища, содержащего 70 тысяч образцов видео, а также копии приложений и токены Slack. Имея доступ к обучающим данным, злоумышленник может вызвать произвольную неправильную классификацию в развернутой модели.
Комментарий. Здесь исследователь безопасности (или злоумышленник) получил первоначальный доступ через действующую учетную запись, которую он смог создать из-за неправильной конфигурации прав доступа. Как таковой атаки на методы машинного обучения не было, но подобные случаи показывают, что при попытке защитить системы машинного обучения нельзя забывать и о «традиционных» мерах кибербезопасности, таких как принцип минимальных привилегий, многофакторная аутентификация, мониторинг и аудит.
ProofPoint Evasion
Инцидент. Случай CVE-2019-20634 показывает, как исследователи безопасности обошли систему защиты электронной почты ProofPoint, восстановив модель машинного обучения и использовав полученные данные для обхода действующей системы.
Комментарий. Сначала исследователи собрали данные фильтрации нежелательной почты из заголовков электронных писем ProofPoint и с их помощью построили «теневую» модель машинного обучения классификации почты. Затем они алгоритмически нашли сэмплы, которые являлись копией оффлайн-модели. Инсайты, полученные из исследования оффлайн-модели, позволили им создавать вредоносные электронные письма, которые не помечались как спам ProofPoint и доходили до пользователей.
Tay Poisoning
Инцидент. Microsoft создала чат-бот для Твиттера Tay. Уже спустя 24 часа после развертывания его пришлось закрыть: он писал то, что не стоит писать в открытом доступе.
Комментарий. Чат-бот Tay взаимодействовал с пользователями для получения обучающих данных, чтобы улучшить свою речь. Обычные пользователи Твиттера координировали свои действия, чтобы научить бота плохому. В результате этой скоординированной атаки его обучающие данные были «отравлены», и он стал генерировать непечатный контент.
В заключение
Эта матрица предоставляет аналитикам безопасности систематизированную картину угроз для систем машинного обучения. В нее вошли данные, полученные из опыта IBM, NVIDIA, Bosch, Microsoft и других компаний в этой области. Это позволило установить некоторые закономерности. Среди прочего было обнаружено, что кража модели машинного обучения не является конечной целью злоумышленника, но ведет к более изощренной атаке обхода модели. Конечно же, атакуя системы машинного обучения, злоумышленники комбинируют специфичные методы атак и «традиционные», такие как фишинг и lateral movement. В прошлой серии постов мы уже рассказывали о существующих методах защиты машинного обучения от некоторых видов атак.
Выбираем методы активной защиты с помощью MITRE
В поле нашего зрения попала матрица Shield от MITRE, в которой приводятся тактики активной защиты от действий злоумышленников. В отличие от матрицы ATT&CK, которую многие знают, уважают и используют, Shield не так хорошо известна. Тем не менее, описанные в ней тактики помогут более эффективно противостоять атакам.
Злоумышленники очень изобретательны и редко пасуют перед трудностями. Поэтому методы активной защиты, подразумевающие изучение их поведения, отслеживание действий и реагирование в реальном времени всегда будут актуальны.
Привычная всем нам классификация методов защиты выглядит следующим образом:
криптографические методы защиты, изменяющие вид и структуру информации при передаче по сети и во время хранения;
организационные методы защиты данных;
технические и технологические методы защиты информации, подразумевающие использование специальных программных и аппаратных средств.
Все методы, приведенные ниже, можно назвать статичными:
настроить СЗИ, чтобы не дать злоумышленнику прорваться в инфраструктуру;
настроить права доступа для пользователей;
установить минимальные привилегии…
…и так далее. Их объединяет то, что они практически не предполагают какого-либо взаимодействия со злоумышленником. А ведь именно так можно не только узнать гораздо больше о его намерениях и инструментарии, но и, конечно же, не дать продвинуться вглубь защищаемой инфраструктуры.
Цель активных методов защиты заключается в том, чтобы помешать действиям злоумышленников непосредственно в момент их осуществления или даже предвосхищая их. Кроме того, активная защита включают в себя и сбор информации о возможностях атакующего. Специалисты MITRE предлагают следующие тактики активной защиты.
