外网总结2019年十大移动安全事件

翻译自Top Mobile Security Stories of 2019
正如回顾2019年十大移动安全事件所显示的那样,赛博空间中的犯罪分子越来越多地将移动用户作为目标。对于不断扩张的企业而言,移动攻击载体也会随着业务扩展而显著扩大,迫使诸多公司重新考虑其安全要求。而对于消费者而言,保护个人隐私数据的唯一希望是提高安全意识。

1. 苹果公布漏洞双金

2019年12月,苹果官方公布了其历史悠久的私人漏洞赏金计划,同时将最高将近提高到100万美元(比如在具有完整内核并在苹果最新硬件完整运行的零点击远程链)。这笔将近数目,相比之前私人计划的,微不足道的最高200,000美元将近而言,已经有了巨大进步。但是这家科技巨头寻找的是能提交漏洞的完整漏洞利用。其他的奖金范围从25,000美元到500,000美颜不懂,涉及包括Macs,iPhone和iPad以及Apple TV在内的一系列产品。

2. 苹果漏洞激增

提到苹果漏洞,iOS漏洞在整个2019年都有出现,其中包括“ AirDoS”漏洞,该漏洞能够让附近的黑客可以通过文件交换功能AirDrop,使iPhone和iPad无法使用。在6月,发现了一个iMessage漏洞,使运行旧版本IOS的iPhone运行速度变慢。另外发现了其他5个iMessage漏洞,这些错误不需要用户进行交互,其中一个漏洞允许远程攻击者访问iOS设备上存储的内容。在一次历经数年的水坑攻击中,发现有5个漏洞利用连用到了14个iPhone漏洞,其中2个在2月被披露为0 Day 漏洞。

3. WhatsApp起诉NSO集团

2019年5月,WhatsApp被警告在其消息平台中发现的0 Day漏洞,攻击者可以利用该漏洞在特定活动中将间谍软件植入到受害者的手机中。2019年晚些时候,WhatsApp所有者Facebook起诉了以色列公司NSO Group,指控其自己开发监控代码,并使用易受攻击的WhatsApp服务器将恶意软件发送到大约1,400台移动设备,这些移动使用设备大多属于全球人权活动家,新闻工作者等其他民间团体成员。 NSO总裁后来在一次会议上针对这一问题闪烁其词。

4. StrandHogg伪装Android APP

2019年秋天,研究人员发现了一个名为StrandHogg的Android新漏洞,该漏洞可能使恶意软件伪装成流行的应用程序并要求各种权限。使黑客能够监听用户,拍照,阅读和发送SMS消息,并基本上接管了各种功能,仿佛他们就是设备的所有者。StrandHogg会覆盖并伪装成人们经常使用的移动应用程序(比如Facebook)。该漏洞会影响所有Android设备(包括运行Android 10的设备),并威胁最受欢迎的前500个应用。

5. Checkra1n 越狱漏洞

一个被称为“ checkm8”,无法修复的iPhone BootROM漏洞,在2019年以来影响了数亿部iPhone,攻击者可以通过不可阻挡的越狱获得系统级权限。很快又出现了一种名为checkra1n的漏洞,该漏洞使用户可以绕过DRM限制来运行未经授权的和自定义的软件。 Checkra1n还让用户容易从App Store外部下载流氓软件或不稳定应的APP。同时,一个假冒网站声称能够使iPhone用户下载Checkra1n(但最终下载了点击欺诈的游戏应用)。

6. 移动网络钓鱼套件应运而生

2019年4月,移动领域出现了新的趋势:移动网络优先钓鱼。专门针对美国Verizon Wireless客户的工具包会通过电子邮件向用户推送网络钓鱼链接,并伪装成来自Verizon客户支持的消息。这些是为移动查看量身定制的:在台式机上打开恶意URL时,它看起来草率且显然不合法-但是,在移动设备上打开时,它看起来像Verizon客户支持应用程序所期望的。

7. 聚焦5G

2019年,5G网络的安全性首次成为热门话题。5G,作为下一代移动技术有望实现超低延迟和指数级的吞吐量,从而为新的商务场景和应用铺平道路,例如远程手术,自动驾驶汽车,按需配电等等。但是,在这些情况下,网络攻击实际上可能成为生死攸关的问题。随着5G的许多安全协议和算法都从先前的4G标准移植而来,研究人员已经发现5G缺陷,例如设备指纹识别绕过和中间人(MiTM)攻击。

8. 数据搜集APP

2019年早些时候,Twitter和Facebook警告说软件开发工具包(SDK)可以嵌入到移动应用程序中,并用于抓取个人资料信息,例如电子邮件地址,用户名,性别,最新推文等。这些技术巨头表示,由oneAudience和MobiBurn维护的SDK违反了两家公司的数据隐私政策,该政策禁止第三方收集个人资料信息以用于数据货币化。这是在剑桥分析公司(Cambridge Analytica)丑闻之后实施的一项变更,此事围绕社交媒体隐私产生持续讨论。

9. Retina X 跟踪软件

在首次打击“跟踪器软件”时,联邦贸易委员会禁止销售三个用于监视孩子和雇员的APP,这些APP可以安装在设备上以跟踪其所有者的位置,活动等。这些应用程序来自一家名为Retina-X Studios的公司,联邦贸易委员会表示,由于这些应用程序被设计在后台秘密运行,因此特别适合违法活动和危险用途,尤其是在家庭暴力情况下。与此同时,在2019年11月,反跟踪软件联盟成立了,以帮助跟踪软件的受害者,涉及跟踪软件的案例在2019年增加了300%以上。

10. 生物识别绕过

尽管指纹传感器和Face ID吹捧提供了最佳的移动安全性,但2019年出现了一些技术绕过的情况。例如,三星Galaxy S10指纹传感器在一次黑客攻击中被欺骗,该黑客从酒杯中克隆了3D打印指纹。三星在今年晚些时候承认,如果将第三方硅壳包装在手机上,那么任何人都可以绕过Galaxy S10指纹传感器。去年10月,Google因其Pixel 4面部识别解锁功能而受到抨击,有用户表示即使闭上眼睛也能。而且在八月,有研究人员透露存在绕过苹果Face ID的方法。