个人手机电脑安全危机及防范.docx
《个人手机电脑安全危机及防范.docx》由会员分享,可在线阅读,更多相关《个人手机电脑安全危机及防范.docx(31页珍藏版)》请在冰点文库上搜索。
个人手机电脑安全危机及防范
针对个人手机、电脑安全攻击、防范等手段报告
个人手机
1.针对个人手机攻击方式:
(安卓、ios)
随着智能手机的不断普及,安卓系统是现在用户使用量最多的系统。
通过f-secure提供的最新数据显示,安卓系统目前仍然是恶意软件黑客攻击的主要对象。
针对安卓手机的攻击主要分为漏洞式攻击,社工式攻击。
安卓漏洞攻击方式主要分为:
引诱下载或传输木马性文件
漏洞式攻击中引诱用户下载或传输木马性文件是攻击方式中危害性最大的一种攻击方式,在2015年10月被爆出的android移动操作系统的两大严重漏洞将令超过10亿台Android设备面临被黑的风险。
且无论其所搭载的是1.0版本Android系统还是最新的5.0版本。
此漏洞主要的攻击方式为黑客可利用这些漏洞欺骗用户访问含有恶意MP3或MP4文件的网站,一旦用户预览被感染的多媒体文件(通常以音乐或视频方式出现),则其Android设备就会迅速被黑。
这种被黑风险所涉及的问题是Android处理多媒体文件元数据的方式,该系统通过名为“Stagefright”的媒体播放引擎来对这种数据进行处理。
这并非安全研究人士首次发现这一部分的Android代码存在重大被黑风险。
今年早些时候,发现了上述漏洞的移动安全公司ZimperiumzLabs披露了一系列的7个Stragefright漏洞,这些漏洞可能令黑客仅通过一条被感染的多媒体文本信息就黑掉最多9.5亿台Android设备。
跟这7个漏洞一样,最新的这两个漏洞(研究人员将其称为“Stagefright2.0”)也可令黑客控制被黑的设备,取得对其数据、照片、摄像头和麦克风的准入权。
整体而言,这两个漏洞所带来的新问题更加广泛,原因是影响的设备更多。
第一个新漏洞被称为“CVE-2015-6602”,这个漏洞影响到了从2008年第一代Android操作系统推出以来所发布的几乎所有Android设备。
第二个新漏洞则被称为“CVE-2015-3876”,影响到了搭载5.0版本Android及以上版本系统的设备,并使得上述问题更易触发。
平台漏洞
平台漏洞中应用最多的可数Android平台的SQL注入漏洞,14年11月在XXxteam博客中看到其公开了此前报告给Google的CVE-2014-8507漏洞细节——系统代码在处理经由短信承载的WAP推送内容时产生的经典SQL注入漏洞,影响Android5.0以下的系统。
开发者为了方便开发者可以很轻便的扩展功能,SQLite从3.3.6版本开始提供了支持扩展的能力,通过sqlite_load_extensionAPI(或者load_extensionSQL语句),开发者可以在不改动SQLite源码的情况下,通过动态加载的库(so/dll/dylib)来扩展SQLite的能力。
此便利功能被黑客利用来实施攻击。
借助SQLite动态加载的这个特性,我们仅需要在可以预测的存储路径中预先放置一个覆盖SQLite扩展规范的动态库(Android平台的so库),然后通过SQL注入漏洞调用load_extension,就可以很轻松的激活这个库中的代码,直接形成了远程代码执行漏洞。
通过此漏洞具体应用到个人手机的危害就是通过手机发送带有恶意病毒的彩信或短信将触发漏洞,打开短信将完全控制手机的所有权限,包括个人手机中的照片、短信、电话等所有的个人隐私。
Android远程定位追踪(正常软件权限匹配不严谨)
使用安卓系统的用户有没有想过自己的手机在时时刻刻暴露自己的当前位置,而实现此功能也相对简单,大部分的安卓手机在网页浏览中喜欢下载UC浏览器,而uc浏览器会使用基站定位当前位置,并在uc乐园()显示。
