如何選擇安全的行動工作平台
可靠且安全的行動通訊是任何現代組織的必備條件,無論是公司、政府機構、非政府組織或其他組織。就目前情況而言,選擇基本上僅限於谷歌的Android平台或基於iOS的蘋果iPhone。乍一看,iPhone似乎更安全:對第三方程式的限制;唯一受到嚴格控制的市場;在其他地方發現的惡意軟體的一小部分……但是讓我們更深入地了解情況是否確實如此。
iOS真的那麼安全嗎?
近年來,有關蘋果設備感染惡意軟體的新聞已經司空見慣,這一切都要歸功於「合法監控軟體」Pegasus。但由於Pegasus 的受害者主要是活動家、政治家和記者,這種威脅更多地被視為都市傳說——是的,很令人討厭,但如此罕見且有針對性,以至於在現實中遇到它的機會很小(除非你去尋找它)。但後來它來敲我們的門:今年 6 月,我們談到了使用 Triangulation惡意軟體對卡巴斯基管理層進行的攻擊(順便說一句,在即將舉行的安全分析師峰會上,我們計劃對這次攻擊進行詳細分析;如果您有興趣,請加入我們)。
我們的公司——即一家私人公司——使用 iPhone 作為行動通訊的標準手段,受到了攻擊。在進行徹底調查並發布triangle_check實用程式以自動搜尋感染痕跡後,我們為類似攻擊的受害者設置了一個可以寫入的郵箱。蘋果智慧型手機的其他用戶也紛紛收到電子郵件,聲稱他們也在自己的裝置上發現了感染的跡象。相信我們—我們不再認為針對 iPhone 的針對性攻擊是罕見的。
安全感的幻覺
矛盾的是,一再強調 iOS 毫無疑問比 Android 更安全的說法只會讓情況變得更糟。公開否認這項威脅會導致人們轉移注意力。他們對自己說:“當然,有人被感染了,但我很可能不會。”
甚至我們的一些同事(對資訊安全並不陌生)也拒絕相信他們已被「三角測量」。即使在威脅被公開之後,有些人還是被說服檢查他們的 iPhone 是否有惡意軟體的痕跡,當他們得知自己成為攻擊目標時,他們感到非常驚訝。
「為什麼要黑我?」的想法 令人欣慰但也很危險。原因可能有很多。您不必成為一個有趣的目標,您的手機就會被駭客入侵。與高級管理人員或政府官員有關係就足夠了。有時,參加會議或只是靠近真正的攻擊目標就足夠了。然後突然間,您發現自己處於前線,因為重要的商業資訊從您的設備中洩露了。
真正的問題
仔細觀察漏洞市場(無論是暗網論壇,還是 Zerodium 等灰色平台)就會發現,iOS 和 Android 漏洞利用的價格現在大致相當。這顯示攻擊者市場如何看待這些系統的安全等級。Android 上的一些漏洞甚至比 iOS 上的還要昂貴。無論如何,這兩個系統都是可行的目標。
真正的區別在於反擊攻擊的工具的可用性。如果攻擊者利用最新的零日漏洞繞過 Apple 所吹噓的安全機制,您將無能為力。您很可能根本不知道它發生了。由於系統限制,即使是頂尖的專業人士也很難弄清楚攻擊者到底想要做什麼。同時,基於Android的智慧型手機可能配備成熟的安全解決方案-不僅是防毒軟體,還包括允許遠端管理企業設備的MDM(行動裝置管理)解決方案。
更具體地說,我們發現 iOS 在遭受攻擊時所享有的優勢實際上變成了劣勢。其生態系的封閉性,禁止外部安全專家進入,這只會對攻擊者有利。當然,Apple 工程師已經建立了相當完善的萬無一失的保護:例如,用戶不會意外訪問惡意網站並下載木馬 APK。但在 iPhone 被駭客攻擊的情況下(實踐表明,老練的攻擊者完全有能力做到這一點),受害者只能希望蘋果自己能夠出手相救。當然,假設它及時檢測到黑客攻擊。
威脅的規模
迄今為止,現實生活中針對 iOS 的所有攻擊都是有針對性的活動的一部分的說法也無法讓人放心。人們普遍認為,「永恆之藍」漏洞是由政府機構開發的,其應用範圍非常狹窄。但隨後被 Shadow Brokers 組織洩漏後,落入網路犯罪分子手中,並用來實施全球WannaCry勒索軟體攻擊。
甚至蘋果的市場也不再被認為是堅不可摧的。我們的同事最近在 App Store 中發現了一些詐騙應用程序,這些應用程式在某些情況下會竊取用戶的個人資料。當然,這還不是一個巨大的威脅,但它開創了先例:攜帶惡 意負載的應用程式能夠繞過蘋果的嚴格控制並在其官方市場上發布。
怎麼辦?
在吸取了三角測量的教訓後,我們像許多其他私人公司和政府機構一樣,逐漸停止在工作中使用 iPhone。作為目前的替代方案,我們正在使用配備我們解決方案的Android ,我們知道這是有效的。這並不意味著我們認為攻擊更難。只是保護更簡單,當然也更容易偵測攻擊跡象。
這不是一個永久的解決方案——作業系統的附加元件並不理想。安全解決方案的運作原理是獲得性免疫:它可以防止與已經遇到的威脅類似的威脅。在一個完美的世界中,每個人都會擁有一部具有先天免疫力的手機,這使得意外行為在設計上不可能發生。唉,目前還沒有這樣的手機。