Теперь подробнее о каждой из тактик.
Перенаправление
В нашем случае направить злоумышленника по ложному пути – отличная идея. Например, его можно отвлечь от важных систем и сегментов сети, перенаправив на поддельные, потеря контроля над которыми не принесет вреда реальной инфраструктуре.
Таким образом, злоумышленник зря потратит время, ресурсы и мотивацию, а специалисты по ИБ смогут изучить его поведение.
Сбор информации
Все действия злоумышленника можно записывать и изучать, чтобы сделать инфраструктуру системы более безопасной. Сбор информации о злоумышленнике и его действиях включает в себя логирование и сбор образцов используемых вредоносных программ.
Сдерживание
Злоумышленника можно загнать в рамки. Для этого нужно обеспечить замкнутую среду, из которой он не сможет выйти и навредить другим частям инфраструктуры. Это может быть, например, запрет доступа к определенным системам и подсетям. Подобные меры направлены на предотвращение атак по методу «бокового смещения» (lateral movement).
Обнаружение
Действия злоумышленника необходимо обнаружить, прежде чем на них как-то реагировать. В системе должны быть настроены оповещения о том, что атакующий достиг тех или иных точек.
Прерывание
Действиям злоумышленника можно помешать, усложнив стоящие перед ним задачи или усилив контроль. Так ему придется затратить больше ресурсов и времени.
Содействие
Да-да, вы не ослышались. Противнику можно помочь завершить его дело. Можно использовать незащищенные версии ОС или ПО, ненадежные пароли; открыть порты, но только там, где это не нанесет вреда вашей инфраструктуре.
Легитимация
Никогда не помешает придать аутентичности ложным компонентам, чтобы убедить злоумышленника в реалистичности обстановки. Это могут быть псевдореальные учетные записи, файлы, операции системы — словом, все, до чего злоумышленник может добраться.
Тестирование
В рамках тестирования злоумышленнику можно предоставить возможности проникнуть в систему и проверить, интересен ли ему определенный контент. Также можно усложнить задачи, стоящие перед ним, чтобы выяснить уровень его подготовки.
Конечно же, применить все тактики разом невозможно, поэтому стоит выбирать варианты, которые подходят защищаемой инфраструктуре. Каждой тактике соответствуют определенные техники, а одна и та же техника может использоваться в разных тактиках. В описании каждой техники защиты перечислены и методы, используемые злоумышленниками, что поможет лучше сориентироваться при выборе инструментов для защиты системы.
Отметим, что разработчики Shield от MITRE предлагают всем желающим поучаствовать в работе над матрицами. Они открыты для новых идей.
Программные уязвимости
Термин «уязвимость» часто упоминается в связи с компьютерной безопасностью, во множестве самых различных контекстов.
В общем случае, уязвимость ассоциируется с нарушением политики безопасности, вызванным неправильно заданным набором правил или ошибкой в обеспечивающей безопасность компьютера программе. Стоит отметить, что теоретически все компьютерные системы имеют уязвимости. Но то, насколько велик потенциальный ущерб от вирусной атаки, использующей уязвимость, позволяет подразделять уязвимости на активно используемые и не используемые вовсе.
Предпринималось много попыток четко определить термин «уязвимость» и разделить два его значения. MITRE, исследовательская группа, финансируемая федеральным правительством США, занимающаяся анализом и разрешением критических проблем с безопасностью, разработала следующие определения:
Согласно терминологии MITRE CVE:
[…] Уязвимость — это состояние вычислительной системы (или нескольких систем), которое позволяет:
Предпринималось много попыток четко определить термин «уязвимость» и разделить два его значения.
В MITRE считают, что атака, производимая вследствие слабой или неверно настроенной политики безопасности, лучше описывается термином «открытость» (exposure).
