最新消息:XAMPP默认安装之后是很不安全的,我们只需要点击左方菜单的 "安全"选项,按照向导操作即可完成安全设置。

Day 22 你的手機安全嗎?(2)

XAMPP下载 文, 员 18浏览 0评论

昨天提到行動設備目前面臨越來越多的威脅,建議公司企業至少運用MDM系統強迫手機必須更新到指定版本才能存取公司資源,今天依舊藉由Zimperium 的報告,提醒大家需要注意的手機安全:

  1. 若連結惡意Wi-Fi,可能遭受Man-In-The-Middle Attack中間人攻擊

由於行動裝置本身漏洞,有可能連結上惡意Wi-Fi 網路,遭受Man-In-The-Middle Attack中間人攻擊,例如2017年受高度關注的KRACK ,是存在於WPA2協定上的漏洞,可以參考 IThome的新聞:【Wi-Fi加密大崩壞】看過來! 面對KRACK攻擊威脅該如何自保?
https://www.ithome.com.tw/news/117519

另一個漏洞BroadPwn 指的是Broadcome 生產Wi-Fi 晶片上的漏洞 (CVE 2017-9417),這些晶片被使用在iPhone 和Android手機上,同樣也會使入侵者有機可趁,讓手機連結到Wi-Fi惡意網路。所幸KRACK和BroadPwn 目前只要手機系統有更新便沒事了。

若想了解更多關於Wi-Fi網路的風險,可以參考之前鐵人賽邦友虎虎所寫的文章:資安x系統x絕對領域系列 第 41 篇 駭客思維x教育不能等xWiFi網路安全
https://ithelp.ithome.com.tw/articles/10189133

今天IThome有一篇文章也是關於Wi-Fi安全,可以參閱:研究證實駭客可劫持公開Wi-Fi流量來挖礦
https://www.ithome.com.tw/news/120449

  1. 手機上的惡意APP

其實很想對那位聲稱「手機上沒有病毒」的年輕義工說:手機上的惡意程式比你想像中多,不知道它存在並不代表惡意程式不存在。一 般「常見」的惡意程式多半偽裝成熱門手機APP或遊戲,例如之前憤怒鳥、修圖軟體流行的時候並有許多類似的惡意程式用相似的名字在App Store引誘大家下載;另一種常見的手法是以正常的APP讓用戶下載,下載之後再以APP更新的方式把惡意程式偷渡進手機,或者是在正常APP功能下隱藏著蒐集用戶個資、回報的行為。這些手法通常可以用MDM或MAM軟體限制使用者能下載的APP,搭配員工資安教育,教導大家下載Android APP時注意 APP 提出所需要的權限。即便如此,就算是一般正常的APP仍然有風險,2015年出名的XcodeGhost事件就是很好的例子,可以參閱IThome的新聞:XcodeGhost風暴事件大剖析
https://www.ithome.com.tw/news/99234

2017年勒索軟體Ransomware橫行,聽到Wannacrypt 和Bad Rabbit都臉色大變,其實手機上也有勒索軟體:DoubleLocker 就是一款Android手機上的勒索軟體 Ransomware,不但會將手機上的資料加密,還會改變手機的解鎖密碼,讓用戶無法解鎖手機;至於iPhone也不落人後,出現勒索軟體改變手機解鎖密碼,甚至有惡意程式偽裝成勒索軟體,當你用手機瀏覽器點擊連結時,出現疑似手機螢幕被鎖住的訊息並要求付贖金解鎖手機,相關新聞可參閱:

iPhone users fooled by fake ransomware
http://www.bbc.com/news/technology-39432350
Here’s how to overcome newly discovered iPhone ransomware
http://fortune.com/2016/08/04/apple-iphone-ransomware/

Bankbot是偽裝成銀行APP的惡意程式,通常偽裝成一般的APP讓用戶下載,下載之後會開啟新螢幕看起來像是銀行的APP,若沒有足夠警覺性,以為正在使用銀行APP登入時,你的銀行APP帳號和密碼就這樣外洩了。

還記得以前常常聽到「Mac很安全」、「Mac沒有病毒」這樣的說法,其實只是Mac上的惡意程式數量較少為人知,而且很少有人安裝防毒軟體偵測、發現這些惡意程式存在罷了。以手機今日對大家的重要性,未來針對行動裝置的威脅將會越來越多,廠商已經開始提出除了MDM之外、專門防護手機的方案,能偵測手機連上惡意Wi-Fi網路、或阻止惡意程式下載等等,如果目前對於手機尚未有確切防護計畫的話,建議至少先用MDM系統管理,確保手機更新到指定系統版本降低風險。

「我能理解現在的現狀,卻不會放棄最後的掙扎。」- – 《刀劍神域》

文末提供一些社群交流聽來的無擔保建議,單從網站上的簡介看可行,具體如何我就沒有試過了,畢竟我們公司已經有完善的MDM系統。如果有任何相關使用MDM、

转载请注明:XAMPP中文组官网 » Day 22 你的手機安全嗎?(2)