Для большинства людей хакеры остаются таинственными персонажами, которые взламывают рабочие компьютеры и проникают в IT-системы государственных и коммерческих организаций, а мобильные устройства рядовых сотрудников компаний оставляют без внимания. На самом деле смартфоны подвержены атакам даже чаще, чем вся остальная инфраструктура компании.  

Статистика мобильных угроз

Известно, что мобильный трафик уже превосходит трафик десктопных компьютеров и ноутбуков. Только в 2018 году посещения сайтов с мобильных устройств составляли 58% от всего количества посещений, и эта цифра будет только расти. Это означает, что мобильные устройства необходимо защищать от угроз, которые подстерегают их в веб-пространстве. 

Согласно исследованию специалистов из Check Point, атаки хакеров на мобильные устройства вошли в топ-3 самых распространенных типов кибератак в 2019 году и составляют 27% от их общего количества. 

Классификация мобильных угроз

Международное исследовательское агентство Gartner давно обратило внимание на проблему мобильных угроз для коммерческих организаций и в 2019 году выпустило собственное исследование, в котором разделяет угрозы на три основных вида: 

  1. Угрозы уровня устройства.
  2. Угрозы уровня сети.
  3. Угрозы уровня приложений.

Мы разберем каждый вид отдельно. 

Угрозы уровня устройства

На уровне устройства угрозы связаны напрямую с программно-аппаратной начинкой устройства, включая операционную систему, драйверы и настройки. Злоумышленники ищут пути, как обойти заводскую защиту устройств, чтобы завладеть содержащейся на них информацией. Для атаки на системном уровне хакеры чаще всего используют эксплоиты, созданные ими собственноручно или же находящиеся в открытом доступе на специализированных форумах. Эксплоит — это программа, фрагмент программного кода или последовательность команд, которые используют уязвимости в программном обеспечении и применяются для осуществления атаки на вычислительную систему.

Для выявления неверных настроек безопасности и уязвимостей устройства хакеры могут использовать недоработки в:

  • версиях ОС;
  • версиях обновлений безопасности;
  • системных параметрах;
  • конфигурации устройства;
  • микропрограммном обеспечении;
  • системных библиотеках.

Повышенные привилегии — Jailbreak на iOS-устройстве или Root-доступ на Android — существенно облегчают задачу хакерам. Существует стереотип, что iOS меньше подвержен атакам, чем Android. Дело в том, что Apple начала уделять внимание защите своих девайсов намного раньше, чем это стали делать вендоры, производящие устройства на Android, и существенно ограничили многообразие версий. Все телефоны и планшеты Apple работают только с версиями iOS от Apple, и, в отличие от Android, другие вендоры не имеют возможности модифицировать эту ОС. Тем не менее, в наши дни защита обеих ОС находится примерно на одинаковом уровне и утверждать, что iOS меньше подвержена атакам, мы не можем.

Только в апреле 2020 года было обнаружено несколько новых критических уязвимостей в iOS, позволяющих злоумышленникам получать доступ к камере устройства при переходе пользователем по ссылке или выполнять вредоносный код удаленно при получении специально подготовленного электронного письма на встроенный почтовый клиент устройства. Причем, во втором случае пользователю даже не требуется открывать это письмо.

Угрозы уровня сети

Смартфон использует целый ряд различных способов и протоколов для общения с миром: 3G/LTE/5G, Bluetooth, WiFi, USB-кабель подключения к компьютеру, голосовые звонки и SMS. Контроль любого из этих каналов связи позволяет злоумышленнику вести прослушку и модифицировать данные на лету незаметно для пользователя, манипулируя его действиями и действиями программного обеспечения на устройстве. 

Используя фиктивные/уязвимые точки доступа Wi-Fi или базовые станции, злоумышленники проводят атаки типа  “Man-in-the-Middle” (MITM) или «человек посередине», вставая между клиентом (устройством пользователя) и сервером (ресурсом в сети). Особенно опасны атаки, при которых злоумышленнику удается просматривать зашифрованные при помощи TLS/SSL данные сайтов (то есть передающихся по HTTPS), включая логины и пароли. Это достигается либо снятием шифрования (технология SSL Stripping), когда осуществляется перенаправление в браузере на поддельную версию сайта без шифрования, либо подменой сертификата (SSL Inspection), что позволяет устройству злоумышленника подменять оригинальный сервер и далее обращаться к нему от лица пользователя. 

