如今大多企業(yè)員工幾乎每天都需要用到移動(dòng)端的某些應(yīng)用來完成相關(guān)工作，但是一旦惡意攻擊者盯上了你手機(jī)上的某個(gè)應(yīng)用，那么設(shè)備遭受攻擊所帶來的影響可能就是連鎖式的。

一、五大危害企業(yè)的移動(dòng)端威脅

Lookout產(chǎn)品總監(jiān)David Richardson和他的團(tuán)隊(duì)研究總結(jié)出五大移動(dòng)端惡意軟件家族，冒充真正的企業(yè)應(yīng)用，引誘員工下載惡意軟件。研究顯示，這五個(gè)活躍的移動(dòng)惡意軟件家族通常通過竊取合法應(yīng)用的名稱和包名稱來模擬一些企業(yè)應(yīng)用，例如思科的商務(wù)電子郵件應(yīng)用、ADP、Dropbox、FedEx Mobile、Zendesk、VMware的Horizon Client、Blackboard的Mobile Learn等等。

1. Shuanet

Shuanet能夠?qū)⑵渥陨碜詣?dòng)安裝在設(shè)備的系統(tǒng)分區(qū)上，獲得設(shè)備root權(quán)限，達(dá)到進(jìn)一步安裝其它應(yīng)用的目的。這些應(yīng)用程序可能是惡意的也可能是良性的，推送至手機(jī)，提高惡意軟件的下載幾率。Shuanet可能也會(huì)向設(shè)備推送各種小廣告。

企業(yè)將面臨的風(fēng)險(xiǎn)

被root設(shè)備的安全狀態(tài)已經(jīng)發(fā)生改變。很多人會(huì)利用root權(quán)限對(duì)設(shè)備進(jìn)行自定義設(shè)置，但是他們往往都不會(huì)去做安全性的合理配置，可能也不會(huì)進(jìn)行定期的軟件更新。另外，Shuanet這樣的惡意軟件會(huì)在系統(tǒng)分區(qū)中自動(dòng)安裝，即使恢復(fù)出廠設(shè)置也難以去除。最后，安裝應(yīng)用的惡意軟件可能會(huì)將更多的惡意應(yīng)用程序植入該設(shè)備，使設(shè)備及數(shù)據(jù)暴露在更高的風(fēng)險(xiǎn)中。

受害應(yīng)用程序舉例：ADP Mobile Solutions、CamCard Free、Cisco Business Class Email(BCE)、Duo Mobile、Google Authenticator、VMWare Horizon Client、Zendesk、Okta Verify。

2. AndroRAT

AndroRAT開發(fā)初衷是完成一個(gè)大學(xué)研究項(xiàng)目——創(chuàng)建一個(gè)“遠(yuǎn)程管理工具”，允許第三方控制某設(shè)備并從麥克風(fēng)收集聯(lián)系人、通話記錄、短信、設(shè)備位置和音頻等信息。但是該工具目前被一些不法份子惡意利用。

企業(yè)將面臨的風(fēng)險(xiǎn)

隱藏的遠(yuǎn)程訪問軟件能夠幫助攻擊者輕易地從移動(dòng)設(shè)備獲取到企業(yè)和個(gè)人的數(shù)據(jù)。另外，對(duì)某個(gè)移動(dòng)設(shè)備的持續(xù)性遠(yuǎn)程訪問也會(huì)幫助攻擊者對(duì)感染設(shè)備所連接的公司W(wǎng)i-Fi和VPN展開入侵行動(dòng)。

受害應(yīng)用程序舉例：Dropbox、Skype、Business Calendar

3. UnsafeControl

UnsafeControl能夠收集聯(lián)系信息并將其下載到第三方服務(wù)器，還能夠?qū)β?lián)系人列表發(fā)送垃圾郵件或向其命令和控制(CNC)服務(wù)器指定的電話號(hào)碼發(fā)送短信。消息內(nèi)容也由CNC控制。

企業(yè)將面臨的風(fēng)險(xiǎn)

像UnsafeControl這樣的惡意軟件能夠竊取聯(lián)系人信息，這對(duì)很多企業(yè)來說都屬于敏感信息。比如，銷售總裁或副總設(shè)備上的聯(lián)系人信息就是一個(gè)公司極大的競(jìng)爭(zhēng)優(yōu)勢(shì)與虛擬財(cái)富。

受害應(yīng)用程序舉例：FedEx Mobile、Google Keep、遠(yuǎn)程VNC Pro、Sky Drive、PocketCloud、Skype

4. PJApps

PJApps可能會(huì)收集并泄露受害者的電話號(hào)碼、移動(dòng)設(shè)備的唯一標(biāo)識(shí)符(IMEI)及位置。為了擴(kuò)大非法盈利范圍，它也可能會(huì)向一些優(yōu)質(zhì)的短信號(hào)碼發(fā)送釣魚信息。另外， PJApps也能夠進(jìn)一步下載應(yīng)用程序到相應(yīng)設(shè)備。

企業(yè)將面臨的風(fēng)險(xiǎn)

像PJApps這樣的惡意軟件通常利用其功能來獲取收益，但同時(shí)也具有一定技術(shù)相關(guān)性，例如手機(jī)位置信息帶來的威脅，尤其是針對(duì)高管們的移動(dòng)設(shè)備。這些信息可能關(guān)乎企業(yè)的商業(yè)計(jì)劃。該惡意軟件將其它應(yīng)用程序下載至設(shè)備的功能其實(shí)也為新型惡意軟件進(jìn)入設(shè)備提供了通關(guān)密語。

受害應(yīng)用程序舉例：CamScanner

5. Ooqqxx

Ooqqxx實(shí)際是一個(gè)廣告網(wǎng)絡(luò)，將廣告推送至通知欄，發(fā)送彈窗廣告，在主屏幕上創(chuàng)建快捷方式，未經(jīng)許可下載大型文件。

企業(yè)將面臨的風(fēng)險(xiǎn)

這些廣告會(huì)往往會(huì)打斷員工的正常工作，員工因此可能也會(huì)向IT部門提出改進(jìn)意見，這些行為都在一定程度上影響了公司員工的工作效率。Time is money!

