移動(dòng)惡意軟件是真實(shí)存在的，攻擊者們正在利用移動(dòng)惡意軟件來(lái)竊取存儲(chǔ)在智能手機(jī)中的機(jī)密信息。但如果有人告訴你存在深度攻擊黑客組織專門研究如何利用最新移動(dòng)設(shè)備漏洞來(lái)發(fā)動(dòng)攻擊，這肯定是騙你的。Dan Guido等研究人員向我們展示了清晰的移動(dòng)惡意軟件形勢(shì)，這些攻擊形式非常簡(jiǎn)單，并且主要利用了谷歌的Android安全模式。

研究公司Trail of Bits共同創(chuàng)始人兼首席執(zhí)行官Guido在2012年信息安全決策大會(huì)（Information Security Decisions）上公布的數(shù)據(jù)表明，攻擊者使用有限數(shù)量的公開(kāi)已知漏洞來(lái)攻擊智能手機(jī)，特別是針對(duì)Android平臺(tái)。他們利用Android平臺(tái)不夠標(biāo)準(zhǔn)的審批程序和代碼簽名的做法，通過(guò)將惡意移動(dòng)應(yīng)用程序引入應(yīng)用程序商店來(lái)發(fā)動(dòng)攻擊。

Guido表示：“我們?cè)谔O果公司的App Store沒(méi)有發(fā)現(xiàn)一個(gè)惡意軟件，而在Google Marketplace中發(fā)現(xiàn)超過(guò)30個(gè)惡意軟件，可能影響數(shù)以十萬(wàn)計(jì)的用戶。”

攻擊者們很熱衷于在移動(dòng)設(shè)備上獲得特權(quán)升級(jí)，以滲出數(shù)據(jù)到他們控制的服務(wù)器。因?yàn)楣舴绞胶?jiǎn)單，攻擊者的成本要小于獲得的潛在收入。攻擊的成本因素包括一個(gè)設(shè)備被攻擊的難易程度，攻擊者被抓到的概率，以及目標(biāo)數(shù)據(jù)的價(jià)值和是否可以轉(zhuǎn)換為錢。

Guido表示，最佳防御方法是提高攻擊者利用設(shè)備的成本。蘋果公司部署了很多障礙來(lái)阻止代碼執(zhí)行，他們對(duì)所有提交到其App Store的代碼進(jìn)行簽名，應(yīng)用程序被授予一個(gè)唯一的ID和目錄。此外，他們的Seatbelt沙箱限制了應(yīng)用程序從其他應(yīng)用程序訪問(wèn)數(shù)據(jù)，降低了iOS內(nèi)核的攻擊面。

Guido表示，而Android的安全功能最大限度地幫助攻擊者降低了成本。Android沒(méi)有使用代碼簽名，而是使用No-eXecute或者NX bit，限制在操作系統(tǒng)中代碼被允許執(zhí)行的領(lǐng)域。Guido表示這并沒(méi)有代碼簽名那么有效。蘋果修復(fù)漏洞的速度也比谷歌Android更快，這意味著Android漏洞利用有較長(zhǎng)的可用時(shí)間。

“現(xiàn)在有3億臺(tái)Android設(shè)備，大多數(shù)設(shè)備沒(méi)有更新到最新版本，”Guido補(bǔ)充說(shuō)，因?yàn)橛布拗?，早期版本的Android設(shè)備不能升級(jí)到即將到來(lái)的4.0版本，“這幾乎是無(wú)法彌補(bǔ)的漏洞。”

Guido說(shuō)道，現(xiàn)在還沒(méi)有移動(dòng)瀏覽器攻擊，沒(méi)有感染設(shè)備的無(wú)線攻擊，也沒(méi)有應(yīng)用程序到應(yīng)用程序的漏洞利用，“都是圍繞Android的攻擊，都是關(guān)于越獄的攻擊。”

移動(dòng)惡意軟件攻擊（例如Android DroidDream）都遵循類似的模式。他們利用公共漏洞來(lái)開(kāi)發(fā)惡意軟件，然后被注入到一個(gè)移動(dòng)應(yīng)用程序，隨后應(yīng)用程序被放到網(wǎng)上，通常是進(jìn)入應(yīng)用程序商店。然后攻擊者開(kāi)始通過(guò)短信或者電子郵件社會(huì)工程學(xué)來(lái)誘使受害者下載惡意應(yīng)用程序。一旦安裝成功，越獄漏洞就會(huì)為攻擊者升級(jí)特權(quán)，攻擊者就能夠與命令控制服務(wù)器（攻擊者用于發(fā)送接收數(shù)據(jù)的服務(wù)器）建立連接。“這是所有入侵都遵循的系統(tǒng)性過(guò)程，否則他們無(wú)法賺錢，”Guido表示，“如果你能夠干擾某個(gè)過(guò)程，攻擊都不會(huì)成功。”

攻擊者選擇通過(guò)Android移動(dòng)應(yīng)用程序來(lái)發(fā)動(dòng)攻擊是因?yàn)樵搼?yīng)用程序提交過(guò)程不夠安全。無(wú)論是在Google Play Android開(kāi)發(fā)者平臺(tái)還是在iOS App Store，開(kāi)發(fā)人員都使用信用卡注冊(cè)。在Google Play，你的信用卡號(hào)碼就是你的ID號(hào)，而Apple要求使用駕駛執(zhí)照號(hào)或者公司章程。這兩個(gè)平臺(tái)都進(jìn)行靜態(tài)應(yīng)用程序代碼審查，但關(guān)鍵是蘋果公司不允許修改應(yīng)用程序的運(yùn)行時(shí)間，你提交給App Store的內(nèi)容就是App Store出售的東西。但是，谷歌允許修改運(yùn)行代碼的時(shí)間。攻擊者可以更容易地將惡意應(yīng)用程序推入Google Play，因?yàn)楫?dāng)應(yīng)用程序在Marketplace中后，他們還能夠修改應(yīng)用程序。這在蘋果App Store無(wú)法實(shí)現(xiàn)，代碼簽名是安全審查過(guò)程中有可能抓到惡意應(yīng)用程序的關(guān)鍵過(guò)程。

“你每次都需要一個(gè)新ID，這會(huì)增加攻擊者的成本，”Guido表示，“而對(duì)于Android，你可以竊取數(shù)百個(gè)信用卡號(hào)碼，并可以在提交程序后對(duì)程序進(jìn)行修改。Android的安全審查不是很有效，攻擊者可以不斷嘗試，直到成功為止。”

歸根結(jié)底，現(xiàn)在只存在極少的移動(dòng)設(shè)備漏洞利用，并且這些漏洞利用只針對(duì)一個(gè)平臺(tái)。“安全行業(yè)正在談?wù)摰膯?wèn)題與產(chǎn)品社區(qū)推出的產(chǎn)品之間存在斷層，”Guido表示，“大家太過(guò)于關(guān)注可能存在的問(wèn)題，而沒(méi)有足夠關(guān)注真正的威脅。”