Вторая технология также подразумевает, что обманутый пользователь устанавливает соответствующий профиль сетевого подключения на устройство. Типовой пример: вы подключаетесь к доступной Wi-Fi точке в аэропорту или кафе, попадаете на страницу, где должны согласиться с условиями сервиса и авторизовать устройство. Неискушенный пользователь подтвердит предлагаемую настройку. Он не будет думать о последствиях и обращать внимание на предупреждения системы.

Отдельный класс угроз на уровне сети — это всевозможные ссылки, посещаемые пользователем. Они включают в себя фишинг, скачивание вредоносных файлов и веб-страницы с эксплоитами. Причем существует неограниченное количество удобных для злоумышленников и их жертв способов получения этих ссылок: корпоративная и личная электронная почта, мессенджеры, SMS, QR-коды, короткие ссылки и другие. Как итог — украденные учетные записи и зараженные устройства.

Угрозы уровня приложений

Приложения с вредоносным ПО могут скрываться под видом популярных брендов или маскироваться на общем фоне в свете какого-нибудь события. Например, сейчас участились случаи обнаружения такого ПО в приложениях, связанных с темой коронавируса. В магазинах приложений App Store и Play Market ежедневно блокируются сотни приложений, которые не проходят проверку на вредоносное ПО. Хакеры используют приложения для внедрения различного рода вредоносов, которые могут просто кликать по рекламе, а могут зашифровать информацию на устройстве и вымогать деньги у владельца. Представьте, пользователю требуются платные функции сервиса видеоконференций, например, но он не хочет за них платить. «Взломанные» версии популярного ПО легко находятся поиском, но чаще всего у них есть вредоносная «нагрузка».

Также существует термин «серое ПО» — его еще называют нежелательным. Это такие приложения, которые не обязательно являются вредоносными, но могут конфликтовать с корпоративными политиками и подвергать риску корпоративные данные. Серое ПО включает в себя приложения, которые могут привести к утечке данных. Пример серого ПО — это приложения, у которых есть разрешения на доступ к списку контактов устройства и они собирают эту информация для отправки рекламодателю.

Устройств на базе Android большое разнообразие, и известны случаи, когда вредоносное ПО (обычно шпионское) было вообще предустановлено каким-то местным малоизвестным производителем еще при производстве. 

Как защититься 

На рынке кибербезопасности существует отдельная группа решений, которые называются MTD (Mobile Threat Defence) и их основная задача —  это защита мобильных устройств от угроз. 

Руководители служб безопасности и риск-менеджмент компаний, которые хотят повысить безопасность мобильных устройств, должны обращать больше внимания на MTD. Эти решения защищают от всех трех типов угроз.

На уровне устройства MTD отслеживают такие показатели, как:

  • версии ОС;
  • версии обновлений безопасности;
  • системные параметры;
  • конфигурация устройства;
  • микропрограммное обеспечение;
  • системные библиотеки.

Они помогают выявлять неверные настройки безопасности, уязвимости устройства, а также подозрительные или вредоносные действия. MTD-инструменты проверяют изменения в системных библиотеках и конфигурациях, а также наличие на устройстве Jailbreak или Root-доступа.

На уровне сети инструменты MTD отслеживают трафик сотовой и Wi-Fi сетей на предмет несанкционированного, подозрительного или вредоносного поведения. MTD могут проверять наличие недействительных или поддельных сертификатов, а также выявлять уязвимости в протоколах TLS и SSL и использовать другие методы для обнаружения MitM-атак. Продвинутые решения позволяют обнаруживать и блокировать фишинг, причем в любых сообщениях, а не только в SMS. 

