移動安全通常比PC安全更為嚴(yán)格，但用戶仍可能被社交攻擊手段欺騙，智能手機(jī)也仍可能被黑客攻擊。手機(jī)仍然是計算設(shè)備，其用戶仍然是人，這兩者都是薄弱環(huán)節(jié)，在本文中，安全專家介紹了攻擊者可能入侵用戶手機(jī)的最常見方式。

智能手機(jī)革命本應(yīng)為科技行業(yè)提供一個推出安全計算平臺的第二次機(jī)會，這些新設(shè)備據(jù)稱是封閉的，能夠抵御惡意軟件，與容易出錯的個人電腦和易受攻擊的服務(wù)器不同。

但手機(jī)仍然是計算設(shè)備，其用戶仍然是人，這兩者都是薄弱環(huán)節(jié)。我們與安全專家進(jìn)行了交談，以更好地了解攻擊者可能入侵用戶手機(jī)的最常見方式，以下是我們的發(fā)現(xiàn)。

7種入侵手機(jī)的方式

? 零點擊間諜軟件

? 社交攻擊

? 惡意廣告

? 短信釣魚

? 假冒應(yīng)用

? 借口騙取

? 物理訪問

零點擊間諜軟件

智能手機(jī)上最可怕、最復(fù)雜的攻擊是零點擊攻擊，因為它們不需要明顯的用戶干預(yù)就能成功。KnowBe4的數(shù)據(jù)驅(qū)動防御倡導(dǎo)者羅杰·格里姆斯(Roger Grimes)解釋了商業(yè)監(jiān)控供應(yīng)商(CSVs)如何將這些漏洞武器化。

CSVs——有時也被稱為商業(yè)間諜軟件供應(yīng)商——是向出價最高者出售惡意軟件和漏洞的犯罪組織?！癈SVs是當(dāng)今我們發(fā)現(xiàn)的大多數(shù)零日漏洞的幕后黑手，尤其是在手機(jī)上，”格里姆斯說?！?023年，零日漏洞被用于攻擊的次數(shù)超過了非零日漏洞?！弊钗ｋU的變體不需要用戶交互：“受害者什么也不用做，”他解釋道?！傲闳章┒磿跊]有任何終端用戶接觸的情況下啟動，或者用戶只需閱讀一條消息、打開一封電子郵件、打開一個附件或點擊一個鏈接?！?

格里姆斯強(qiáng)調(diào)，許多漏洞就像發(fā)送一條后臺推送消息或WhatsApp文本一樣簡單——“用戶是否看到它并不重要?！彼a(bǔ)充道：“通過零點擊攻擊，你幾乎可以接觸到所有你能聯(lián)系到的受害者?！边@些攻擊通常以六位數(shù)或七位數(shù)的價格出售給商業(yè)供應(yīng)商或國家?！皳?jù)傳，像美國這樣足夠強(qiáng)大的國家擁有數(shù)千個零點擊攻擊，并在需要時使用它們?！?

格里姆斯指出，雖然零點擊漏洞對高價值目標(biāo)構(gòu)成了嚴(yán)重且持續(xù)的威脅，“但這并不針對大眾，”他說。普通用戶面臨著大量低技術(shù)含量的攻擊——但在許多情況下，它們同樣危險。

社交攻擊

對于任何黑客來說，入侵任何設(shè)備最簡單的方法就是讓用戶自己打開門。當(dāng)然，實現(xiàn)這一點說起來容易做起來難，但這是大多數(shù)社交攻擊的目標(biāo)。

智能手機(jī)操作系統(tǒng)通常比個人電腦或服務(wù)器具有更嚴(yán)格的安全機(jī)制，應(yīng)用程序代碼在沙盒模式下運(yùn)行，防止其提升權(quán)限并接管設(shè)備，但是，這種備受贊譽(yù)的安全模式——即移動用戶需要采取肯定行動才能讓代碼訪問手機(jī)操作系統(tǒng)或存儲的保護(hù)區(qū)域——有一個缺點：它導(dǎo)致彈出大量提示消息，我們中的許多人學(xué)會了忽略這些消息。

“移動設(shè)備上的應(yīng)用程序會隔離權(quán)限，以保護(hù)用戶免受惡意應(yīng)用程序隨意訪問數(shù)據(jù)的影響，”Kuma的安全分析師卡塔利諾·維加三世(Catalino Vega III)說?！疤崾咀兊煤苁煜ぃ骸阆朐试S此應(yīng)用程序訪問你的照片嗎?’由于用戶體驗將接受大多數(shù)提示視為訪問功能的途徑，因此大多數(shù)用戶會允許應(yīng)用程序訪問其請求的任何內(nèi)容?！?