使用burp(黑客专用抓包工具通过此软件进行拦截数据包并进行数据分析)抓取uc乐园主页数据分析(http:
//yaseng.me/use-burpsuite-audit-android-app-data.html)页面,此页面需要cookie登陆验证想要获取
页面的内容即获取用户位置,由于浏览器的同源策略与登陆验证等然后通过XSS进行数据的调回。
便可随时进行远程定位追踪。
在安卓应用中,大量的软件在开发过程中并没有对调用的相应权限进行充分验证,在用户安装软件过程中提出的文件使用说明等信息并不在意,导致软件随意进行权限的调取,导致一些恶意软件可通过这些权限疏忽造成隐私的大量泄露。
(4)远程控制木马
在今年10月份首届GeekPwn大赛上,来自KeenTeam的高手现场演示了Android手机在关机状态下被黑客通过听筒进行窃听的全过程。
近日,XX安全实验室发现一款“关机窃听”病毒。
该病毒通过Hook系统shutdown方法实现关机拦截,当用户关机时弹出自定义黑色界面,使手机处于“假关机”状态;后台窃取用户短信、联系人、通话记录、位置信息、通话录音,上传到服务器。
AndroidClientService发送定时器,注册广播接收器,触发恶意方法,窃取短信、联系人、通话记录、位置信息、通话录音等信息,并将隐私信息上传到远程服务器。
远程控制木马也是黑客针对手机漏洞研究的最终目的,就是为了获取个人手机的所有权限,并实时进行监控。
远程控制木马可通过以上介绍的多个方式同时进行触发。
社工式攻击
社工攻击主要的攻击方式分为两种,一种是通过曾用密码等信息进行社工,可通过社工裤获取相应数据,然后对手机中的需要密码等应用进行暴力破解。
从而获取手机隐私。
比如手机端的邮件管理器,微信,QQ等社交软件。
再一种就是浏览钓鱼页面,或发送钓鱼短信,目前最多攻击方法就是伪基站的发送。
个人用户访问了以假乱真的钓鱼页面并输入了真实信息,攻击者可通过获取的相关重要信息进行攻击。
如银行卡密码,身份证信息等。
防范方式:
(1):
使用官方市场
谈到安全问题,最简单的法则就是使用Android官方的应用商店——GooglePlayStore。
这里是最接近“0”流氓软件的地方,要注意这里我用的词语是“接近”,因为每天有成千上万个应用被上传到应用市场,而审核机制并不能确保完全过滤掉流氓软件。
VirusShiled就是Google曾经漏掉的一款付费“杀毒”软件,虽然它不是流氓软件,但它也没有任何杀毒功能,仅仅是一个空壳,但仍然获得了很高的下载量并一度排在排行榜第三名。
但事发后不久Google便将其下架,能看出官方虽然审核有疏忽,但处理速度还是非常及时的,值得信任。
需要注意的是,GooglePlayStore在国内由于政策问题无法正常访问,如需使用它作为日常的应用商店,需要通过VPN(代理服务器)才能进行应用浏览和下载。
(1):
使用可信任的第三方应用商店
在Android设备中,应用程序并不被限制在唯一一个应用商店中发行,一些类似亚马逊Appstore的第三方应用商店也有权限发行应用软件,并且安全性不亚于GooglePlayStore。
需要注意的是,国内第三方应用商店种类繁多,某些商店中可能会包含一些来源不明的应用,我们要避免使用这些商店中的应用软件,因为你无法判断这些应用的来源是否合法或是否被二次编译过。
但譬如豌豆荚,应用汇这些国内大型的第三方应用商店中的应用质量还都是有保证的。
(2):
避免使用盗版软件
盗版软件在收入不高的地区使用频繁,我在这里告诉大家尽量不要使用盗版软件的原因不是因为它们侵权,而是因为这些盗版软件往往经过二次编译,其中不乏被加入了恶意代码的可能。
虽然从外表上它们看起来和正版软件类似或者完全一样,但是它们可能会在后台偷偷监视你的账户变动,键盘输入甚至通话和信息的内容。