На уровне приложений MTD определяют нежелательные и вредоносные программы. Для этого используются статические методы анализа, включая сигнатуры и репутацию известных угроз, оценку запрашиваемых приложением разрешений, используемые библиотеки. Для выявления вредоносов «нулевого дня», против которых еще не были разработаны защитные механизмы, применяются также динамические методы анализа, такие как контролируемый запуск в виртуальной среде и мониторинг действий и инспекция сетевого трафика приложения. Некоторые производители MTD выполняют также разбор мобильных приложений до уровня исходного кода, чтобы гарантированно обнаружить угрозу.

Как внедряют MTD

С точки зрения интеграции решение MTD эффективнее всего работает в паре с Mobile Device Management, хотя может работать и отдельно. Смартфон все время находится «в облаке», то есть подключен к интернету, и облачная платформа управления устройствами наиболее удобна. Например, МегаФон в партнерстве с Check Point предоставляет MTD-решение Антивзлом Бизнес по облачной модели. 

Функционал MTD-решений можно сопоставить с классификацией мобильных угроз: как и говорилось ранее, они действуют по всем трем направлениям. 

Например, вот как MTD от МегаФона защищает устройства от угроз:
 

Защита от вредоносных файлов и приложений

MTD проверяет приложения и установочные файлы при первом сканировании, установке новых приложений и обновлений. Сканирование данных происходит только в моменты каких-либо изменений на устройстве, чтобы не разряжать батарею.

Для администраторов по безопасности присутствует веб-консоль мониторинга угроз, позволяющая в реальном времени отслеживать подозрительную активность и ограничивать доступ зараженных устройств к корпоративным ресурсам. В ней доступны виджеты с такими метриками как: 

  • уровень риска и его изменение во времени;
  • топ отраженных угроз и их уровень опасности;
  • число подключенных устройств и статус защиты;
  • распределение отраженных угроз по типам атак.

Оценка конфигурации устройства

Приложение проверяет доступные обновления ОС и настройки устройства, включая различные профили, административный доступ и специфические для iOS или Android параметры; а затем предупреждает об уязвимостях и предлагает пути их устранения. Это позволяет защитить устройство от несанкционированного доступа.

Защита от сетевых атак и обнаружение фиктивных/взломанных точек Wi-Fi 

Решение распознает сетевые атаки и уведомляет о них пользователя, а также предупреждает о подключении к подозрительным сетям Wi-Fi, в которых злоумышленник может перехватить информацию.

Блокировка фишинговых ссылок и вредоносных модулей на сайтах

Программа обнаруживает и не позволяет открыть новые фишинговые ссылки как в браузере, так и в любых мессенджерах. Это эффективный фильтр между интернет-ресурсом и устройством, который предотвращает утечку личных данных, например, логинов и паролей.

Антибот

Решение проверяет исходящие подключения от браузера и других приложений и блокирует доступ к серверам управления злоумышленников, что не позволяет хакерам контролировать зараженные устройства, собирать с них информацию, а также организовывать с их помощью кибератаки внутри и вне организации, включая DDoS-атаки.

Условный доступ

Применяемая на устройстве политика безопасности автоматически ограничивает доступ к корпоративным ресурсам, если устройство заражено или находится под атакой. Интеграция с ведущими MDM/UEM решениями позволяет автоматически ограничить доступ к конфиденциальной информации на самом устройстве, а также, например, отключить камеру или микрофон на территории офиса компании.

Про приватность 

Приложение не вторгается в личное пространство пользователя и не отслеживает его активность в сети Интернет. 

Решение проверяет настройки устройства и список установленных приложений, но не имеет доступа к данным внутри приложений. Переписка, фотографии и контакты пользователей остаются нетронутыми. 

В отличие от других решений класса MTD на рынке, веб-трафик мобильного устройства не перенаправляется на внешний сервер для инспекции. Проверка посещаемых ресурсов, включая SSL-сертификат, осуществляется на самом устройстве, что благоприятно сказывается на экономии заряда аккумулятора. Администратор, как и пользователь, получают оповещения только о заблокированных угрозах. 

Чтобы узнать больше про решение МегаФона, переходите на страницу Антизвлом Бизнес.