Polyguard的CEO兼聯(lián)合創(chuàng)始人喬舒亞·麥肯蒂(Joshua McKenty)表示，有組織團(tuán)體使用的新技術(shù)工具正在推動社交攻擊的復(fù)蘇，例如“由AI助力的各種形式的網(wǎng)絡(luò)釣魚和社交攻擊，”他說。“這包括深度偽造、高度個性化的電子郵件和短信詐騙，它們利用了數(shù)據(jù)泄露中的身份信息?！?

惡意廣告

傳統(tǒng)上用于生成這些欺騙性對話框的機(jī)制之一是所謂的“惡意廣告”，它們寄生在為移動廣告生態(tài)系統(tǒng)開發(fā)的基礎(chǔ)設(shè)施上，無論是在瀏覽器中還是在應(yīng)用程序內(nèi)。

Polyguard的CTO兼聯(lián)合創(chuàng)始人卡德姆·巴迪揚(yáng)(Khadem Badiyan)稱這是一種正在消亡的經(jīng)典方式?！坝捎跒g覽器沙盒技術(shù)的進(jìn)步、應(yīng)用商店政策的收緊以及從傳統(tǒng)網(wǎng)頁瀏覽向以應(yīng)用為中心的移動使用的普遍轉(zhuǎn)變，惡意廣告的效果已大打折扣?！彼f。

但ADAMnetworks的雷德科普(Redekop)認(rèn)為，惡意廣告仍在網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)中占據(jù)重要地位。“考慮到谷歌定期報告通過其TAG公告刪除的域名數(shù)量，以及第三方報告稱谷歌在2024年屏蔽了51億條有害廣告并暫停了3920萬個廣告商賬戶，很明顯，惡意廣告問題遠(yuǎn)未過時?！彼f。

短信釣魚

攻擊者用來讓受害者點擊鏈接的另一種方式是短信(SMS)消息，即所謂的短信釣魚或smishing。

“網(wǎng)絡(luò)犯罪分子可以通過多種方式使用短信釣魚，具體取決于他們的意圖和目標(biāo)，”Wire的首席營收官拉斯穆斯·霍爾斯特(Rasmus Holst)說。“如果目標(biāo)是在設(shè)備上安裝惡意軟件，那么通常會附加一個文件，并附上一條試圖說服用戶點擊并下載的消息。例如，網(wǎng)絡(luò)犯罪分子可以冒充受信任的人，如雇主或經(jīng)理，要求員工查看附件文檔，為忙碌且毫無戒心的受害者設(shè)下陷阱。”

短信釣魚是一種久經(jīng)考驗的黑客技術(shù)，但Polyguard的麥肯蒂(McKenty)表示，如今“挑戰(zhàn)在于讓鏈接‘可點擊’”?！霸谶^去的幾個月里，我們看到了蘋果短信鏈接防御中的多個漏洞被利用，這包括通過Google等受信任域名(利用AMP和Google Sites漏洞)發(fā)送惡意鏈接，利用‘基本身份驗證保護(hù)’URL的例外情況，使用用戶:密碼@主機(jī)的罕見格式中的空憑證，甚至利用空子域周圍的明顯解析漏洞?！?

