モバイルデバイスとアプリケーションのセキュリティ：5つの一般的な攻撃シナリオと保護方法

画像：Unsplash



現代のモバイルデバイスは非常に複雑であり、これにより攻撃者は攻撃を開始する機会を得ます。Wi-FiやBluetoothからスピーカーやマイクまで、あらゆるものがスマートフォンの脱獄に使用できます。



Positive Technologiesのアナリストは、モバイルデバイスおよびアプリケーションに対する攻撃の一般的なシナリオの調査を公開しています。では

、この文書の主なポイント-私たちの記事。

モバイルデバイスとアプリへの攻撃方法

主な攻撃シナリオは5つあります。その中で：

• 物理的アクセス。電話が盗まれたり紛失したりした場合、所有者はそれをサービスに提供するか、偽のUSB充電器に接続しました。これにより、攻撃の可能性が開かれます。
• デバイス上の悪意のあるアプリケーション。そのようなアプリケーションは、公式のソース、Google PlayおよびApp Store（Androidの場合、iOSの場合）からでもデバイスに到達することがあります。
• 通信チャネルにおける攻撃者。信頼できないWi-Fi、プロキシサーバー、またはVPNに接続することにより、通信チャネルでの攻撃に対して脆弱になります。
• リモート攻撃。攻撃者はモバイルアプリケーションサーバーまたは他のサービスを使用してリモートで行動し、エクスプロイトを配信できます。
• サーバー側攻撃。他のすべてとは別に、モバイルアプリケーションのサーバー側への攻撃を検討できます。この場合、攻撃者はデバイスにアクセスする必要がないためです。

それぞれのオプションについて詳しく説明し、そのような攻撃から保護するために考えられる方法について説明します。

物理アクセス攻撃にはいくつかの主要なシナリオがあります。原則として、ユーザーがスマートフォンに直接アクセスできることを意味します。これは、デバイスが盗まれた場合、所有者がデバイスを紛失したか、サービスに持っていった場合に発生します。ただし、悪意のある充電ステーションが使用される、かなり珍しい攻撃方法もあります。考えてみよう。



USB経由でスマートフォンを接続する充電ステーションは、完全に安全であるとは限りません。 AndroidおよびiOS OSの最新バージョンでは、USB経由でスマートフォンからPCに接続する場合、デバイスへのアクセス許可が必要です。ただし、これはAndroid 4.0以下では必要ありませんでした。その結果、そのようなデバイスがハッカーによって危殆化または設置された充電ステーションに接続されると、攻撃の機会が開かれます。彼女のスクリプトは次のようになります。

• Android 4.0 USB.
• USB-.
• adb install malware.apk, .
• adb am start com.malware.app/.MainActivity .
• , root . , (, , ) , .

まず、公共の場所にスマートフォンやタブレットを放置しないように注意してください。必ずパスワードを設定してデバイスのロックを解除するか、可能であれば生体認証セキュリティをオンにしてください。特権を管理者（脱獄またはルート）に昇格させず、ロックされた画面での通知の表示を無効にします。

悪意のあるアプリケーションによる攻撃

そのようなアプリケーションにはいくつかのソースがあります。

• 公式アプリストア-Google PlayとApp Store。めったにありませんが、公式市場でさえ、あなたとあなたのデータに害を及ぼす可能性のある悪意のあるアプリケーションを見つけることができます。多くの場合、これらのアプリは、「スーパーバッテリー」、「ターボブラウザー」、「ウイルスクリーナー2019」などのクリックベイト名を使用して、より多くのインストールを取得しようとします。
• (third-party appstore). Android- , apk- . iOS- Safari, , .
• USB-.
• Android- — Google Play Instant.

悪意のあるアプリケーションは、スマートフォンにインストールすると、受け取った権限に応じて、保存されているデータ、マイク、カメラ、地理位置情報、連絡先などにアクセスできます。また、プロセス間通信メカニズム（IPC / XPC）を介して、インストールされている他のアプリケーションとやり取りすることもできます。インストールされているアプリケーションに、このやり取りを通じて悪用可能な脆弱性が含まれている場合、悪意のあるアプリケーションがこれを利用する可能性があります。これは特にAndroidデバイスに当てはまります。



さらに、悪意のあるアプリケーションは、root権限または脱獄を取得することを可能にする脆弱性を悪用することにより、システムで上位の権限を取得しようとする可能性があります。

自分を守る方法

このような攻撃から保護するには、信頼できないソースからのアプリケーションのインストールを最初に回避することをお勧めします。チェックが完全に機能しないため、公式のアプリストアからであっても、疑わしい名前のアプリケーションも注意してインストールする必要があります。OSとアプリケーションを最新の状態に保ち、既知の脆弱性が攻撃されないようにします。

リンク攻撃

攻撃者が通信チャネルから操作できるようにするには、中間者攻撃を実行する必要があります。つまり、クライアントのモバイルアプリケーションとサーバー側の間で送信されるすべてのトラフィックが攻撃者のデバイスを通過するようにします。このような攻撃を許可するアプリケーションに脆弱性が見つかることがあります。



たとえば、通常、安全な接続を確立する場合、クライアントアプリケーションはサーバー証明書の信頼性と、そのパラメーターがサーバーのパラメーターと一致するかどうかを確認します。ただし、場合によっては、開発者がアプリケーションで作業するときに、そのようなチェックを無効にして、リリースバージョンで再度有効にするのを忘れることがあります。その結果、アプリケーションはサーバー証明書を受け入れて、攻撃者の証明書を含む安全な接続を確立します。



