前五大類行動裝置漏洞

五月 14, 2019 安全與合規性, MOVEit

行動裝置是企業網路資安中相當薄弱的一環,但是,專門緩解五大類行動裝置漏洞風險的措施並不多。

犯罪研究人員會研究企業系統,並且花時間仔細分辨目標伺服器上脆弱的套件與工具。行動裝置是經常受到忽略的企業資料弱點。

Checkpoint 2019 網路安全報告指出,59% 的 IT 專業人員並未使用能偵測惡意軟體、惡意應用程式、中間人攻擊以及系統漏洞等主要威脅的行動威脅防範解決方案。接受調查的 IT 專業人員當中,認為行動裝置威脅是嚴重安全風險的只佔了 9%,但是,惡意軟體可以利用企業安全防禦措施的這個漏洞,從沒有保護措施的行動裝置滲透到組織的雲端或內部部署網路。

現代的智慧型手機儲存了相當私密的個人資訊,以及機密的商業資訊。使用者的行蹤、交談對象、談話內容、簡訊內容和社交媒體發文內容、私人照片、密碼,以及工作用電子郵件、通訊內容與文件,智慧型手機無所不知。攻擊行動裝置的收穫更大,而且通常並不難得手。時下員工使用智慧型手機辦公的機率高於使用電腦。

1.中間人攻擊

公共 WiFi 網路 (例如機場和飯店提供的網路) 是網路罪犯發動中間人 (MitM) 攻擊的好機會,這類攻擊會擷取透過 WiFi 網路傳送的任何資料,例如認證、電子郵件、送出到網頁表單的資料等等。據 MobileIron 的全球威脅報告指出,2018 上半年有 15% 做了防護措施的裝置偵測到 MitM 攻擊。企業安全公司 Wandera 所做的研究指出,公司行動裝置使用 Wi-Fi 傳輸量幾乎達到行動數據使用量的三倍。超過半數的組織 (55%) 當中,上個月至少都有一名使用者曾經連線使用暗藏風險的熱點。

別讓業務資料落入有心人士之手。下載這份免費電子書。

2.流氓應用程式

安裝未經批准的應用程式或流氓應用程式很容易就會敞開大門,讓網路罪犯輕易利用行動裝置收集資訊。根據 Verizon 的 2019 年行動安全指數報告,只有 40% 的組織表示會限制使用者只能安裝 Apple App Store 和 Google Play Store 等合法應用程式商店的應用程式。Apple 和 Google 雖會嚴格管理商店中應用程式的行為,但仍無法保證萬無一失。Adware Doctor 是不久前在去年秋天曝光的一個例子,只要使用者一完成安裝,這款應用程式就會開始收集瀏覽器記錄,並且嘗試將記錄上傳到一個流氓伺服器。

使用者也會安裝其他網站提供的應用程式,因為這些應用程式能提供方便的功能,不過,這些應用程式往往會偷偷將資料上傳給網路罪犯。只有 3% 的企業完全不讓使用者在公司配發的行動裝置上安裝任何應用程式。35% 的組織至少有一台裝置安裝了一項或多項側載應用程式。

3.資料外洩

資料外洩是網路罪犯竊取資料的另外一種常見手法。據 Verizon 指出,企業每兩年至少外洩一次資料的機率是 28%。之所以發生這種問題,通常源自於兩種基本的途徑。第一種是應用程式設定不當,使用者在不經意間允許應用程式查看及傳輸其資訊。最近的一個例子是健身應用程式 Strava 使用者可以使用 FitBit、行動電話及其他健身追蹤裝置的 GPS 資料分享自己的跑步路線。

應用程式會透過全球熱點圖與其他運動者分享這項資訊。軍人使用這款應用程式追蹤自己的跑步活動,結果導致跑步者高度集中在特定地點。與知名的美國軍事基地地點對照之下,這些基地地點在熱點圖中一覽無遺,就連位於敏感區域且有掩護的美國軍事基地,只要有人想攻擊在附近的美國軍隊,輕輕鬆鬆就能查到相關資訊  (沒錯,為保障美國軍隊的人身安全,美國國防部正在審查有關這類應用程式的政策)。

導致資料外洩的第二個常見原因是意外曝光。由於行動裝置使用的顯示熒幕不大,使用者能查看的資訊內容通常有限,很容易就會將資訊誤傳到錯誤的電子郵件地址。醫療保健業經常出現這樣的問題,這幾乎是所有外洩事件的主要原因。

4.社交工程

社交工程仍然是行動裝置資料外洩的主要原因。91% 的網路犯罪會先從電子郵件下手。行動使用者風險較高,原因是行動裝置只會顯示寄件人的姓名,所以更容易讓讀信人誤以為寄件人是自己認識的人。組織員工人數若超過 1,000 人,網路釣魚事故發生的可能性高達 85%,還會隨著員工人數攀升而等比例增加。因為有心人士會部署惡意軟體、竊取認證、掌握遠端存取功能、盜用資料,還有可能出現其他漏洞,因此,要察覺這個問題並不容易…

5.裝置遺失與失竊

如果沒有將裝置遺失與失竊列在這份清單上,我就失職了。Kensington 發表了一項研究,指出每年遺失或失竊的智慧型手機多達 7,000 萬部。能找回來的只有其中 7%。業務用智慧型手機每年遺失或失竊的比例達 4.3%。據 Verizon 指出,在所有行動電話和平板電腦中,完全沒有設定螢幕鎖功能的佔了 1% 到 2%。在員工人數介於 500 到 999 名的公司行號中,5% 的 Android 裝置未設定螢幕鎖功能。48% 的公司行號會使用行動裝置管理解決方案強制所有裝置使用螢幕鎖功能。這個方法不難,快將您的行動裝置上鎖吧!

結語

網路罪犯之所以會鎖定行動裝置,原因就在於這類裝置的防護機制薄弱,但儲存在裝置中的資料在網路犯罪市場上卻相當值錢。解決方式並不複雜,使用 VPN 有助於預防透過公共 WiFi 發動的 MitM 攻擊、堅持只用 Apple Store 和 Google Store 開放下載的應用程式、留意使用者授予應用程式的權限,以及善用工具監控應用程式行為。現在就是讓使用者瞭解行動裝置威脅以及防範資料遭竊的絕佳時機。

Frank Jablonski