惡意程式加釣魚,使行動平台危機驟增 智慧應用 影音
DFORUM
ST Microsite

惡意程式加釣魚,使行動平台危機驟增

  • DIGIIMES企劃

「Top 10 Review」依據防毒、即時保護、遠端鎖定、定位與追蹤遺失裝置…等多項評比結果,為使用者選出9款手機防毒軟體。資料來源:Top 10 Review
「Top 10 Review」依據防毒、即時保護、遠端鎖定、定位與追蹤遺失裝置…等多項評比結果,為使用者選出9款手機防毒軟體。資料來源:Top 10 Review

在2013年上半期間,諸多資安廠商紛紛發布了資安威脅報告,藉由這些報告,我們明顯發現一個趨向,那便是行動平台的惡意程式數量急遽增加,逐漸成為網路犯罪分子所覬覦的溫床。

早在兩年前,如果有人說,未來依附在行動裝置之中的惡意程式數量,總有一天會超越個人電腦的惡意程式,你肯定會質疑此人危言聳聽。

但隨著各大資安業者陸續提出最新的資安威脅報告出爐,讓我們不得不驚駭莫名,無論是行動惡意程式的增長或變種速度,都比人們預期來得更快,尤其是市佔率最高、系統架構也最為開放的Android,滋生惡意程式的勢頭,簡直可用猛烈兩個字來形容。

根據賽門鐵克提出的報告,相較於2011年,2012年行動裝置的惡意程式數量足足增長58%,其中又以Android最值得堪慮,主因在於,2011期間,一個Android惡意程式「家族」,平均可繁衍出5種經過變種的惡意程式,然而才不過時隔一年,共計發現160多個Android惡意程式家族,竟聯手產生多達4,400個變種程式,比例從1:5爆至1:38。

行動裝置將成駭客最大本營
按照這個速度,恐怕在不久之後,人們即可見到鎖定於行動裝置的惡意程式數量,一舉超越個人電腦,成為駭客聚集、高手薈萃的最大本營。

看到這裡,多數人一定以為,Android作業平台之上的系統漏洞,肯定遠遠超乎其他作業系統,但令人咋舌的是,根本不是這麼一回事。同樣是依據賽門鐵克的研究,綜觀2012年期間所發現到的400多個行動系統漏洞,光是iOS就佔據了逾9成3比重,相形之下,Android被發現到的漏洞數量,根本微不足道,意謂著弱點少的OS遭駭機率反倒更為巨大,無疑顛覆了IT業界人士的一慣認知,這也說明了,行動惡意程式與作業系統漏洞無甚關聯,難免徒增了行動裝置防毒防駭的複雜性。

一向專注研發網路安全及廣域網路優化解決方案的Blue Coat,也在幾個月前發布2013年行動惡意軟體報告,在報告中即強調,多數企業面對行動裝置存取其網路資源一事,逐漸走向全面開放的態度,連帶也等於為網路犯罪分子敞開大門,而現今的犯罪分子,已然擁有對行動裝置發動破壞性攻擊的能力。

何以行動惡意軟體滋生?Blue Coat認為,基於行動裝置或行動APP應用程式的特性,使得它們先天上就容易遭受多種特定類型的攻擊,最常見的攻擊手法不外是詐騙、垃圾郵件及網路釣魚,而這些攻擊活動以往都曾出現在Web環境,並不算是此刻才初來乍到的新型攻擊,但其部署難度低、橫跨不同裝置的能力強,正好切中駭客或網路犯罪者的脾胃,可被用於針對行動裝置發動攻擊。

更麻煩的是,行動裝置的使用者,通常會同時透過傳統網頁、行動版網頁或本端應用程式等不同途徑存取相同內容,這個看起來並不出奇的特色,卻將大幅增加行動裝置防護與管理的複雜性與困難度。綜觀各類型網頁內容,其中以「色情」網站潛藏的危機最大,當行動裝置使用者瀏覽這類型網站,可能承受高於其他存取行為達三倍以上的風險。

另一資安廠商F-Secure,稍早前也針對2012年第四季行動安全威脅提出報告,指稱Android系統受駭程度高於其他平台,甚至有愈演愈烈的趨勢,有高達近八成的惡意軟體,專為Android平台量身訂作;對此該公司的安全顧問解釋,惡意軟體係依附作業系統而生,愈是位居主流的作業系統,愈是讓惡意軟體猶如是寄生蟲一般,容易被養大。