証明書が正しく検証されたとしても、攻撃者には依然として抜け穴があります。ある口実の下で、被害者に攻撃者の証明書を信頼できる証明書としてデバイスにインストールさせる。さらに、アプリケーション自体がサーバーと安全に連携しているが、HTTP経由でダウンロードされたサードパーティのリソースへのリンクが含まれている場合でも、これはフィッシング攻撃の機会となります。



攻撃者がクライアントアプリケーションとサーバー間のトラフィックを制御できた場合、攻撃者は多くの可能性を手に入れます。

• なりすましバンキングやフィッシングの詳細など、サーバーのなりすまし
• クライアントアプリケーションのリクエストを代用します。たとえば、送金金額と受信者のアカウントを変更します
• ログイン、パスワード、ワンタイムパスワード、銀行カードデータ、取引履歴などの傍受データ。

その結果、彼はさまざまなアカウントから被害者のログインとパスワードを学び、それらを使用してデータを盗み、お金を盗むことができます。

自分を守る方法

疑わしいアクセスポイントに接続しないでください。個人情報や銀行情報を信頼していないプロキシサーバーやVPNサーバーは使用しないでください。デバイスにサードパーティの証明書をインストールしないでください。



原則として、人気のあるインスタントメッセンジャーとソーシャルメディアアプリケーションのほとんどは、このような攻撃から十分に保護されています。たとえば、これらのアプリケーションのいずれかが現在のWi-Fi接続を介して突然動作を拒否した場合、これはこのアクセスポイントが安全でないことを意味し、モバイルバンクを含む他のアプリケーションを危険にさらさないように接続を解除することをお勧めします。

リモート攻撃

モバイルアプリケーションの一部の脆弱性は、アプリケーションとサーバー間のデータ転送の制御さえ必要とせずにリモートで悪用される可能性があります。多くのアプリケーションは、myapp：//などの特別なリンクを処理する機能を提供します。これらのリンクはディープリンクと呼ばれ、AndroidとiOSの両方で機能します。ブラウザ、メールアプリケーション、またはメッセンジャーでこのようなリンクをクリックすると、そのようなリンクを処理できるアプリケーションを開くことができます。パラメータを含むリンク全体がハンドラアプリケーションに渡されます。リンクハンドラーに脆弱性が含まれている場合、脆弱性を悪用するには、被害者に悪意のあるリンクを強制するだけで十分です。



同様に、より馴染みのあるリンクhttp：//およびhttps：//はモバイルデバイスで処理できます-ブラウザーの代わりにアプリケーションに送信できます。場合によっては、ユーザーの確認なしにこのリンクが発生することがあります。



Androidデバイスの場合、リンクをクリックするとInstant Appのダウンロードがトリガーされ、悪意のあるアプリケーションのインストールに関連する脆弱性がリモートで悪用される可能性があります。

自分を守る方法

この場合、アプリケーションとOSの更新をタイムリーにインストールすることが、自分を守る唯一の方法です。アップデートをインストールできない場合、またはまだリリースされていない場合は、影響を受けるアプリケーションの使用を一時的に停止できます。デバイスからアンインストールするか、単にログアウトします。

サーバーサイド攻撃

モバイルアプリケーションサーバーを攻撃するには、攻撃者は通常、クライアントアプリケーションがサーバーと対話する方法を調査するだけでよく、エントリポイントに関する収集された情報に基づいて、脆弱性を検出して悪用するために要求を変更しようとします。



多くの場合、モバイルアプリケーションのバックエンドのデバイスは、Webアプリケーションと同じです。原則として、モバイルアプリケーションのサーバーはさらにシンプルであり、多くの場合json-またはxml-apiを表します。Webサイトがよく行うように、HTMLマークアップやJavaScriptで動作することはほとんどありません。



Webアプリケーションの脆弱性とモバイルアプリケーションのバックエンドを比較すると、モバイルアプリケーションには次の脆弱性が広がっています。

• ブルートフォースの資格情報に対する保護が不十分：Webアプリケーションの24％とモバイルアプリケーションサーバーの58％にこのような脆弱性が含まれています。
• ビジネスロジックエラー：Webアプリケーションの2％、モバイルアプリケーションサーバーの33％。

私たちの調査によると、アプリケーションユーザーは他のユーザーのデータ（カード番号、姓名、電話番号など）にアクセスできることがよくあります。さらに、別のユーザーに代わって、または認証なしで、誤ってアクセスが提供される可能性があります。これは、認証と承認における弱点の存在。

自分を守る方法

この場合、平均的なユーザーができることはほとんどありません。ただし、強力なパスワードを使用し、これを行うすべてのミッションクリティカルなアプリケーションでワンタイムパスワードを使用して2要素認証を設定することで、サーバー攻撃のリスクを軽減できます。



モバイルアプリケーションに対する攻撃が成功する可能性を最小限に抑えるために、開発者は、説明されている各シナリオの実現可能性を確認する必要があります。開発時には、侵入者のさまざまなモデルを考慮する必要があり、設計段階でいくつかの保護対策を講じる必要があります。



開発者には、セキュリティ開発ライフサイクル（SDL）を実装し、アプリケーションのセキュリティを定期的に確認することをお勧めします。このような対策は、潜在的な脅威をタイムリーに特定するのに役立つだけでなく、開発者のセキュリティ知識のレベルを向上させ、開発されたアプリケーションのセキュリティレベルを長期的に向上させます。



投稿者： Nikolay Anisenya、Positive Technologiesのモバイルアプリケーションセキュリティ研究グループの責任者