假冒應(yīng)用

另一種說服人們在其手機(jī)上感染惡意軟件的社交工程手段是說服他們下載他們認(rèn)為想要但實際上是有害的應(yīng)用程序。麥肯蒂(McKenty)指出，“能夠訪問相機(jī)、麥克風(fēng)或位置的玩具和游戲”是這類應(yīng)用程序中特別有力的版本。

由于手機(jī)具有沙盒模型，將應(yīng)用程序代碼與操作系統(tǒng)隔離，因此這類應(yīng)用程序過去專門針對“越獄”的iPhone，即用戶已修改以安裝不符合蘋果標(biāo)準(zhǔn)的應(yīng)用程序的iPhone，但曾在國家安全局(NSA)工作多年、現(xiàn)任移動安全公司iVerify聯(lián)合創(chuàng)始人兼首席運(yùn)營官的羅基·科爾(Rocky Cole)表示，那些日子已經(jīng)一去不復(fù)返了。

“說到針對iOS的移動電話黑客攻擊，‘越獄’這個詞已經(jīng)沒有太大意義了，”他說?！拔覀円呀?jīng)多年沒有看到與iOS漏洞相關(guān)的越獄了。實際的iOS黑客攻擊都很復(fù)雜，通常是國家行為體和商業(yè)間諜軟件供應(yīng)商的領(lǐng)域。對于安卓系統(tǒng)來說，大多數(shù)‘黑客攻擊’都涉及以某種方式加載惡意應(yīng)用程序，要么是通過潛入某個應(yīng)用商店，要么是說服用戶側(cè)載它，要么是以某種更復(fù)雜的方式讓它運(yùn)行。”

借口騙取

如果用戶不愿意放棄對其設(shè)備的控制權(quán)，攻擊者可以繞過他們，直接聯(lián)系他們的移動運(yùn)營商。你可能還記得21世紀(jì)中期英國媒體的丑聞，當(dāng)時小報使用他們所謂的“誘騙”技術(shù)來訪問名人和犯罪受害者的手機(jī)語音信箱，這一過程也被稱為借口騙取，涉及攻擊者拼湊出關(guān)于受害者的足夠個人信息，以便在與受害者的手機(jī)運(yùn)營商通信時冒充他們，從而獲得對受害者賬戶的訪問權(quán)限。

小報只是為了獲取獨家新聞，但犯罪分子可以使用同樣的技術(shù)造成更大的損害。“如果驗證成功，攻擊者會說服電話運(yùn)營商將受害者的電話號碼轉(zhuǎn)移到他們擁有的設(shè)備上，這就是所謂的SIM卡交換，”Infosec Institute的信息安全經(jīng)理亞當(dāng)·科恩克(Adam Kohnke)說?！巴ㄔ?、短信和訪問代碼——比如銀行或金融服務(wù)提供商通過短信發(fā)送到手機(jī)的第二因素身份驗證代碼——現(xiàn)在都會發(fā)送給攻擊者，而不是你?！?

獲取他人手機(jī)的物理訪問權(quán)限

在他人手機(jī)上安裝惡意軟件最明顯(但常被忽視)的方法之一，就是一旦獲得其設(shè)備的物理訪問權(quán)限后手動安裝，這在家庭暴力或跟蹤場景中尤為重要，但也被用于商業(yè)間諜活動。

“當(dāng)有人獲得設(shè)備的物理訪問權(quán)限時，風(fēng)險格局會發(fā)生顯著變化，”Polygaurd的Badiyan表示，“FlexiSPY、mSpy或Xnspy等工具可以快速安裝并靜默運(yùn)行，捕獲短信、通話記錄、GPS位置，甚至能在用戶不知情的情況下激活麥克風(fēng)或攝像頭。對于商業(yè)間諜活動，惡意配置文件(尤其是iOS上的)或側(cè)載的APK(Android上的)可以被部署以重定向數(shù)據(jù)、操縱網(wǎng)絡(luò)流量或引入持久后門。此外，還存在基于硬件的威脅：惡意充電線、鍵盤記錄器或植入設(shè)備，這些可以竊取數(shù)據(jù)或注入惡意軟件，然而，這些手段在高價值目標(biāo)之外并不常見?！?

