移動惡意軟件是真實存在的，攻擊者們正在利用移動惡意軟件來竊取存儲在智能手機中的機密信息。但如果有人告訴你存在深度攻擊黑客組織專門研究如何利用最新移動設(shè)備漏洞來發(fā)動攻擊，這肯定是騙你的。Dan Guido等研究人員向我們展示了清晰的移動惡意軟件形勢，這些攻擊形式非常簡單，并且主要利用了谷歌的Android安全模式。

研究公司Trail of Bits共同創(chuàng)始人兼首席執(zhí)行官Guido在2012年信息安全決策大會（Information Security Decisions）上公布的數(shù)據(jù)表明，攻擊者使用有限數(shù)量的公開已知漏洞來攻擊智能手機，特別是針對Android平臺。他們利用Android平臺不夠標(biāo)準(zhǔn)的審批程序和代碼簽名的做法，通過將惡意移動應(yīng)用程序引入應(yīng)用程序商店來發(fā)動攻擊。

Guido表示：“我們在蘋果公司的App Store沒有發(fā)現(xiàn)一個惡意軟件，而在Google Marketplace中發(fā)現(xiàn)超過30個惡意軟件，可能影響數(shù)以十萬計的用戶。”

攻擊者們很熱衷于在移動設(shè)備上獲得特權(quán)升級，以滲出數(shù)據(jù)到他們控制的服務(wù)器。因為攻擊方式簡單，攻擊者的成本要小于獲得的潛在收入。攻擊的成本因素包括一個設(shè)備被攻擊的難易程度，攻擊者被抓到的概率，以及目標(biāo)數(shù)據(jù)的價值和是否可以轉(zhuǎn)換為錢。

Guido表示，最佳防御方法是提高攻擊者利用設(shè)備的成本。蘋果公司部署了很多障礙來阻止代碼執(zhí)行，他們對所有提交到其App Store的代碼進行簽名，應(yīng)用程序被授予一個唯一的ID和目錄。此外，他們的Seatbelt沙箱限制了應(yīng)用程序從其他應(yīng)用程序訪問數(shù)據(jù)，降低了iOS內(nèi)核的攻擊面。

Guido表示，而Android的安全功能最大限度地幫助攻擊者降低了成本。Android沒有使用代碼簽名，而是使用No-eXecute或者NX bit，限制在操作系統(tǒng)中代碼被允許執(zhí)行的領(lǐng)域。Guido表示這并沒有代碼簽名那么有效。蘋果修復(fù)漏洞的速度也比谷歌Android更快，這意味著Android漏洞利用有較長的可用時間。

“現(xiàn)在有3億臺Android設(shè)備，大多數(shù)設(shè)備沒有更新到最新版本，”Guido補充說，因為硬件限制，早期版本的Android設(shè)備不能升級到即將到來的4.0版本，“這幾乎是無法彌補的漏洞。”

Guido說道，現(xiàn)在還沒有移動瀏覽器攻擊，沒有感染設(shè)備的無線攻擊，也沒有應(yīng)用程序到應(yīng)用程序的漏洞利用，“都是圍繞Android的攻擊，都是關(guān)于越獄的攻擊。”

移動惡意軟件攻擊（例如Android DroidDream）都遵循類似的模式。他們利用公共漏洞來開發(fā)惡意軟件，然后被注入到一個移動應(yīng)用程序，隨后應(yīng)用程序被放到網(wǎng)上，通常是進入應(yīng)用程序商店。然后攻擊者開始通過短信或者電子郵件社會工程學(xué)來誘使受害者下載惡意應(yīng)用程序。一旦安裝成功，越獄漏洞就會為攻擊者升級特權(quán)，攻擊者就能夠與命令控制服務(wù)器（攻擊者用于發(fā)送接收數(shù)據(jù)的服務(wù)器）建立連接。“這是所有入侵都遵循的系統(tǒng)性過程，否則他們無法賺錢，”Guido表示，“如果你能夠干擾某個過程，攻擊都不會成功。”

攻擊者選擇通過Android移動應(yīng)用程序來發(fā)動攻擊是因為該應(yīng)用程序提交過程不夠安全。無論是在Google Play Android開發(fā)者平臺還是在iOS App Store，開發(fā)人員都使用信用卡注冊。在Google Play，你的信用卡號碼就是你的ID號，而Apple要求使用駕駛執(zhí)照號或者公司章程。這兩個平臺都進行靜態(tài)應(yīng)用程序代碼審查，但關(guān)鍵是蘋果公司不允許修改應(yīng)用程序的運行時間，你提交給App Store的內(nèi)容就是App Store出售的東西。但是，谷歌允許修改運行代碼的時間。攻擊者可以更容易地將惡意應(yīng)用程序推入Google Play，因為當(dāng)應(yīng)用程序在Marketplace中后，他們還能夠修改應(yīng)用程序。這在蘋果App Store無法實現(xiàn)，代碼簽名是安全審查過程中有可能抓到惡意應(yīng)用程序的關(guān)鍵過程。

“你每次都需要一個新ID，這會增加攻擊者的成本，”Guido表示，“而對于Android，你可以竊取數(shù)百個信用卡號碼，并可以在提交程序后對程序進行修改。Android的安全審查不是很有效，攻擊者可以不斷嘗試，直到成功為止。”

歸根結(jié)底，現(xiàn)在只存在極少的移動設(shè)備漏洞利用，并且這些漏洞利用只針對一個平臺。“安全行業(yè)正在談?wù)摰膯栴}與產(chǎn)品社區(qū)推出的產(chǎn)品之間存在斷層，”Guido表示，“大家太過于關(guān)注可能存在的問題，而沒有足夠關(guān)注真正的威脅。”