Открытость — это состояние вычислительной системы (или нескольких систем), которое не является уязвимостью, но:
Когда хакер пытается получить неавторизованный доступ к системе, он производит сбор информации (расследование) о своем объекте, собирает любые доступные данные и затем использует слабость политики безопасности («открытость») или какую-либо уязвимость. Существующие уязвимости и открытости являются точками, требующими особенно внимательной проверки при настройке системы безопасности против неавторизованного вторжения.
Поиск
Продукты для дома
Наши передовые решения помогают защитить то, что для вас ценно. Узнайте больше о нашей удостоенной наград защите.
Бесплатные утилиты
Наши бесплатные утилиты помогают обеспечить защиту ваших устройств на базе Windows, Mac и Android.
О компании
Узнайте больше о том, кто мы, как мы работаем и почему наша главная цель – сделать цифровой мир безопасным для всех.
Пробные версии
Попробуйте наши решения. Всего за несколько кликов вы можете скачать бесплатные пробные версии нашего продукта и проверить их в действии.
Связаться с нами
Наша главная цель – обеспечить вашу безопасность. Мы всегда готовы ответить на ваши вопросы и оказать техническую поддержку.
Программные уязвимости
“Errare humanum est.” (Людям свойственно ошибаться.) Марк Туллий Цицерон, римский писатель, философ и государственный деятель
“Людям свойственно ошибаться, но катастрофы осуществимы только с помощью компьютера”. Пол Эрлих, Законы Мерфи
Термин «уязвимость» часто упоминается в связи с компьютерной безопасностью, во множестве самых различных контекстов. В общем случае, уязвимость ассоциируется с нарушением политики безопасности, вызванным неправильно заданным набором правил или ошибкой в обеспечивающей безопасность компьютера программе. Стоит отметить, что теоретически все компьютерные системы имеют уязвимости. Но то, насколько велик потенциальный ущерб от вирусной атаки, использующей уязвимость, позволяет подразделять уязвимости на активно используемые и не используемые вовсе.
Предпринималось много попыток четко определить термин «уязвимость» и разделить два его значения. MITRE, исследовательская группа, финансируемая федеральным правительством США, занимающаяся анализом и разрешением критических проблем с безопасностью, разработала следующие определения:
Согласно терминологии MITRE CVE:
[. ] Уязвимость—это состояние вычислительной системы (или нескольких систем), которое позволяет:
• исполнять команды от имени другого пользователя;
• получать доступ к информации, закрытой от доступа для данного пользователя;
• показывать себя как иного пользователя или ресурс;
• производить атаку типа «отказ в обслуживании».
В MITRE считают, что атака, производимая вследствие слабой или неверно настроенной политики безопасности, лучше описывается термином «открытость» (exposure).
Открытость—это состояние вычислительной системы (или нескольких систем), которое не является уязвимостью, но:
• позволяет атакующему производить сбор защищенной информации;
• позволяет атакующему скрывать свою деятельность;
• содержит возможности, которые работают корректно, но могут быть легко использованы в неблаговидных целях;
• является первичной точкой входа в систему, которую атакующий может использовать для получения доступа или информации.
Когда хакер пытается получить неавторизованный доступ к системе, он производит сбор информации (расследование) о своем объекте, собирает любые доступные данные и затем использует слабость политики безопасности («открытость») или какую-либо уязвимость. Существующие уязвимости и открытости являются точками, требующими особенно внимательной проверки при настройке системы безопасности против неавторизованного вторжения.
Наиболее распространенная в настоящее время на подключенных к интернету компьютерах операционная система Microsoft Windows содержит множественные опасные уязвимости. Чаще всего хакерами используются уязвимости в IIS, MS SQL и Internet Explorer, а также системах обработки файлов и сервисах сообщений самой операционной системы.
Уязвимость в IIS, подробно описанная в Microsoft Security Bulletin MS01-033, является одной из наиболее часто используемых уязвимостей Windows. В последние годы было написано множество сетевых червей, пользующихся данной уязвимостью, но одним из наиболее известных является CodeRed. CodeRed был впервые обнаружен 17 июля 2001 года, и, по некоторым оценкам, заразил около 300 тысяч компьютеров, помешал работе множества предприятий и нанес значительный финансовый ущерб компаниям по всему миру. Хотя Microsoft и выпустила вместе с бюллетенем MS01-033 патч, закрывающий используемую червем уязвимость, некоторые версии CodeRed до сих пор продолжают распространяться.
