Русский 
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
Как взломать телефон: описаны 7 распространенных методов атаки
Мобильная безопасность часто превосходит ПК, но пользователей все равно можно обмануть, а смартфоны все еще можно взломать. Вот на что вам нужно обратить внимание.
Революция смартфонов должна была предоставить технологической отрасли второй шанс развернуть безопасную вычислительную платформу. Предполагалось, что эти новые устройства будут заблокированы и невосприимчивы к вредоносному ПО, в отличие от компьютеров с ошибками и уязвимых серверов.
Но оказывается, что телефоны — это по-прежнему компьютеры, а их пользователи — по-прежнему люди, а компьютеры и люди всегда будут слабыми звеньями. Мы поговорили с рядом экспертов по безопасности, чтобы помочь вам понять наиболее распространенные способы, с помощью которых злоумышленники могут проникнуть в мощные компьютеры в карманах ваших пользователей. Мы надеемся, что это даст вам представление о потенциальных уязвимостях.
1. Социальная инженерия Самый простой способ для любого хакера взломать любое устройство — это открыть дверь самому пользователю. Конечно, легче сказать, чем сделать, чтобы это произошло, но это цель большинства форм атак социальной инженерии.
Операционные системы смартфонов обычно имеют более строгие режимы безопасности, чем ПК или серверы, при этом код приложения работает в изолированном режиме, что не позволяет ему повысить привилегии и захватить управление устройством. Но у этой хваленой модели безопасности, в которой мобильным пользователям необходимо предпринимать позитивные действия, чтобы код получил доступ к защищенным областям операционной системы или памяти телефона, есть недостаток: это приводит к обилию всплывающих сообщений, которые многие из нас научитесь отключаться. «Приложения на мобильных устройствах разделяют разрешения, чтобы защитить пользователя от мошеннических приложений, которые бесплатно получают доступ к вашим данным», — говорит Каталино Вега III, аналитик безопасности в Kuma LLC. «Запрос становится знакомым: «Хотите ли вы разрешить этому приложению доступ к вашим фотографиям?»»
«Это действительно добавляет всего один шаг между предоставлением доступа к приложению», — продолжает он. «И из-за того, что пользовательский опыт обусловил принятие большинства подсказок в качестве доступа к функциям, большинство пользователей просто разрешают приложению доступ ко всему, что оно запрашивает. Я думаю, что в какой-то момент мы все можем быть виноваты в этом».
2. Вредоносная реклама
Одним из особенно важных векторов такого рода вводящих в заблуждение диалоговых окон являются так называемые «вредоносные рекламные объявления», которые подключаются к инфраструктуре, разработанной для экосистемы мобильной рекламы, будь то в браузере или в приложении.
«Цель состоит в том, чтобы заставить вас нажать на рекламу», — говорит Чак Эверетт, директор по защите кибербезопасности компании Deep Instinct. «Они пытаются заманить вас чем-то, что заставит вас щелкнуть мышью, прежде чем вы подумаете, — коленным рефлексом или чем-то, что выглядит как предупреждение или предупреждение». Цель, по его словам, состоит в том, чтобы «попытаться напугать вас или соблазнить вас нажать на ссылку».
Одним из примеров, который он приводит, была игра под названием Durak, которая уговаривала пользователей разблокировать свои телефоны Android, заставляя их отключать функции безопасности и устанавливать другие вредоносные приложения. Durak не был каким-то хитрым приложением, загруженным не по назначению, и был доступен на официальной торговой площадке Google Play. «67% всех вредоносных приложений можно отнести к загрузке из магазина Google Play, тогда как только 10% пришли с альтернативных сторонних рынков», — объясняет он. «Потребители в Google Play во многом полагаются на отзывы других пользователей о том, безопасно приложение или нет. Это не работает." Напротив, по его словам, «Apple тщательно проверяет каждое приложение в своем магазине приложений, что уменьшает количество доступных приложений, но значительно снижает количество приложений, которые считаются вредоносными».
3. Смишинг
Еще один вектор, который злоумышленники используют, чтобы донести до своих жертв эту важнейшую ссылку, которую можно прослушивать, — это текстовые SMS-сообщения с совершенно другим набором приемов социальной инженерии; эта практика известна как SMS-фишинг или смишинг, и она одинаково привлекает как доверчивых, так и влиятельных людей.