(3):
避免使用未知来源的应用程序
Android的“设置--安全”中,有一个选项叫做“未知来源——允许安装来自Play商店之外的其它来源的应用”。
这个选项默认是关闭的,我不建议开启。
不知道大家有没有遇到过类似情况,打开某些网站后,会弹出后台下载窗口自动下载应用程序,下载完毕后还会弹出安装窗口。
这样的应用安装包不一定通过正规应用商店的审核,安装后轻则可能会泄露个人信息,重则被盗取银行账户资料,或导致数据丢失和损坏。
而“未知来源”这个设置如果被关闭,那么这样的应用就无法被安装到手机当中,也就阻挡了不明应用所带来的伤害。
(4):
始终保持手机系统为最新版本
Android系统的迭代更新会修复很多安全漏洞并提升安全特性,你使用的系统版本越新,那么你感染流氓软件的几率就越小。
打个比方,在Android4.2果冻豆系统中,Google添加了对应用内付费的安全防护措施,手机平白无故发送扣费短信的几率也就越来越小了。
同时,新版的Google服务中加入了设备扫描选项,可以定期扫描潜在威胁进行警告和提醒,这都是老版本Android系统所不能实现的功能。
(5):
使用防病毒软件
PC中使用防病毒软件是非常普遍的情况,譬如新版的Windows就预装了Defender来抵御基础病毒的攻击,日常使用基本没有什么问题。
而Android系统使用“沙盒机制”来限制流氓软件可能带来的危害,安装了Play商店的手机则可以通过后台筛查来及时移除可以程序,保证用户安全。
虽然有“沙盒机制”的保护,防病毒软件依然可以在Android手机中体现其应有的价值。
(6):
不浏览陌生短信、网页
攻击者为了取得被攻击者的信任往往绞尽脑汁,诱惑性极强,为了避免攻击发生,需更要提高警惕。
针对近两年的安卓攻击产生原因、攻击方法方法及建议:
1.应用反编译
漏洞:
APK包非常容易被反编译成可读文件,稍加修改就能重新打包成新的APK。
利用:
软件破解,内购破解,软件逻辑修改,插入恶意代码,替换广告商ID。
建议:
使用ProGuard等工具混淆代码,重要逻辑用NDK实现。
例子:
反编译重打包FlappyBird,把广告商ID换了,游戏改加插一段恶意代码等等。
2.数据的存储与传输
漏洞:
外部存储(SD卡)上的文件没有权限管理,所有应用都可读可写。
开发者把敏感信息明文存在SD卡上,或者动态加载的payload放在SD卡上。
利用:
窃取敏感信息,篡改配置文件,修改payload逻辑并重打包。
建议:
不要把敏感信息放在外部存储上面;在动态加载外部资源的时候验证文件完整性。
漏洞:
使用全局可读写(MODE_WORLD_READABLE,MODE_WORLD_WRITEABLE)的内部存储方式,或明文存储敏感信息(用户账号密码等)。
利用:
全局读写敏感信息,或root后读取明文信息。
建议:
不适用全局可读写的内部存储方式,不明文存储用户账号密码。
3.密码泄露
漏洞:
密码明文存储,传输。
利用:
root后可读写内部存储。
SD卡全局可读写。
公共WiFi抓包获取账号密码。
建议:
实用成熟的加密方案。
不要把密码明文存储在SD卡上。
4.组件暴露(Activity,Service,BroadcastReceiver,ContentProvider)
漏洞:
组件在被调用时未做验证。
在调用其他组件时未做验证。
利用:
调用暴露的组件,达到某种效果,获取某些信息,构造某些数据。
(比如:
调用暴露的组件发短信、微博等)。
监听暴露组件,读取数据。
建议:
验证输入信息、验证组件调用等。
android:
exported设置为false。
使用android:
protectionLevel="signature"验证调用来源。
5.WebView
漏洞:
恶意App可以注入JavaScript代码进入WebView中的网页,网页未作验证。