受害應(yīng)用程序舉例：Mobile從Blackboard、Evernote、PocketCloud、Remote Decktop、Adobe Reader、aCalendar

二、從開發(fā)者角度談移動(dòng)端威脅的安全防御措施

每個(gè)人的手機(jī)、iPad等智能設(shè)備上大概都有26-55個(gè)應(yīng)用程序，通常包括以下這些類型：娛樂和游戲、銀行app、一些社交媒體app、瘦身塑形的軟件以及網(wǎng)購應(yīng)用等。

如果只是普通的游戲軟件遭到攻擊，你也許不會(huì)在意。但事實(shí)上，很多應(yīng)用其實(shí)都收集了很多你不想讓別人看到的個(gè)人信息，比如你的位置、銀行卡信息和某些照片。

從開發(fā)的角度來看，你必須通過某些協(xié)議確保應(yīng)用程序的代碼不被黑客入侵。Codal首席執(zhí)行官Keval Baxi主要從開發(fā)者的角度給出了一些保護(hù)手機(jī)應(yīng)用安全的干貨建議。

1. 使用基于令牌的身份驗(yàn)證方式訪問API

很多移動(dòng)應(yīng)用程序都沒有設(shè)計(jì)恰當(dāng)?shù)纳矸蒡?yàn)證方法，這種行為的本質(zhì)其實(shí)就是數(shù)據(jù)泄露。“令牌”是指一些本身不帶任何意義的數(shù)據(jù)，但令牌系統(tǒng)準(zhǔn)確率高，它是保護(hù)移動(dòng)端應(yīng)用程序的關(guān)鍵方式。基于令牌的身份驗(yàn)證需要驗(yàn)證每個(gè)向服務(wù)器發(fā)送的API請(qǐng)求的真實(shí)性，只有通過驗(yàn)證程序才會(huì)對(duì)請(qǐng)求作出響應(yīng)。

2. 使用Android KeyChain和iCloud Keychain存儲(chǔ)敏感信息

移動(dòng)設(shè)備上的keychain是一個(gè)安全的存儲(chǔ)容器，能夠保存所有應(yīng)用程序的登錄名、用戶名和密碼等數(shù)據(jù)。建議開發(fā)人員充分利用操作系統(tǒng)的這一功能進(jìn)行數(shù)據(jù)存儲(chǔ)，而不是通過p-list文件或NSUserDefaults來存儲(chǔ)。使用keychain功能也可以為用戶帶來便利，不需要每次登錄都輸入用戶名密碼。

3. 在本地?cái)?shù)據(jù)庫中保存用戶數(shù)據(jù)時(shí)對(duì)數(shù)據(jù)進(jìn)行加密

加密是將數(shù)據(jù)和明文轉(zhuǎn)換為“密碼”的過程，也就是密文。要想讀取密文就必須經(jīng)過解密或使用密鑰的過程，因此加密數(shù)據(jù)保護(hù)最有效的方法之一。

4. 登錄應(yīng)用程序時(shí)選擇指紋鎖而不是用戶名和密碼

[[190790]]

蘋果公司研究人員表示，指紋匹配的概率是1：50000，而四位數(shù)密碼的匹配概率是1：10000。因此指紋登錄比使用傳統(tǒng)密碼的方式更加安全。指紋是每個(gè)用戶獨(dú)特的生命體征，而密碼不是。在iOS版本8之前，蘋果公司為開發(fā)人員開通了Touch ID的權(quán)限，API能夠在SDK(軟件開發(fā)工具包)中使用。

5. 可疑活動(dòng)的實(shí)時(shí)通知

[[190791]]

當(dāng)用戶在新的設(shè)備或新的未知位置登錄某應(yīng)用程序時(shí)，可以通過電子郵件或推送通知向用戶發(fā)送登錄異常的消息，完成驗(yàn)證過程。很少會(huì)有應(yīng)用程序達(dá)到這一要求，而Gmail是其中之一。登錄驗(yàn)證通知能夠讓用戶獲知他的賬戶是否遭到了非法入侵。

6. 始終使用https(SSL)

[[190792]]

將SSL安裝到服務(wù)器后，開發(fā)人員就能夠使用HTTPS協(xié)議，該協(xié)議安全性高，有助于防止入侵者干擾應(yīng)用程序及其服務(wù)器之間的數(shù)據(jù)傳輸。

7. 提防逆向工程

[[190793]]

開發(fā)人員對(duì)應(yīng)用程序進(jìn)行逆向工程、把數(shù)據(jù)和源代碼移走也不是不可能發(fā)生的事。為了防止這種情況的出現(xiàn)，你可以通過更改預(yù)處理器中重要類別和方法的名稱來迷惑黑客。第二個(gè)辦法則是在項(xiàng)目完成后對(duì)符號(hào)表進(jìn)行拆分。