欲求明哲保身 宜啟動相關防護措施
如何是好,F-Secure也提供相關建議,首先第一步就是更新作業系統版本,舉例來說,綜觀2012年Android系統的惡意軟體型態,有超過6成比例皆為木馬程式,但隨著Google釋出Android 4.2版本之後,已經有效抑制了此類木馬程式或間諜程式。

只不過,現今已有不少惡意軟體,會將病毒碼埋藏在程式更新系統之中,也就是說,伴隨駭客攻搫手法日新月異,恐導致更新作業系統版本的效力遞減,光是做到這一步,自然無法全面消弭手機受駭的可能性,值此時刻,使用者在行動裝置安裝專業防護軟體,仍具有很大的必要性。

海外一個名為「Top 10 Review」的網站,先前已公布9個最佳的Android防毒軟體,依序是BullGuard Mobile Security、Lookout Premium、McAfee Mobile Security、Kaspersky Mobile Security、ESET Mobile Security、Trend Micro Mobile Security、F-Secure Mobile Security、Webroot Secure Anywhere Mobile,以及NetQin Mobile Security,其名次的高低,取決於防毒、即時保護、遠端鎖定、定位與追蹤遺失裝置、遠端抹除、掃瞄手機應用、反垃圾郵件、反惡意網站、反間諜、設備警示音訊、SIM卡鎖定等多項功能評比,提供予手機使用者評估參考。

總而言之,不管使用者選用哪一套手機防毒軟體,基本上都可發揮防毒防駭之功效,算是相當基礎的保護措施,除此之外,尚須配合本身行為模式的調整,才能一舉奏效,比方說,在安裝APP應用程式時,務必留意相對應的資料存取權限需求,切莫不明就理直接按下確認;其次,對於Android使用者而言,宜透過Google Play官方平台下載APP,不要輕易嚐試非官方市集,因為藉由這類型市集,會讓使用者更容易安裝到內含惡意程式的APP。

再者,使用者切記不要點擊不明的連結,只因駭客或網路犯罪人士,通常都會利用類似釣魚連結的手法,誘使使用者上鉤後,再取得行動裝置上的「鑰匙」,可用以剝開該裝置的種種一切,要想拿走箇中私密資料,簡直就像探囊取物般輕而易舉;譬如早先即曾透過臉書(Facebook)而瘋傳的「假拉票真詐騙」-我朋友參加攝影比賽,幫忙一下,這個老梗又在LINE上重施故技,即是典型的網路釣魚,使用者萬萬不得輕易上當。

知名的資安業者趨勢科技,對於行動網路釣魚著力頗深,也不時向手機或平板分享相關資訊。該公司指出,相較以往PC環境的網路釣魚,行動網路釣魚的危害性似乎更大,主因在於,行動裝置普遍為小尺寸螢幕,較難透過行動瀏覽器顯示所有內容,方便釣魚網站掩蓋可能被識破的元素;其次,某些裝置會自動開啟預設的瀏覽器,使用者無法自行抉擇較為安全的瀏覽器;再者,行動裝置的使用者介面,通常設計重點在於加速及簡化使用者體驗,所以容易省略若干安全措施,例如不會顯示標明網站合法性和連結安全性的圖示。

行動釣魚網頁的終極目標,旨在於竊取使用者的個人資料,包括金融帳戶、社群網站帳號、網路購物帳號等等,一旦讓網路犯罪分子得逞,使用者的銀行帳戶便可能被提領一空,連累親朋好友感染惡意程式或慘遭詐騙,抑或莫名其妙成了幫別人買單的冤大頭。

如何避免讓自己淪為釣魚網站的禁臠?第一,儘可能利用網路銀行或購物網站提供的官方應用程式,不要輕易使用行動瀏覽器;第二,萬一收到可疑寄件者傳來的電子郵件,宜避免點入連結或打開附件檔;第三,詳加檢查網頁與網址;第四,不妨點入行動瀏覽器的地址欄,藉此確認完整內容,睜大眼睛檢查乍看正常的網址是否經過變造;第五,將經常需要造訪的網站加入書籤,以減少因為拼字錯誤而進入釣魚網站的機會;第六,還是老話一句,必須善用行動安全解決方案,除用以識別與封鎖網路釣魚威脅外,還可一併防護惡意軟體、高風險網址及高風險應用程式。