Badiyan表示，如果有人知道你的PIN碼，生物識別防御也可能被繞過?！叭绻粽呤褂媚愕拿艽a解鎖了你的設(shè)備，他們可以添加自己的指紋或面部掃描，從而在不留下可見痕跡的情況下獲得持久訪問權(quán)限，”他說，“緩解措施包括設(shè)置強(qiáng)設(shè)備密碼、生物識別控制、鎖定狀態(tài)下禁用USB配件，以及定期審計已安裝的配置文件和設(shè)備管理設(shè)置?！?

藍(lán)牙和Wi-Fi黑客攻擊已不再流行

據(jù)安全專家稱，曾經(jīng)常見的兩種獲取手機(jī)及其數(shù)據(jù)訪問權(quán)限的方式——藍(lán)牙和Wi-Fi——現(xiàn)在已基本得到保障。

ADAMnetworks的CEO David Redekop列出了使Wi-Fi不再是攻擊途徑的幾個因素：“公共用戶在使用舊版Wi-Fi網(wǎng)絡(luò)時越來越多地使用VPN進(jìn)行自我保護(hù);常見的大品牌Wi-Fi主機(jī)正在實施現(xiàn)代硬件以關(guān)閉漏洞;而且，自愛德華·斯諾登事件以來，越來越多的公共網(wǎng)站和服務(wù)都進(jìn)行了加密，即使Wi-Fi中間人攻擊也無法獲取太多有用信息?！?

Polyguard的CEO Joshua McKenty補(bǔ)充道：“像BlueBorne這樣依賴藍(lán)牙堆棧漏洞的藍(lán)牙攻擊也已經(jīng)減少。移動操作系統(tǒng)定期更新補(bǔ)丁和收緊權(quán)限已經(jīng)關(guān)閉了大多數(shù)此類途徑?！?

他們已經(jīng)侵入，接下來呢?

一旦攻擊者使用上述技術(shù)之一獲得了立足點，他們的下一步是什么?

盡管智能手機(jī)操作系統(tǒng)最終源于類Unix系統(tǒng)，但成功入侵的攻擊者會發(fā)現(xiàn)，他們所處的環(huán)境與PC或服務(wù)器截然不同，Sencode Cybersecurity的總監(jiān)Callum Duncan表示。

“大多數(shù)應(yīng)用程序通過本質(zhì)上屬于API調(diào)用的方式與操作系統(tǒng)和其他應(yīng)用程序交互，”他說，“iOS和Android的內(nèi)核與任何類似于Unix的基底都大不相同，因此共享漏洞幾乎不可能。兩種設(shè)備都存在命令行，但只有最高權(quán)限才能訪問，而且通常只能通過越獄或獲取root權(quán)限來訪問?！?

但這并不意味著不可能?！斑@種類型的攻擊確實存在，”Duncan說，“權(quán)限提升將是這一過程的關(guān)鍵，繞過內(nèi)置安全機(jī)制將很困難，但任何能夠在用戶設(shè)備上運(yùn)行代碼的攻擊者都在這樣做——在用戶設(shè)備上運(yùn)行代碼——因此，如果他們足夠聰明，他們可以讓設(shè)備做任何他們想做的事情。像NSO集團(tuán)這樣的國家資助團(tuán)體已經(jīng)利用這些技術(shù)為政府和高知名度個人建立了完整的商業(yè)模式?！?

Coalfire的應(yīng)用安全卓越中心總監(jiān)Caitlin Johanson表示，在設(shè)備上獲得立足點的攻擊者可以訪問大量敏感數(shù)據(jù)。

“SQLite等數(shù)據(jù)存儲庫由已安裝的應(yīng)用程序創(chuàng)建，可能包含從網(wǎng)頁請求和響應(yīng)內(nèi)容到潛在敏感信息和cookie的所有內(nèi)容，”她說，“iOS和Android中常見的弱點包括在內(nèi)存中緩存應(yīng)用程序數(shù)據(jù)(如身份驗證憑據(jù))，以及運(yùn)行應(yīng)用程序的縮略圖或快照的持久性，這些可能會無意中將敏感信息存儲到設(shè)備上。敏感信息——最常未加密——在瀏覽器cookie值、崩潰文件、偏好設(shè)置文件和以易于閱讀的格式創(chuàng)建的Web緩存內(nèi)容中大量存在，這些內(nèi)容直接存儲在設(shè)備上?！?