恶意网页可以执行JavaScript反过来调用App中注册过的方法,或者使用资源。
利用:
恶意程序嵌入WebApp,然后窃取用户信息。
恶意网页远程调用App代码。
更有甚者,通过JavaReflection调用Runtime执行任意代码。
建议:
不使用WebView中的setJavaScriptEnabled(true),或者使用时对输入进行验证。
6.其他漏洞
ROOT后的手机可以修改App的内购,或者安装外挂App等。
Logcat泄露用户敏感信息。
恶意的广告包。
利用nextIntent。
Ios系统主要漏洞:
2015年6月苹果iOS/OSX被曝出重大安全漏洞,攻击者可以通过此漏洞窃取多达上千个应用的密码,漏洞一旦被黑客掌握,其后果将是毁灭性的。
iOS6
(1)无法根治的锁屏漏洞
它可使攻击者绕过锁屏界面查看联系人、语音邮件和照片。
具体操作过程则是在拨打紧急电话时迅速取消,然后再按下电源按钮后可直接进入联系人和通话界面。
被删短信自动恢复
iPhone短信在被用户删除后,通过手机自带的搜索功能,输入关键字可让原本已删的短信恢复。
阿拉伯字符漏洞,可致程序崩溃
这是一个远程拒绝服务漏洞,发送一段阿拉伯字符串到iOS或Mac用户的聊天软件、邮件或短信,将导致应用闪退甚至程序崩溃。
受到该漏洞影响的只有iOS6和OSX10.8系统响,在后续的ios7和osX10.9中该漏洞已被修复。
虽是如此,建议用户还是不要轻易尝试这自带魔性的阿拉伯字符。
iOS7
(1)IOS6的锁屏漏洞在新发布的iOS7系统依然存在,并且操作更加方便。
(2)不越狱设备也可被监控
在这一漏洞出现之前,很多人认为,只要不越狱,苹果设备就会受到苹果安全系统的保护,是安全的。
但网络安全公司FireEye却发现,iOS7中存在漏洞,能让黑客绕过苹果应用审核,直接在设备上安装监控程序。
所安装的监控程序可在用户不知情的情况下,记录所有的用户操作行为并发送至指定的服务器上,黑客可以轻松获取用户的相关信息。
邮件短信可轻松被拦截
与以往都是用户或研究者曝出iOS系统存在漏洞不同,这一次,苹果自己发公告称iOS系统存在重大安全漏洞,黑客可利用漏洞拦截有待加密的电子邮件和其他通信。
找到我的iPhone”功能丢失
用于帮助用户丢失手机后找回的“找到我的iPhone”(FindMyiPhone)功能,在iOS7的漏洞面前彻底失灵。
利用这项安全漏洞,可以绕开密码关闭“找到我的iPhone”选项,同时还能删除设备上的iCloud账户。
具体操作是:
在iCloud设置面中同时按下“删除帐号”以及关闭FindeMyiPhone功能的开关,然后只需要在系统弹出密码输入框时按住电源键关闭手机然后再开机,便可以绕过密码验证程序。
iOS8
(1)国外黑客借助密码破解漏洞攻击了iCloud云端,造成美国好莱坞女星詹妮弗-劳伦斯、克里斯汀-邓斯特、凯特-阿普顿、歌手蕾哈娜等数十位当红女星卷入艳照外泄事件。
事件发生之后,苹果单方面的撇清了自己的责任,称没有证据证明iCloud平台或是“查找我的手机”功能的漏洞,导致用户个人照片被盗。
(2)通过WiFi热点发动攻击:
以色列安全公司Skycure在RSA信息安全大会上公布了这项iOS8的漏洞,黑客可强制iOS设备接入虚假WiFi热点,主要利用了WifiGate漏洞。
如果基于iOS8的iPhone或iPad遭到攻击,大部分连接到互联网的应用都无法使用,一启动就会崩溃,甚至还会导致iOS8设备无限重启。
这种攻击手段主要利用了iOS的SSL漏洞,导致一项应用在试图与服务器建立安全连接时出现崩溃。
(3)“死亡短信”
由英文、阿拉伯文、马拉地文和中文组成的“死亡短信”同样会令你的iOS8设备死机或重启。
只要向iOS8使用者发送一条含特定字符的短信,便可以令收信息人的iPhone、iPad或Watch死机并自动重启。
