智慧型手機的資安探討_講義 [相容模式]

你被偷窺了嗎? 智慧型手機的資安探討講師呂守箴大綱來自於 Facebook 的騙術與防範簡訊 APP(LINE WeChat) 的詐騙手法智慧型手機 (ios Android) 的惡意程式感染途徑騙術無所不在, 要用就要學的防護措施

只要使用網路就有風險出門時一定要帶的東西 @@ 不管使用哪種裝置 ( 電腦手機平板 ) 只是使用網路 ( 有線無線 3G) 就有可能連到惡意網站下載到惡意程式 ARP 欺騙 ARP 攻擊 (ARP spoofing) ARP 欺騙的運作原理是由攻擊者發送假的 ARP 封包到網路上, 尤其是送到閘道器上其目的是要讓送至特定的 IP 位址的流量被錯誤送到攻擊者所取代的地方因此攻擊者可將這些流量另行轉送到真正的閘道 ( 被動式封包嗅探,passive sniffing) 或是篡改後再轉送 ( 中間人攻擊,man-in-the-middle attack) 攻擊者亦可將 ARP 封包導到不存在的 MAC 位址以達到阻斷服務攻擊的效果, 例如 netcut WiFiKiLL 軟體

手機防護當使用者越來越仰賴 iphone Android 等智慧手機平板電腦, 單位的安全防護網將會面臨有別於傳統的新風險不只要防範鎖定手機伺機入侵的木馬和惡意程式, 還得預防遺失手機而導致資料外洩的風險伴隨著手機進入單位的 3G 網路, 更是輕易跳過內網管制的防線傳統的防護網已經逐漸瓦解, 單位必須正視行動應用帶來的新風險, 才能有效鞏固防護網來自於 Facebook 的騙術與防範

竊取已驗證的 Facebook Cookies 1. 使用 nmap 確認閘道端 ( 無線網路基地台 ) 的 IP 所在地 2. 使用 arpspoof 進行 ARP 欺騙來讓原本要從無線基地台出去的被害人封包先轉向到攻擊者的電腦 3. 開啟 Firefox 加裝附加元件 Greasemonkey 來執行 cookieinjector 的 script 4. 瀏覽 facebook 網站 ( 但不要登入 ) 確認可以觸發 script 5. 啟動 wireshark 開始側錄從被害人導流過來的封包, 並設定過濾條件只需要 FB 的 cookie ( 該 cookie 就會包含該被害人的帳號與密碼資料 ) 6. 複製被害人封包內的 Text 資料, 並將其貼上的 Firefox 上等待觸發的 script 附加元件 7. 重新整理後 Firefox 就會將原本被害人封包內的帳號密碼等身份資料填入瀏覽器, 偽冒變成對方的身份了 Facebook 的帳號安全點選首頁右上角, 選帳號設定

Facebook 的帳號安全 Facebook 的帳號安全

Facebook 的帳號安全通訊軟體 ios Android

清除救援銷毀個人資料手工清除個人資料 CCleaner 資料清除軟體

手工清除 :IE 的上網暫存資料定期刪除 Cookies 定期刪除暫存檔定期清除記錄方法 : 在 IE 中工具 \ 網際網路選項 CCleaner 資料清除軟體官方下載 : http://www.ccleaner.com 功能 : 刪除 Cookies, 保護隱私也可以自訂清理時不要刪除的 Cookies [ 清道夫 ] 功能針對網路瀏覽器系統記錄檔系統暫存檔系統垃圾檔和各種應用程式的無用檔案進行清潔的工作有效增加硬碟空間, 避免垃圾檔案影響硬碟效率 [ 登錄檔 ] 清理功能可以有效刪除無用的登錄資料, 保持電腦的穩定性與執行效率如果你發生因登錄檔錯誤而造成不能安裝某些軟體的狀況時, 到這裡清潔一下, 有時候問題就解決了

資料清除 ios Android 摩貝密盾 ( 收費 ) iclean ( 收費 ) 貪圖 LINE 免費貼圖卻洩漏個資? 既然免費為什麼不可以? 主要是收集使用者的 LINE ID 或電話號碼藉此發送其它廠商的廣告訊息被亂加入廣告群組, 發送無聊色情促銷的簡訊通知

評估風險再決定使不使用! 應該這麼說, 這是一個跨國的企業韓國的公司日本發行台灣代理並非完全不能使用 Line, 而應該是說想用這種通訊軟體, 就必須知道它的風險了解它所造成的影響再根據自己能接受的風險 ( 被側錄過濾詐騙簡訊違法貼圖 ), 再決定使不使用如同前一陣子討論公務機關到底開不開放使用 MSN 雅虎奇摩即時通等通訊軟體一樣, 需要事先評估資安風險註 :Line 有提供電腦版 ( 桌面版 ) 可以安裝, 也須評估資安風險