Сетевой червь Spida, обнаруженный спустя почти год после появления CodeRed, использовал для своего распространения открытость в MS SQL. Некоторые стандартные инсталляции MS SQL не защищали паролем системную учетную запись «SA», позволяя любому человеку с доступом к системе через сеть запускать на ней на исполнение произвольные команды. При использовании этой уязвимости, червь открывает учетной записи «Гость» полный доступ к файлам компьютера, после чего производит загрузку самого себя на заражаемый сервер.
Сетевой червь Slammer, обнаруженный в конце января 2003 года, использовал более простой способ заражения компьютеров под управлением Windows с работающим сервером MS SQL, а именно — уязвимость при переполнении буфера в одной из подпроцедур обработки UDP-пакетов. Поскольку червь был достаточно мал — всего 376 байт — и использовал протокол UDP, предназначенный для быстрой пересылки малых объемов данных, Slammer распространялся с невероятной скоростью. По некоторым оценкам, Slammer поразил порядка 75 тысяч компьютеров по всему миру за первые 15 минут эпидемии.
Три этих характерных сетевых червя использовали уязвимости и открытости в программах, работающих на разных версиях Microsoft Windows, в то время как обнаруженный 11 августа 2003 года червь Lovesan использовал для своего распространения гораздо более опасную уязвимость при переполнении буфера в одном из основных компонентов самой Windows. Эта уязвимость подробно описана в Microsoft Security Bulletin MS03-026.
Sasser, впервые появившийся в мае 2004 года, использовал еще одну уязвимость в компоненте ядра Windows, в службе Local Security Authority Subsystem Service (LSASS). Информация об этой уязвимости была опубликована в Microsoft Security Bulletin MS04-011. Sasser распространялся молниеносно и заразил миллионы компьютеров, причинив огромный финансовый ущерб.
Разумеется, все операционные системы содержат уязвимости и открытости, которые могут быть использованы хакерами и создателями вирусов в своих целях. Хоть уязвимости Windows и получают наибольшее освещение из-за огромного числа компьютеров, работающих под управлением этой операционной системы, свои слабые места есть и у UNIX.
Годами одной из наиболее популярных открытостей в мире UNIX была служба finger. Эта служба позволяет пользователям вне какой-либо сети видеть, кто в настоящее время к этой сети подключен, с каких компьютеров и какие сетевые ресурсы используются. Finger полезен, но раскрывает слишком много интересной хакерам информации.
Вот пример того, как выглядит результат работы службы finger:
Изучаем MITRE ATT&CK. Mobile Matrices: Device Access. Часть 1
Первоначальный доступ к мобильному устройству (Initial Access)
Я начинаю очередной цикл публикаций (см. предыдущие), посвященных изучению тактик и техник осуществления хакерских атак, включенных в базу знаний MITRE ATT&CK. В разделе будут описаны техники, применяемые злоумышленниками на каждом этапе цепочки атаки на мобильные устройства.
Под катом — основные векторы компрометации мобильных устройств, направленные на получение злоумышленником «присутствия» в атакуемой системе.
Автор не несет ответственности за возможные последствия применения изложенной в статье информации, а также просит прощения за возможные неточности, допущенные в некоторых формулировках и терминах. Публикуемая информация является свободным пересказом содержания ATT@CK Mobile Matrices: Device Access.
Доставка вредоносного приложения через авторизованный магазин приложений (Deliver Malicious App via Authorized App Store)
Платформа: Android, iOS
Описание: Вредоносные приложения являются самым распространенным способом «присутствия» злоумышленника на мобильных устройствах. Мобильные ОС часто настроены на установку приложений только из авторизованных магазинов (Google Play Store или Apple App Store), поэтому противник может пытаться разместить своё вредоносное приложение в авторизованном магазине приложений.
