2022年全球行動設備威脅報告(下)

2022年行動APP安全狀況

在相對較短的時間內，我們對行動設備和APP的使用發生了巨大的變化和增長。在不斷發展的行動設備和雲技術的支持下，創新的APP繼續推動企業的數字化轉型，並消除我們日常生活中的摩擦。 至今，APP的範圍是巨大的，僅2020年就有超過2180億次下載量。到2023年，APP的年收入預計將達到9350億美元，其中包括串流、遊戲和線上健身都產生了數十億美元的收入。2020年，僅支付部分就佔全球1.3萬億美元。

APP發展趨勢

在APP盈利能力的推動下，行動APP開發的創新也在加速。以下是改變行動APP格局的一些關鍵APP開發趨勢：

跨平台APP開發透過混合APP方法，開發人員可以在 Android和iOS平台上運行的單一程式碼，這提供了許多吸引人的好處。開發人員可以從多種現代手機APP架構中進行選擇。這些替代方案支持所有類型的設備（包括手機和平板電腦）和所有平台（包括Android和iOS）。這些混合框架在可移植性、維護和分發方面提供了顯著優勢，像是React、Flutter、Uno、Kotlin和Xamarin等框架已經顯著增長。

原生混合和Web混合APP都包含原生程式碼和Web程式碼的組合，但安全程度不同。Web混合APP大多是可以在標準Web瀏覽器中運行的獨立Web APP。在這兩種情況下，由於Web控件中缺乏安全功能以及用於Web程式碼的SDK和工具的可用性較低，Web程式碼的安全性更具挑戰性。

漸進式Web APP是傳統Web APP的演變，但具有原生行動APP的外觀，一種程式碼支持多個平台的可移植性，但使保護數據和程式碼的安全變得具有挑戰性。

APP漏洞

行動APP開發人員的程式碼一再洩漏員工和客戶數據，將隱私和安全置於風險之中。最近遭到入侵的APP示例包括Ring doorbell客戶使用的行動APP、商業通訊Slack APP的Android版本和Klarna支付APP。

第三方SDK和開發人員

行動APP開發人員越來越依賴第三方SDK和服務提供商，這帶來了很大的風險。2021年，行動停車APP ParkMobile中2100萬客戶的私人數據被該公司使用的第三方軟體曝光。第三方資料庫將繼續主導行動APP，因為它們易於開發、上市速度和潛在的成本節約的優勢，但相對的讓駭客能輕易在可利用的APP中尋找相關特徵。

雲服務配置錯誤

一項針對23個行動APP的調查發現，超過1億用戶的數據被洩露。 原因為開發人員未能正確配置其第三方雲服務，根據對超過130萬個Android和iOS APP的分析，發現有131,000個在其後端使用公共雲服務，其中14%的APP存在錯誤配置，洩漏了用戶的個人訊息。

風險和攻擊：惡意行動軟體、錯誤和配置文件

惡意軟體存在於每個不良行為者的武器庫中，因為它易於訪問和部署，同時造成大規模破壞。有數百萬種獨特的惡意軟體變種，每天都會創建和發布數以千計的新APP，惡意軟體已成為攻擊者最大的單一利潤來源。

2021 年，行動安全分析發現了2,034,217個新惡意軟體樣本，平均而言，每周有近36,000個新的惡意軟體變種，而每天超過5,000個。

行動惡意軟體是獨一無二的，因為行動攻擊面不同。一些行動惡意軟體的行為類似於傳統的端點攻擊，如間諜軟體和特洛伊木馬。其他惡意軟體可以以傳統惡意軟體無法影響的方式影響用戶，包括：

• 透過短訊或APP通知竊取2FA憑證

• 執行覆蓋攻擊，其中用戶將憑證輸入到輔助APP中，並認為它是正版的APP

• 透過無障礙服務權限監控其他已安裝的APP

• 透過GPS服務追蹤用戶位置

• 啟動照相機和麥克風，錄製音頻和影片

• 訪問敏感內容，例如照片、聯絡人和個人數據

• 捕獲和追蹤傳感器數據，例如陀螺儀和位置/附近設備

2FA攔截

偽裝成成人版的TikTok:

安裝後，它會詢問用戶的電話號碼並立即將其發送給C&C。後端開始為一系列服務生成登錄嘗試，例如Telegram、Google、支付寶、Amazon、MPL、Ludo、Viber，以及各種俄羅斯服務。然後，該APP負責攔截2FA程式碼，並將程式碼發送回C&C，完成帳戶接管。

持續攻擊

經典銀行木馬的新變種，該APP模仿Flash播放器，但沒有任何功能。這種先進的行動惡意軟體嚴重依賴TOR網路來匿名傳遞惡意負載並與 C&C通訊，攻擊流程從記憶體中有效負載的提取和執行開始（硬碟上沒有痕跡）。隨後，APP下載特定架構的TOR二進制文件，透過TOR網路請求C&C地址，並從C&C下載覆蓋負載。從那裡下載額外的APK有效負載，導致對238個目標APP的覆蓋攻擊，這些APP能夠動態添加對其他目標的支持，安裝後無法刪除惡意軟體，需要將設備恢復出廠設定。

憑證竊取

這個憑證竊取APP將自己偽裝成Instagram追隨者工具。實際上，它是Facebook憑證竊取APP，在合法登錄嘗試後獲取cookie及Facebook憑證，在顯示的WebView中注入惡意的JavaScript腳本以攔截受害者的憑證。由於跨多個服務重複使用密碼的常見做法，使攻擊者可以訪問各種工具和登錄名稱，憑證竊取的行動惡意APP數量正在上升。

行動APP威脅：不僅僅是數據面臨風險

截至 2021 年第一季，Google Play Store上提供了近350萬個APP，而Apple App Store上提供了220萬個APP。研究發現，大約有81%的金融APP可能會直接從APP或透過資料庫和SDK間接洩露敏感訊息。而若將APP的廣度擴展到金融APP之外，包括醫療保健、零售和生活APP，發現77%的Android APP和46%的iOS APP使用或可能使用至少一種易受攻擊的加密算法。透過逆向工程策略，惡意行為者可以在APP程式碼中輕易找到破綻，因此對APP進行持續的滲透測試至關重要。然而，24%的受訪者表示他們每年在其行動APP上至少執行一次這項測試。

按行業劃分的移動應用風險

隨著駭客繼續利用手機APP，合規性和監管因素在多個行業中發揮作用：

• 衛生保健: 如果健康數據落入駭客之手，醫療機構將受到健康保險流通與責任法案 (HIPAA) 的罰款和處罰。

• 金融服務: 金融組織會因數據洩露和合規失敗而受到罰款。此外，自 COVID-19大流行以來，違規行為與日俱增。

• 零售: 較差的安全實踐可能使零售商容易因違反支付卡行業數據安全標準(PCI DSS)。如果消費者受到網路攻擊的影響，這些企業也可能面臨法律費用和罰款。