如今大多企業(yè)員工幾乎每天都需要用到移動端的某些應用來完成相關工作，但是一旦惡意攻擊者盯上了你手機上的某個應用，那么設備遭受攻擊所帶來的影響可能就是連鎖式的。

一、五大危害企業(yè)的移動端威脅

Lookout產(chǎn)品總監(jiān)David Richardson和他的團隊研究總結出五大移動端惡意軟件家族，冒充真正的企業(yè)應用，引誘員工下載惡意軟件。研究顯示，這五個活躍的移動惡意軟件家族通常通過竊取合法應用的名稱和包名稱來模擬一些企業(yè)應用，例如思科的商務電子郵件應用、ADP、Dropbox、FedEx Mobile、Zendesk、VMware的Horizon Client、Blackboard的Mobile Learn等等。

1. Shuanet

Shuanet能夠?qū)⑵渥陨碜詣影惭b在設備的系統(tǒng)分區(qū)上，獲得設備root權限，達到進一步安裝其它應用的目的。這些應用程序可能是惡意的也可能是良性的，推送至手機，提高惡意軟件的下載幾率。Shuanet可能也會向設備推送各種小廣告。

企業(yè)將面臨的風險

被root設備的安全狀態(tài)已經(jīng)發(fā)生改變。很多人會利用root權限對設備進行自定義設置，但是他們往往都不會去做安全性的合理配置，可能也不會進行定期的軟件更新。另外，Shuanet這樣的惡意軟件會在系統(tǒng)分區(qū)中自動安裝，即使恢復出廠設置也難以去除。最后，安裝應用的惡意軟件可能會將更多的惡意應用程序植入該設備，使設備及數(shù)據(jù)暴露在更高的風險中。

受害應用程序舉例：ADP Mobile Solutions、CamCard Free、Cisco Business Class Email(BCE)、Duo Mobile、Google Authenticator、VMWare Horizon Client、Zendesk、Okta Verify。

2. AndroRAT

AndroRAT開發(fā)初衷是完成一個大學研究項目——創(chuàng)建一個“遠程管理工具”，允許第三方控制某設備并從麥克風收集聯(lián)系人、通話記錄、短信、設備位置和音頻等信息。但是該工具目前被一些不法份子惡意利用。

企業(yè)將面臨的風險

隱藏的遠程訪問軟件能夠幫助攻擊者輕易地從移動設備獲取到企業(yè)和個人的數(shù)據(jù)。另外，對某個移動設備的持續(xù)性遠程訪問也會幫助攻擊者對感染設備所連接的公司W(wǎng)i-Fi和VPN展開入侵行動。

受害應用程序舉例：Dropbox、Skype、Business Calendar

3. UnsafeControl

UnsafeControl能夠收集聯(lián)系信息并將其下載到第三方服務器，還能夠?qū)β?lián)系人列表發(fā)送垃圾郵件或向其命令和控制(CNC)服務器指定的電話號碼發(fā)送短信。消息內(nèi)容也由CNC控制。

企業(yè)將面臨的風險

像UnsafeControl這樣的惡意軟件能夠竊取聯(lián)系人信息，這對很多企業(yè)來說都屬于敏感信息。比如，銷售總裁或副總設備上的聯(lián)系人信息就是一個公司極大的競爭優(yōu)勢與虛擬財富。

受害應用程序舉例：FedEx Mobile、Google Keep、遠程VNC Pro、Sky Drive、PocketCloud、Skype

4. PJApps

PJApps可能會收集并泄露受害者的電話號碼、移動設備的唯一標識符(IMEI)及位置。為了擴大非法盈利范圍，它也可能會向一些優(yōu)質(zhì)的短信號碼發(fā)送釣魚信息。另外， PJApps也能夠進一步下載應用程序到相應設備。

企業(yè)將面臨的風險

像PJApps這樣的惡意軟件通常利用其功能來獲取收益，但同時也具有一定技術相關性，例如手機位置信息帶來的威脅，尤其是針對高管們的移動設備。這些信息可能關乎企業(yè)的商業(yè)計劃。該惡意軟件將其它應用程序下載至設備的功能其實也為新型惡意軟件進入設備提供了通關密語。

受害應用程序舉例：CamScanner

5. Ooqqxx

Ooqqxx實際是一個廣告網(wǎng)絡，將廣告推送至通知欄，發(fā)送彈窗廣告，在主屏幕上創(chuàng)建快捷方式，未經(jīng)許可下載大型文件。

企業(yè)將面臨的風險

這些廣告會往往會打斷員工的正常工作，員工因此可能也會向IT部門提出改進意見，這些行為都在一定程度上影響了公司員工的工作效率。Time is money!