WeChat 幹的 " 好事 " 被抓包了! 原作者 ( Roberto Paleari ) 於 2013/9/17 指出, 使用 Wireshark 來側錄 WeChat 的封包, 一開始發現疑似是走標準的 HTTPS (port tcp/443), 但卻出現了無法解析的 payload 進一步解析發現這似乎是 WeChat 所開發的自定義的獨家通訊協定, 所以前面所出現無法解析的 payload 實際上不是 HTTP/HTTPS sessions, 而是使用自定方式將封包內容進行 RSA 與 AES 加密結論 : 該網站表示, 任何安裝在 Android 裝置上的 APP 都可以透過 WeChat 來發送使用者密碼的 hash 到遠端或被控制的伺服器上參考網址 :http://blog.emaze.net/2013/09/a-look-at-wechat-security.html 評估風險再決定使不使用! 應該這麼說, 這是一個來自於中國所製作的手機 APP 軟體由於這個軟體從製造商開發過程及通訊協定均採非國際標準的形式, 無法驗證其在通訊過程中所傳遞的為何並非完全不能使用 WeChat, 而應該是說想用這種通訊軟體, 就必須知道它的風險了解它所造成的影響再根據自己能接受的風險 ( 被側錄過濾詐騙簡訊違法貼圖 ), 再決定使不使用如同前一陣子討論公務機關到底開不開放使用 MSN 雅虎奇摩即時通等通訊軟體一樣, 需要事先評估資安風險

智慧型手機 (ios Android) 的惡意程式感染途徑 Android 作業系統平台 Android 是一種以 Linux 為基礎的開放式原始碼作業系統它由 Google 公司收購後與開放手持設備聯盟開發和主導目前尚未有統一的中文名稱, 常見為 : 安卓安致安桌椅等稱呼安全問題 : Android 作業系統 : 例如 : 版本衝突核心程式漏洞等 Android Market (Google Play) 線上應用程式商店 : 例如 : 不安全竊聽程式等

情色桌布竟是高危險木馬簡訊殭屍專偷網銀密碼偽裝成情色動態桌布等軟體誘惑使用者下載安裝之後, 通過獲取積分等名義誘導使用者安裝惡意木馬程式惡意木馬程式偽裝成 Android 系統服務, 在後台監聽和攔截使用者簡訊, 並留有後門, 使得任何人都可以通過發送簡訊指令的方式來遠程操縱該手機, 竊取用戶隱私發送詐騙簡訊偽造釣魚訊息等手機 APP( 應用程式 ) 開發商 Android 作業系統是完全免費開放的, 任何廠商都可以不經過 Google 和開放手持設備聯盟的授權隨意使用之後推出 Android Market (Google Play) 線上應用程式商店, 使用者可在該平台上尋找購買下載及評分第三方軟體開發商和自由開發者則可以在 Android Market (Google Play) 上不需事先審核並自由發佈其開發的免費或付費 APP 應用程式

手機防護 :Android 解決策略 : 不安裝來路不明的小遊戲或軟體移除不需要或不常用的小遊戲或軟體安裝 Android 防護程式採用 ASEF 針對惡意 APP 分析檢測 Android 防毒軟體智慧型手機功能日益強大, 就像是隨身帶著走的小型電腦功能越多效能越強, 加上手機內存有大量個人相關資訊, 後果就是惡意軟體的出現加上 Android 系統的開放態度, 能夠安裝非 Google Play 應用程式集裡的程式, 使得惡意軟體更容易隨著程式侵入手機平板 Google 雖然在 Android 4.2 之後新增了驗證應用程式功能, 在安裝時能夠自動掃描檔案, 但似乎偵測率不佳, 還是需要依賴第三方程式來幫忙