(4)涉及数千应用的密码
恶意应用借助漏洞可以绕过沙箱及其他安全保护措施进入AppStore,然后从其他应用的钥链中获取密码,窃取其他应用的隐私数据,劫持网络端口,并假扮不同的应用拦截某些对话。
(5)IOS假面攻击
在最近的IOS8.4版本里,苹果修复了几个漏洞包括允许攻击者部署两种新型的假面攻击(CVE-2015-3722/3725,和CVE-2015-3725)。
我们叫这两种利用方法ManifestMasque和ExtensionMasque,它们可以被用来摧毁apps,包括系统应用程序(比如:
AppleWatch,Health,Pay等等),并且可以破坏应用的数据容器。
在这篇文章中,我们也不会透露之前修补过的漏洞的细节,而是去关注那些没有被曝光的假面攻击漏洞:
PluginMasque(插件假面攻击),它可以绕过IOS的强制权限措施并且劫持VPN通信。
我们的调查也表明三分之一的IOS设备在发布8.1.3版本5个月之后仍然没有更新到8.1.3及以上版本,而这些设备仍然可能遭受假面攻击。
苹果手机安全防范措施
1、删除照片流中敏感照
用户除了将照片从iPhone或者iPad设备删除后,还必须将其从照片流删除,以防止存储在照片流中的数据泄密
2、设置访问照片的应用
如今,使用iPhone拍照的功能越来越多,但照片往往涉及个人隐私,将不需要访问照片的应用权限关闭。
3、防止跟踪Safari上网更安全
iOS7系统新增了一个关于隐私和安全性的功能,即在Safari浏览器中的“不跟踪”功能,这可以让iPhone用户上网更安全
4、关闭照片流功能
因为照片流功能会在连接Wifi时自动将新照片上传并发送至所有的iCloud设备,所以关闭该服务可避免单个终端设备上的照片被下载,同时,还将删除该设备上所有储存在照片流上的照片。
5、开启iCloud二步验证
对于广大果粉来说,如何防范iCloud存储的敏感数据泄露呢。
下面给大家介绍一种防范iCloud数据泄露的方法——开启“双重身份验证”。
6、关闭iCloud功能
在所有苹果终端设备和软件中关闭iCloud服务,数据就不会被同步至iCloud。
7、关闭“查找我的iPhone”服务
有报道称,此次明显艳照外泄事件可能是黑客利用了“查找我的iPhone”服务的漏洞,所以最好关闭这项服务,以免数据外泄。
8、启用“抹掉数据”功能
对于启用iPhone密码锁定功能的用户,还可以启用“抹掉数据”选项,进一步保障自己的隐私数据。
在启用“抹掉数据”功能后,若连续10次输入错误密码,系统将抹掉iPhone上的所有数据。
9、给iPhone备份加密
对于经常使用iTunes备份iPhone数据的用户,为保障数据安全,可以给iPhone备份加密。
10、在他人电脑删除备份
如今,iPhone作为一款智能手机,有时也作为传输数据的工具,难免有时会将iPhone与其他人电脑相接接,在连接时,iPhone数据很可能就会在其他人电脑上创建备份。
因而,需要在他人电脑上及时删除iPhone备份,保障数据安全。
11、不可越狱
越狱后手机权限被突破,从第三方下载的软件将不保证安全策略,有可能随时进行攻击。
二.个人电脑安全
1.个人电脑被传统攻击手段及防范
在计算机技术不断繁荣的今天,网络给我们带来了便捷的生活方式以及丰富多彩的信息。
但是在带给我们这么多便利的同时,与计算机安全相关的各种安全隐患也同时存在于我们的身边。
为了盗取个人信息,或者是制造各种破坏,黑客们会通过各种手段来对计算机或者是主机进行攻击,下面就列举了一些比较常见的计算机网络攻击方式。
攻击手段一:
电子邮件攻击
电子邮件攻击也称为“邮件炸弹攻击”,是目前商业中运用的比较多的商业攻击行为。
黑客通过一些邮件炸弹软件向某个邮箱发送大量的垃圾邮件,使其占用大量的CPU资源与网络带宽,消耗系统资源,最后将导致服务器瘫痪,这种攻击方式和DDOS攻击的原理比较相似。