Магазины приложений обычно требуют регистрации разработчика и имеют средства для выявления вредоносных приложений, однако противники могут использовать некоторые способы обхода защиты магазинов:
Кроме того, противники могут также использователь скомпрометированные учетные записи пользователей Google для использования возможностей удаленной установки приложений на android-устройства, связанные с контролируемой учетной записью Google (с помощью данной техники можно удаленно установить только приложения из Google Play Store).
Рекомендации по защите: В корпоративной среде рекомендуется организация проверок приложений на наличие уязвимостей и нежелательных действий (злонамеренных или нарушающих конфиденциальность), внедрение политик ограничения установки приложений или политик «Bring Your Own Device (BYOD)» (принеси свое собственное устройство), которые накладывают ограничения только на контролируемую предприятием часть устройства. Обучение, тренинги и руководства для пользователей, помогут поддержать определенную конфигурацию корпоративных устройств, а иногда даже предотвратить конкретные рискованные действия пользователя.
Системы EMM/MDM или иные решения для защиты мобильных устройств могут определять наличие нежелательных или вредоносных приложений на корпоративных устройствах в автоматическом режиме. Разработчики ПО обычно имеют возможность сканирования магазинов приложений на наличие неавторизованных приложений, которые были отправлены с использованием их идентификатора разработчика.
Доставка вредоносного приложения с помощью иных средств (Deliver Malicious App via Other Means)
Платформа: Android, iOS
Описание: Несмотря на возможный запрет установки приложений из сторонних источников на целевом устройстве противник может целенаправленно избегать размещения вредоносного приложения в авторизованных магазинах приложений, чтобы снизить риск потенциального обнаружения.
Альтернативные способы доставки приложений:
Рекомендации по защите: В iOS активация параметров allowEnterpriseAppTrust и allowEnterpriseAppTrustModification запретит пользователям установку приложений, подписанных Enterprise distribution key.
iOS версии 9 и выше требует явного согласия пользователя на установку подписанного Enterprise distribution key приложения не из AppStore, поэтому пользователей следует обучить не соглашаться на установку приложения, если они не уверены в источнике распространения приложения.
На Android, для установки приложений из сторонних источников должен быть включен параметр «Unknown Sources» (неизвестные источники), поэтому пользователей следует обучить активации и контролю данного параметра.
EMM/MDM или иные решения для защиты мобильных устройств могут идентифицировать наличие приложений, установленных из сторонних источников, выявлять устройства Android, на которых разрешена установка приложений из сторонних источников, определять наличие пакетов приложений Android или iOS в сообщениях электронной почты.
Теневая загрузка вредоносного контента (Drive-by Compromise)
Платформа: Android, iOS
Описание: Противник может получить доступ к мобильной системе посредством скрытой загрузки кода, которая выполняется во время посещения пользователем веб-сайта, контролируемого злоумышленником. Реализация этой техники требует наличие в веб-браузере пользователя соответствующей уязвимости. Например, веб-сайт может содержать вредоносный медиа-контент, предназначенный для эксплуатации уязвимости Stagefright в Android.
Рекомендации по защите: Приобретение устройств у поставщиков или операторов мобильной связи, гарантирующих оперативное предоставление обновлений безопасности. Следует прекратить использование уязвимых устройств, которые не получают обновления безопасности по причине окончания срока поддержки.
В корпоративной среде рекомендуется ограничение и блокирование доступа к корпоративным ресурсам с мобильных устройств на которых не установлены последние обновления безопасности. Доступ с устройств Android может контролироваться на основе наличия исправлений. Доступ с устройств iOS можно контролировать на основе версии ОС.
Рекомендуется использование только последних версий мобильных ОС, которые, как правило, содержат не только исправления, но и имеют улучшенную архитектуру безопасности, обеспечивающую устойчивость к ранее необнаруженным уязвимостям.
Эксплуатация уязвимости через зарядную станцию или ПК (Exploit via Charging Station or PC)
Платформа: Android, iOS
Описание: Мобильное устройство может быть подключено (обычно через USB) к скомпрометированным зарядной станции или ПК, с помощью которых противник может попытаться получить доступ к устройству.