Android 防毒軟體評測 AV-TEST 於定期對於 Android 系統安全防護軟體的報告參考網址 :http://www.av-test.org/en/tests/mobile-devices/android/ ios 作業系統平台 ios 是由蘋果公司獨家開發的封閉式作業系統 itunes 是一款媒體播放器的應用程式, 用來播放以及管理數位音樂和與視訊檔案 QuickTime 是由蘋果電腦所開發的一種多媒體架構與程式安全問題 : ios 作業系統 : 例如 : 版本衝突核心程式漏洞等 App Store 線上應用程式商店 : 例如 : 不安全竊聽程式等

ios 越獄 (ios 破解 ) ios 越獄 (Jailbreaking,JB), 是對 ios 進行破解的一種手段, 使用這種方法及軟體可以獲取到 ios 的最高權限, 甚至可能可以進一步解開電信商對手機網路的限制 2010 年 7 月 26 日, 美國版權局, 正式認可 ios 越獄之合法性但 2013 年 1 月 26 日起, 新修訂後又有新認定 : iphone 維持合法, 但不得解鎖 ( 限美國, 影響水貨 ) ipad 違法 ( 限美國, 影響水貨 ) 註 : 針對手機作業系統本身進行越獄是適法的, 但經越獄後安裝未經許可的盜版破解軟體以及遊戲, 則會侵犯相關軟體著作權 ios 越獄 (ios 破解 ) 優點 : 解除 ios 上的限制, 安裝 App Store 以外以及未經 Apple 許可的軟體可自行改裝作業系統, 或改變手機軟體介面取得手機系統的管理者權限, 控制並使用命令列 shell 程式缺點 : 部分手機或電信商, 為避免維修爭議, 一經越獄則喪失手機的保固或相關優惠越獄後因取得手機管理者權限, 大幅增加感染惡意程式的機率因可安裝未經 Apple 事先授權及測試的程式, 大幅增加手機當機及效能資源不足的機率容易遺失手機原本的資料, 例如 : 簡訊通訊錄設定值等

ios 的安全保護措施 Boot Chain ( 開機 ) Passcode 開機密碼程式碼採用數位簽章資料保護使用 Passcode 來當作資料保護的密碼檔案加密每個檔案都使用獨立的 key 來加密傳輸加密透過 App 輕易獲取我們帳戶的控制權, 然後隨意發表訊息你確定行動裝置內廠商所開發的 APP 都有強制 https 加密連線? 是否我只要能夠竊取 APP 內所記錄的帳號密碼, 我就能拿到桌上型電腦內使用?

手機防護 :iphone /ipad 解決策略 : 不安裝來路不明的小遊戲或軟體移除不需要或不常用的的小遊戲或軟體安裝 ios 防護程式使用原裝不要越獄或破解 iphone 最容易感染的環境 : 1. 越獄 ( JB, Jailbreak ) 過 2. 安裝了 SSH 且沒有更改預設密碼 3. 喜好在 App Stone 搜尋安裝軟體 ios 防護程式 ios 防毒軟體防火牆 APP: 無或功能不完善 ( 缺乏掃毒與偵測機制 ) ios 阻擋廣告 APP: 無 ( 但越獄後, 可安裝 AdBlocker) ios 傳輸加密保護 APP: 搜尋 VPN ios 弱點檢測軟體 : 摩貝密盾

QR 碼 (QR Code, 二維條碼 ) 是什麼? 行動裝置發達後 QR 碼無所不在 : 雜誌廣告海報上等等都能見到此條碼能讓您輕鬆取得產品或服務相關資訊, 並從獎勵或特殊優惠中獲益由於無法用眼睛辨識, 因此條碼亦可讓人輕鬆攻擊您的行動裝置竊取身分資料問題是, 一個 QR 碼就是一個網站網址的變裝, 且在掃描之前, 您無法分辨它是否安全但掃描之後可能就太遲了防範方式 : 除非確定來源, 不然不要使用行動裝置亂掃描安裝具有掃描網址功能的防毒防駭 APP 安裝具有掃描 QR Code 功能的 APP Norton Snap ( 支援 ios / Android 版本 )

APP 軟體更新不管是 Android 還是 ios 作業系統, 由於 APP 軟體都會有瑕疵, 會引起當機中毒漏洞, 所以都需要做 APP 軟體更新 Android 透過 Google Play 來更新 ios 透過 App Store 來更新 APP 軟體更新 Android ios 點選下載更新點選更新 Updates

結論來自於 Facebook 的騙術與防範簡訊 APP(LINE WeChat) 的詐騙手法智慧型手機 (ios Android) 的惡意程式感染途徑騙術無所不在, 要用就要學的防護措施講師 : 呂守箴 E-Mail:shooujen@gmail.com 網路攻防戰 : 部落格 :http://anti-hacker.blogspot.com FB 粉絲團 :https://www.facebook.com/netwargame G+ 專頁 :https://plus.google.com/u/0/118062628172252352420 Youtube 影片頻道 :http://www.youtube.com/user/openblue 網路直播頻道 :http://zh-tw.justin.tv/openbluetv