受害應用程序舉例：Mobile從Blackboard、Evernote、PocketCloud、Remote Decktop、Adobe Reader、aCalendar

二、從開發(fā)者角度談移動端威脅的安全防御措施

每個人的手機、iPad等智能設備上大概都有26-55個應用程序，通常包括以下這些類型：娛樂和游戲、銀行app、一些社交媒體app、瘦身塑形的軟件以及網(wǎng)購應用等。

如果只是普通的游戲軟件遭到攻擊，你也許不會在意。但事實上，很多應用其實都收集了很多你不想讓別人看到的個人信息，比如你的位置、銀行卡信息和某些照片。

從開發(fā)的角度來看，你必須通過某些協(xié)議確保應用程序的代碼不被黑客入侵。Codal首席執(zhí)行官Keval Baxi主要從開發(fā)者的角度給出了一些保護手機應用安全的干貨建議。

1. 使用基于令牌的身份驗證方式訪問API

很多移動應用程序都沒有設計恰當?shù)纳矸蒡炞C方法，這種行為的本質(zhì)其實就是數(shù)據(jù)泄露。“令牌”是指一些本身不帶任何意義的數(shù)據(jù)，但令牌系統(tǒng)準確率高，它是保護移動端應用程序的關鍵方式?；诹钆频纳矸蒡炞C需要驗證每個向服務器發(fā)送的API請求的真實性，只有通過驗證程序才會對請求作出響應。

2. 使用Android KeyChain和iCloud Keychain存儲敏感信息

移動設備上的keychain是一個安全的存儲容器，能夠保存所有應用程序的登錄名、用戶名和密碼等數(shù)據(jù)。建議開發(fā)人員充分利用操作系統(tǒng)的這一功能進行數(shù)據(jù)存儲，而不是通過p-list文件或NSUserDefaults來存儲。使用keychain功能也可以為用戶帶來便利，不需要每次登錄都輸入用戶名密碼。

3. 在本地數(shù)據(jù)庫中保存用戶數(shù)據(jù)時對數(shù)據(jù)進行加密

加密是將數(shù)據(jù)和明文轉(zhuǎn)換為“密碼”的過程，也就是密文。要想讀取密文就必須經(jīng)過解密或使用密鑰的過程，因此加密數(shù)據(jù)保護最有效的方法之一。

4. 登錄應用程序時選擇指紋鎖而不是用戶名和密碼

[[190790]]

蘋果公司研究人員表示，指紋匹配的概率是1：50000，而四位數(shù)密碼的匹配概率是1：10000。因此指紋登錄比使用傳統(tǒng)密碼的方式更加安全。指紋是每個用戶獨特的生命體征，而密碼不是。在iOS版本8之前，蘋果公司為開發(fā)人員開通了Touch ID的權限，API能夠在SDK(軟件開發(fā)工具包)中使用。

5. 可疑活動的實時通知

[[190791]]

當用戶在新的設備或新的未知位置登錄某應用程序時，可以通過電子郵件或推送通知向用戶發(fā)送登錄異常的消息，完成驗證過程。很少會有應用程序達到這一要求，而Gmail是其中之一。登錄驗證通知能夠讓用戶獲知他的賬戶是否遭到了非法入侵。

6. 始終使用https(SSL)

[[190792]]

將SSL安裝到服務器后，開發(fā)人員就能夠使用HTTPS協(xié)議，該協(xié)議安全性高，有助于防止入侵者干擾應用程序及其服務器之間的數(shù)據(jù)傳輸。

7. 提防逆向工程

[[190793]]

開發(fā)人員對應用程序進行逆向工程、把數(shù)據(jù)和源代碼移走也不是不可能發(fā)生的事。為了防止這種情況的出現(xiàn)，你可以通過更改預處理器中重要類別和方法的名稱來迷惑黑客。第二個辦法則是在項目完成后對符號表進行拆分。