对于此类攻击,用户可以使用一些垃圾清除软件来解决,比如说SpamEater、Spamkiller等。
攻击手段二:
利用网络系统漏洞进行攻击
网络漏洞是指在硬件、软件或者是协议上面存在的各种缺陷,黑客可以通过这些漏洞进行系统的访问与破坏。
这些漏洞有可能是系统本身存在的漏洞,比如说常见的操作系统Windows和linux就存在着一些漏洞。
当这些漏洞被发现的时候,系统供应商会发布补丁修复漏洞,但是漏洞的问题是不能完全解决的,因为旧的漏洞被修补了,新的漏洞有可能被发现,所以漏洞问题是一个长期存在的问题。
还有一种漏洞是由网络管理员造成的,所以电脑使用者在平时工作的时候要认真仔细,不要给他人留下可乘之机。
攻击手段三:
木马攻击
BackOrifice2000、冰河等都是比较著名的特洛伊木马,用户在网络上面下载网络数据的时候,木马很有可能会存在于数据中,所以在下载数据并且进行运行的之前,一定要进行木马扫描,保证软件的安全性。
木马病毒侵入电脑后通常会通过一定的手段取得管理员权限,并且对一些系统文件或者是用户资料进行修改操作,有的会盗取用户电脑上面的隐私信息(如账号、密码、机密文件等),有的木马会对电脑进行监控和截屏操作,给用户的安全带来巨大的隐患。
攻击手段四:
拒绝服务攻击
拒绝服务攻击即我们平时所说的DOS攻击,它通过向目的主机发送大量的数据包来占用服务器和带宽资源,从而使其无法对正常的服务请求进行处理,最后导致网站无法进入,网站响应速度降低,严重的可能会导致服务器瘫痪。
网站和个人计算机都有可能会遭受到拒绝服务攻击,大家在上网的时候要安装好防火墙软件,同时也可以安装一些隐藏IP的程序来降低受到攻击的可能性。
攻击手段五:
密码攻击
在互联网上,密码的使用已经是一种司空见惯的保护用户信息的一种方式。
黑客可以通过获得密码的方式盗取用户的信息,具体的实现方式有两种。
第一种是通过网络监听的方式窃取,用户输入的密码会在客户端和服务器之间传输,黑客可以在这个过程中截取用户的账号和密码,但是现在的很多登录页面都使用了加密协议,黑客截取到的也是毫无意义的乱码,破解难度较大。
另外一种方式是黑客已经知道用户名,采用专门的破译软件来破译用户的密码。
所以用户平时设置的密码不能太简单,不要将生日、电话号码等作为密码,另外,可以定期更改密码来加强安全性。
2.针对未来电脑安全攻击方式主要有以下几种发展趋势:
1、超级蠕虫
无论是手段的高明性,还是破坏的危害性,计算机网络受到蠕虫的威胁都在激增。
在我们的民意调查中显示人们仍旧将这一威胁看作是计算机网络将面临的最大威胁之一,有超过36%的人认为超级蠕虫的威胁应该摆在第一位。
超级蠕虫,它一般被认为是混合蠕虫。
它通常能自我繁殖,并且繁殖速度会变得更快,传播的范围会变得更广。
更可怕的是它的一次攻击就能针对多个漏洞。
例如,超级蠕虫潜入系统后,不是仅仅攻击某个漏洞,而是会尝试某个已知漏洞,然后尝试一个又一个漏洞。
超级蠕虫的一枚弹头针对多个漏洞发动攻击,所以总有一个会有效果。
如果它发现你未打补丁的地方,那你就在劫难逃了。
而事实上没有哪家公司的系统完全打上了所有的补丁。
很多安全专家逐渐看到的通过IM(即时消息)进行传播的蠕虫就可以说是一种超级蠕虫。
黑客将一个链接发给IM用户后,如果用户点击链接,蠕虫就会传播给该用户的IM地址簿上的所有人。
有了IM,用户将随时处于连接状态,所以也随时会受到攻击。
为对付未来的超级蠕虫我们所能做的将是:
对外部可访问系统进行安全加固,像Web服务器,邮件服务器和DNS服务器等,尽量将它们所需要开放的服务减少到最小。
给系统及时打上补丁、及时更新防病毒软件,对员工进行安全宣传和教育。
使用基于主机的入侵检测系统和预防工具,例如Symantec的IntruderAl