“為開發(fā)目的而創(chuàng)建的工具正是攻擊者更容易提取、交互甚至修改此類數(shù)據(jù)的原因，例如Android上的abd或iOS上的iExplorer或plutil，”她繼續(xù)說道，“標(biāo)準(zhǔn)實用程序可用于檢查從設(shè)備復(fù)制的任何數(shù)據(jù)庫文件，如果我們需要解密，還有像Frida這樣的工具可以運(yùn)行腳本來解密存儲的值?！?

盜賊團(tuán)伙

這些都不容易，大多數(shù)用戶不會點擊網(wǎng)絡(luò)釣魚短信鏈接或授予可疑應(yīng)用程序增強(qiáng)權(quán)限。即使黑客在設(shè)備上獲得了立足點，他們也常常被設(shè)備內(nèi)置的安全措施所阻撓。

但攻擊者有一個優(yōu)勢：堅定的決心?！肮粽邉?chuàng)建高度可重復(fù)和自動化的模型，從各個角度嘗試撬開移動應(yīng)用程序或新操作系統(tǒng)版本的弱點，希望找到一個薄弱點，”Lookout的產(chǎn)品營銷總監(jiān)Hank Schless解釋道，“一旦他們找到可利用的弱點，就會嘗試在修復(fù)發(fā)布之前盡快利用它?！?

也許最大的漏洞在于人類的自滿情緒：盡管有十多年的證據(jù)表明情況并非如此，但許多人仍然認(rèn)為智能手機(jī)是安全的，將其與信息安全的其他方面區(qū)分開來?！耙恢逼毡榇嬖诘囊环N觀念是，手機(jī)不是傳統(tǒng)的終端設(shè)備，而且除了極少數(shù)例外情況外，它們并未被納入桌面設(shè)備等其他設(shè)備的標(biāo)準(zhǔn)和實踐中，”iVerify的Cole說，“我們已經(jīng)過了將移動安全視為小眾話題或自制解決方案的階段，它們需要被納入任何全面的終端檢測和響應(yīng)策略中?！?

我如何知道自己的手機(jī)是否被黑了?

擔(dān)心自己的手機(jī)被黑了?我們采訪的兩位專家建議留意以下危險信號：

ADAMnetworks的CEO David Redekop：

? 如果手機(jī)上有未請求的應(yīng)用程序，要小心。

? 如果安裝的應(yīng)用程序功能簡單，它可能是在提供一個有用的功能，同時秘密執(zhí)行另一個功能。

? 警惕任何權(quán)限不是絕對必要的應(yīng)用程序。例如，除了地圖外，通常不需要地理位置權(quán)限。

Pixel Privacy的消費者隱私倡導(dǎo)者Chris Hauk：

? 你的設(shè)備是否突然開始使用比平時更多的數(shù)據(jù)，經(jīng)常達(dá)到每月數(shù)據(jù)限制，而你卻沒有改變上網(wǎng)習(xí)慣?這可能是間諜軟件在向“家”發(fā)送數(shù)據(jù)或執(zhí)行惡意操作。

? 如果你的智能手機(jī)開始無緣無故地重啟，可能是有人在你的設(shè)備上安裝了惡意軟件或間諜軟件。

? 在模擬電話線時代，我們習(xí)慣了背景噪音，如嗡嗡聲或其他聲音泄露到我們的通話中，然而，今天的數(shù)字電話網(wǎng)絡(luò)已經(jīng)基本消除了這些噪音。如果你聽到其他聲音或未知聲音，可能有人在竊聽你的通話。

? 雖然看到設(shè)備電池壽命逐年下降只是擁有智能手機(jī)的一部分，但電池壽命突然下降可能意味著間諜軟件或惡意軟件正在讓你的設(shè)備超負(fù)荷工作，在后臺運(yùn)行進(jìn)程。你的手機(jī)工作越努力，電池壽命就越短。你可能會同時經(jīng)歷數(shù)據(jù)使用量增加的情況。