Известные демонстрации успешных атак:
Рекомендации по защите: Корпоративные политики безопасности должны препятствовать включению отладки USB на устройствах Android (если это не требуется, например, когда устройство используется для разработки приложений). На устройствах, которые предоставляют возможность разблокировать загрузчик, позволяя модифицировать прошивку, необходимы периодические проверки фактической блокировки загрузчика.
Не рекомендуется использовать общественные зарядные станции или компьютеры для зарядки своих устройств. Выдавайте пользователям зарядные устройства, приобретенные у надежного поставщика. Пользователям не рекомендуется добавлять доверенные устройства, если на это нет необходимости.
Эксплуатация уязвимостей через радио-интерфейсы (Exploit via Radio Interfaces)
Описание: Эксплуатация уязвимостей может происходить через интерфейс сотовой связи или другие радиоинтерфейсы.
Эксплойты базовой полосы
Сообщение, отправленное на мобильное устройство через радиоинтерфейс (обычно сотовый, но может быть и bluetooth, GPS, NFC, Wi-Fi и т.п.) может использовать уязвимости в коде, обрабатывающем полученное сообщение (например, уязвимость в Samsung S6).
SMS может содержать контент, предназначенный для эксплуатации уязвимостей анализатора SMS на принимающем устройстве. SMS также может содержать ссылку на веб-сайт, содержащий вредоносное содержимое. Уязвимые SIM-карты могут удаленно эксплуатироваться и перепрограммироваться с помощью SMS-сообщений.
Рекомендации по защите: Приобретение устройств у поставщиков или операторов мобильной связи, гарантирующих оперативное предоставление обновлений безопасности. Следует прекратить использование уязвимых устройств, которые не получают обновления безопасности по причине окончания срока поддержки.
В корпоративной среде рекомендуется ограничение и блокирование доступа к корпоративным ресурсам с мобильных устройств на которых не установлены последние обновления безопасности. Доступ с устройств Android может контролироваться на основе наличия исправлений. Доступ с устройств iOS можно контролировать на основе версии ОС.
Рекомендуется использование только последних версий мобильных ОС, которые, как правило, содержат не только исправления, но и имеют улучшенную архитектуру безопасности, обеспечивающую устойчивость к ранее необнаруженным уязвимостям.
Установка небезопасной или вредоносной конфигурации (Install Insecure or Malicious Configuration)
Платформа: Android, iOS
Описание: Противник может попытаться установить на мобильное устройство небезопасную или вредоносную конфигурацию с помощью фишингового письма или текстового сообщения, содержащего файл конфигурации в виде вложения или веб-ссылку на параметры конфигурации. В ходе установки параметров конфигурации пользователь может быть обманут с помощью методов социальной инженерии. Например, нежелательный сертификат центра сертификации (CA) может быть помещен в хранилище доверенных сертификатов устройства, что повышает восприимчивость устройства к атакам типа «человек по середине».
В iOS вредоносные профили конфигурации могут содержать нежелательные сертификаты Центра сертификации (CA) или другие небезопасные параметры, такие как адрес нежелательного прокси или VPN-сервера для маршрутизации трафика устройства через систему злоумышленника. Устройство также может быть зарегистрировано во вражеской системе управления мобильными устройствами (MDM).
Рекомендации по защите: В iOS 10.3 и выше добавлен дополнительный шаг, требующий действия пользователя для установки новых доверенных сертификатов CA. На Android, приложения, совместимые с Android 7 и выше (уровень API 24), по умолчанию доверяют только сертификатам CA, поставляемым с ОС, а не добавленным пользователем или администратором, что в целом снижает восприимчивость ОС к атакам типа «человек по середине».
Как правило, небезопасные или вредоносные параметры конфигурации не устанавливаются без согласия пользователя, поэтому пользователи должны знать, что не следует устанавливать непредвиденные параметры конфигурации (сертификаты CA, профили конфигурации iOS, установка подключения к MDM).
На Android, пользователь может просматривать доверенные сертификаты CA через настройки устройства с целью выявления подозрительных сертификатов. Корпоративные системы защиты мобильных устройств могут аналогичным образом проверять хранилище сертификатов на наличие аномалий в автоматическом режиме.
