黑莓(BlackBerry)在最近发布的一份报告称,官方的Android和iOS应用商店正在广泛传播“大量且无处不在”的政府间谍软件。为了描绘手机恶意软件的“大图景”,黑莓的Cylance研究团队整理了一些旧的、新的例子来强调这一点。黑莓高管布赖恩罗宾逊(BrianRobison)说:“消费者对应用商店抱有一种错误的安全感。”“我不相信应用程序,”他说,“就是这样。”
据罗宾逊称,“数以百计”的此类应用绕过了苹果和谷歌的安全措施。现在,黑莓希望消费者确信,他们不能相信官方商店里的所有商品都是安全的。“我建议他们保持防范意识”,罗宾逊说
苹果和谷歌都没有对此事发表评论,但苹果强调了公司的安全证书,其应用商店的安全性,其检测和避免恶意软件发布的努力,以防止不可信的应用在设备上安装和发布。苹果还指出,这份报告没有包括任何与AppStore应用相关的具体证据。
报告中确实包括了一些多年前的移动网络攻击媒介的例子,包括伊朗最近的崛起、朝鲜对其南部邻国的攻击,以及更令人惊讶的越南活动。几乎所有的例子以前都发表过。有一些新的发现——例如,对巴基斯坦军方的攻击。
报告中提到的一些网络攻击行动是国与国之间的——朝鲜监视韩国,越南监视邻国,伊朗监视国内外的异见分子。其他公司则专注于工业目标,其中很多位于美国,涵盖化工、石油和天然气,制药、国防。报告强调,作为消费者,我们生活在一种错误的安全感中,认为应用商店在尽最大努力保护我们。他说,消费者不了解其中的风险。
还有更多的商业恶意软件——凭证盗窃、数据过滤、跟踪和日志——这些都比较少见,但仍然可以影响大量设备。罗宾森承认:“我们已经看到了很多试图增加广告收入的手机恶意软件,但恶意软件试图追踪你,或者试图打开你的摄像头和麦克风,这就是这份报告所强调的。”
黑莓(BlackBerry)的研究人员警告称,尽管谷歌和苹果(Apple)努力锁定自己的生态系统,但移动安全市场的不成熟让它很容易受到攻击。报告指出,正如最近的其他报告所指出的那样,企业允许员工的个人移动设备连接到企业系统、网络和服务的意愿带来了巨大的风险。
“人们对移动设备的防范不及对笔记本电脑、台式机或陌生人的附件的防范,”罗宾逊告诉我。“他们对于从应用程序商店下载应用程序到自己的设备上非常漫不经心。同样的警告也适用于附件和电子邮件。
罗宾逊解释说,这份报告的目的是提醒人们。“对政府发布的移动恶意软件威胁的公共研究,是零散的,而且质量不高”。报告称,各国政府已经开发出“原生Android和/或iOS移动恶意软件……”其中有针对单个移动设备的,也有针对跨平台的移动和固定设备的。“这并不新鲜。这些活动“已经持续了十年或更久……但直到最近才引起人们的注意。”
根据罗宾森的说法,这类手机恶意软件攻击的主要目标是持不同政见者和个人,但攻击的范围可能更广,可以在一定范围内监视公民——尽管当被问到这个范围可能有多大时,没有可用的数据。“对我们这些消费者来说,这意味着最重要的事情,”他解释说,“是我们一直生活在一种错误的安全感中,即appstore上的所有东西都是安全的,因此你安装的任何东西都是可以使用的。”但事实并非如此。恶意软件,政府间谍软件,他说,“它无处不在——它存在于现实世界中。”
不可避免地,社会工程学在讨论中占有重要地位。罗比森说:“为什么要在工作中攻击您呢?那时您可能会被安全工具包围,而我却可以从个人角度攻击您,而从应用程序商店安装随机应用程序时,您就变得轻而易举了,”罗比森说。政府间谍软件应用程序“被设计为看起来合法,并且让您兴奋地安装它们,无论是约会应用程序还是图形驱动程序。”
黑莓表示,已经看到“数百个恶意软件样本”,其中一些已经存在了十多年。黑莓警告说:在现有的网络间谍活动内,国家和国家支持的APT团体开发和部署移动监控活动的能力,已经超过了安全行业在端点检测和阻止此类恶意软件的能力。同样的道理也适用于更广泛的恶意软件。
“作为消费者,”罗宾逊告诉我,“我们需要意识到,应用商店里的东西可能会伤害我们。我认为一般消费者,并不了解这一点。我们都知道,如果你越狱你的设备,这可能是有问题的,但公共商店也是一个问题。尽管黑莓专注于政府间谍软件,但其意义更为广泛。被推出的商业恶意软件比政府间谍软件还多。应用程序看起来是一样的。除了最高级别的攻击,所有攻击的复杂程度都差不多。
最后,这份报告在一份文件中强调了最近大量披露的事件所显示的结果——手机恶意软件的情况确实存在,而且还在不断恶化。黑暗网络充斥着待售的恶意代码。虽然其中大部分对用户来说是相对良性的,但也有很多不是这样的例子。而且,只要消费者不考虑设备的安全而随意安装琐碎的应用程序,这个问题就会继续恶化。
政府使用此类移动恶意软件并不新鲜——报告承认,此类攻击载体可以追溯到数年前。不过,现在的新情况是公众意识日益增强——最近WhatsApp遭到黑客攻击,以及NSO的间谍软件。虽然它本身并没有让我们更安全,但如果这种意识导致我们在下载时更加谨慎,那么我们也会因此更安全。
与此同时,谷歌和苹果公司继续努力,防止成千上万的危险应用程序隐藏在数百万合法的应用程序中。在这几千个不安全的应用程序中,有几百个是真正恶意的。