本文为2013年5月18日在乌云北京沙龙所做报告的部分摘要。文章所述观点仅代表本人,不代表本人所在企业或其他组织。
一、引言
移动客户端的漏洞在当前并未受到重视。
从用户的角度来说,对移动软件安全中的反病毒、软件漏洞和软件版权这三个方面并不能很好的区别开;甚至安全企业、安全组织和机构、安全研究人员在移动领域也经常滥用“移动安全”这个词,将其狭义地定义为移动应用中是否存在恶意行为;最关键的是,软件开发者并不太关心自身软件是否存在安全漏洞,这一方面是所谓的attack surface相比于传统web系统或服务器而言太窄,另一方面则有商业竞争和快速迭代特性开发的因素。
然而,如果考虑到当前的诸多针对性攻击,移动软件漏洞将在下一波攻击中变得越来越重要。移动软件漏洞与针对性攻击的结合已经是一种必然的趋势,这种结合也已经发生。
二、针对性攻击
针对性攻击的特点包括:攻击者拥有最先进的经验、能力、工具和人力,长时间地、精准地对确定的目标发起全方位的隐蔽性攻击,以获得实现知道的目标,并从现实世界的角度获得更大的受益。
这类攻击的典型代表是Stuxnet系列攻击。美国政府发起的这个对伊朗核电站的系列攻击曾成功地导致伊朗核武器生产陷入停滞状态,其中的技术手段非常经典。
从过程来看,针对性攻击有一个确定目标、搜集信息、长期渗透、开展攻击的过程,其中会结合社会工程学、软件和系统漏洞、恶意代码等手段。
三、移动平台的特点
相比于PC平台,移动终端在多个方面具有显著的差异。这些差异将成为新的攻击目标。
从通信的角度,移动终端拥有2G/3G/LTE等移动通信渠道,WiFi网络连接,USB数据连接,蓝牙设备连接,NFC近场通信,PC网络互相共享等。这些通信渠道使得移动终端是:1)几乎随时在线;2)连接了办公网络和家庭网络;3)连接了真实世界。
从社交的角度,移动终端中往往包含了联系人、短信、通话、SNS数据、身份数据和日历信息,移动设备已经几乎成为了身份的标志,而这种身份非常容易发生伪造。
从地理的角度,移动终端中包含了当前的粗略和精确地理位置、包含了地理位置的历史记录、包含了LBS应用的搜索查询记录。与日历信息、时间信息、通信记录等结合起来,可以精确地定位到个人的下一步行程。
从移动办公的角度,移动终端已经成为标准的办公设施,邮件、VPN、Wifi和企业应用等方案均已经非常成熟。
因此,移动平台可以为针对性攻击在确定目标、搜集信息、交叉渗透等多个角度提供比PC更为有用的帮助。
四、Android平台的漏洞
在Android 2.1-2.3系统,此前已经出现了多个通用的提权漏洞;在4.0.4之后,主要是针对三星、摩托罗拉等特定机型出现了针对性的提权漏洞。被忽略的两个问题是,一、部分有root或system权限的软件出现漏洞后,可能导致攻击者同样获得类似于提权的攻击效果;二、对特定机型驱动和系统定制部分的漏洞挖掘难度并不太高。
对系统和第三方库而言,此前在webview、flash player等组件中曾出现大量的漏洞,甚至出现远程执行的漏洞。第三方库的1day问题被长期忽视。
应用软件漏洞问题则更为严重,国内外主流互联网企业的移动客户端均曾出现安全漏洞,大部分都可以导致本地数据泄露或服务器端数据泄露。在针对性攻击的场景下,以往对客户端漏洞的定义已经显然不够适用。
五、案例
移动端针对性攻击的案例包括:
1. Ssucl,它会从移动终端通过USB设备的自动运行特性感染PC,在PC上安装麦克风驱动,监听PC端的语音信息并回传;同时,它还读取SD卡上的所有文件回传,这涉及所谓的应用软件外部明文存储的安全漏洞。
2. 在Xuxian Jiang发现Android系统预装短信软件存在本地任意短信号码和内容构造的漏洞之后,不到一个月的时间,我们已经发现了实际采用这一漏洞的恶意代码。
3. Chuli恶意代码针对政治性组织定向攻击,并查询手机中已安装软件信息,针对性挖掘漏洞并投放漏洞利用代码。
4. 2013年4月中旬,乌云平台连续报告了华为手机的五个提权漏洞。
六、方案
对移动平台针对性攻击的方案,从反病毒、主动防御、MDM、设备加密、系统加固、沙盒等来看,均存在各类不足,而这些方案均有的问题包括:
1. 均难以检测和防止漏洞利用
2. 均难以抵抗看似一般的信息搜集
3. 均难以对抗针对性、隐蔽性攻击
七、结论
在针对性攻击与移动平台的结合中,移动平台的漏洞问题将越来越重要,并带来相应的技术挑战和机遇。