На iOS, пользователь может просматривать установленные профили конфигурации через настройки устройства и выявлять подозрительные профили. Аналогично и MDM-системы могут использовать API iOS MDM для проверки списков установленных профилей на наличие аномалий.
Обход блокировки экрана (Lockscreen Bypass)
Платформа: Android, iOS
Описание: Имея физический доступ к мобильному устройству противник может попытаться обойти экран блокировки устройства.
Противник может попытаться обмануть механизм биометрической аутентификации. iOS частично смягчает эту атаку, требуя пароль устройства, а не отпечаток пальца, после каждой перезагрузки и через 48 часов после последней разблокировки. Android имеет аналогичные механизмы защиты.
Угадывание кода разблокировки или простой перебор
Противник может пытаться перебором или каким-либо иным способом угадать код доступа, включая физическое наблюдение (sohulder surfing) во время использования пользователем устройства.
Иные эксплойты экрана блокировки
На Android 5 и iOS 6 и других мобильных устройствах периодически демонстрируются способы использования уязвимостей, позволяющих обойти экран блокировки. Уязвимости обычно исправляются компанией-разработчиком устройства или ОС, как только они узнают об их существовании.
Рекомендации по защите: Корпоративные политики безопасности мобильных устройств должны предъявлять требования к сложности пароля на устройстве. Корпоративная политика может включать автоматическое уничтожение всех данных на устройстве при многократном вводе неверного пароля. Обе эти политики направлены на предотвращение брутфорс-атак, угадывания или «подсматривания» кода доступа.
При необходимости, корпоративная политика так же может запрещать биометрическую аутентификацию. Однако, биометрическая аутентификация более удобна, чем использование длинного, сложного кода доступа, потому что его не придется вводить каждый раз.
Рекомендуется обязательная установка обновлений безопасности и использование последних версий мобильных ОС.
Переупакованные приложения (Repackaged Application)
Платформа: Android, iOS
Описание: Противник может загрузить приложение, дизассемблировать его, добавить вредоносный код, а затем снова повторно собрать (пример). Пересобранное приложение будет выглядеть как оригинальное, но содержать дополнительные вредоносные функции. Затем такое приложение может быть опубликовано в магазинах приложений или доставлено на устройство с помощью других техник.
Рекомендации по защите: Установка приложений только из авторизованных магазинов, которые с меньшей вероятностью содержат вредоносные переупакованные приложения.
Системы EMM/MDM и другие средства защиты мобильных приложений корпоративного уровня могут определять наличие нежелательных, неизвестных, небезопасных или вредоносных приложений на устройствах в автоматическом режиме.
Компрометация цепочки поставок (Supply Chain Compromise)
Платформа: Android, iOS
Описание: Компрометация цепочки поставок — это модификация программного продукта и механизмов доставки продукта до их получения потребителем с целью компрометации данных или системы. Противники могут использовать непреднамеренные уязвимости, поэтому во многих случаях трудно определить является уязвимая функциональность следствием злонамеренной или непреднамеренной ошибки.
Выявление уязвимостей в сторонних библиотеках ПО
Сторонние библиотеки, включенные в мобильные приложения, могут содержать вредоносный код, нарушающий конфиденциальность или создающий уязвимости. Известны примеры выявления уязвимостей и проблем безопасности в библиотеках мобильной рекламы.
Распространение вредоносных инструментов разработки ПО
Как продемонстрировала атака XcodeGhost, разработчики приложений могут использовать модифицированные версии инструментов разработки ПО (например, компиляторы), которые автоматически внедряют в приложение вредоносный код или уязвимость.
Рекомендации по защите: Небезопасные сторонние библиотеки могут быть обнаружены различными методами проверки приложений. Например, программа улучшения безопасности приложений Google обнаруживает использование сторонних библиотек с известными уязвимостями в приложениях Android, представленных в магазине Google Play. Средства разработки вредоносного ПО и модифицированные инструменты разработчиков ПО могут быть обнаружены с помощью систем контроля целостности файлов на компьютерах разработчиков.