手持裝置的安全風險與病毒現況
過去十年內,多數手持式裝置及智慧型手機的作業系統都是在摸索中設計的。在所有的必備要件中,設計時的主要考量在於更少的記憶體使用量、更少的作業系統使用量(OS footprint)、低耗電率的晶片及小螢幕設計以維持24小時連線操作(always-on)及支援特殊的硬體裝置等。雖然安全是一個重要的課題,然而多數手持式行動裝置的作業系統並沒有把安全因素考慮在內。
手持式行動裝置上的惡意威脅,最早的階段是2004年5月以前,在此之前,手持式的惡意威脅多半只是「概念驗證型prove-of-concept」,並沒有造成嚴重的危害及大規模擴散。Palm OS曾經出現過病毒及木馬程式,於2000年9月首次被發現。當時這些手持式裝置的韌體內藏弱點,概念驗證型病毒多半利用這些韌體弱點下達指令;Symbian平台亦發現過幾隻惡作劇/開玩笑病毒,西門子的手機也有發生過兩個案例。
2004年6月、7月首隻Windows CE平台上的惡意程式,以及首隻針對Pocket PC平台的概念驗證型病毒Dust,先後被發現。而首隻針對Symbian 60平台的手機病毒食人魚病蟲Cabir被發現,則是當時最具影響的消息,這隻病毒可以算是手持式行動裝置威脅的元老,主要利用藍芽傳輸感染有限距離內的其他Symbian手機。
2005年則是手持式行動裝置威脅大鳴大放的時期,主要針對Symbian 60作業平台而來,基本上可以分為三種:
第一類是以藍芽為主要感染擴散方式的手機病蟲﹕此類以食人魚病蟲(SymbOS.Cabir)為代表。食人魚病毒(SymbOS.Cabir)為手機病毒始祖,至今已出現20餘隻變種,且在美國加州地區傳出店內手機交叉感染的具體事例。
第二類則是透過網路圖鈴下載等服務方式感染﹕其中以骷髏頭病毒(SymbOS.Skulls)為代表,如(圖一)所示。骷髏頭病毒會在使用者下載圖片鈴聲的螢幕管理程式後,將手機螢幕上的應用程式圖像都改成骷髏頭的圖片,接著使手機無法收發簡訊,無法讀取電話簿或者行事曆,中毒後的手機只能接打電話。2005年七夕情人節前夕則出現了一隻手法與骷髏頭病蟲類似的手機病毒SymbOS.Skulls.K,唯一的不同處是會將圖像改為紅心圖樣。
《圖一 骷髏頭病毒(SymbOS.Skulls)》 |
|
<註:資料來源:趨勢科技>
第三類則是透過MMS簡訊及藍芽進行散播﹕此類則以武士病蟲(SymbOS.Commwarrior)為代表,如(圖二)所示。武士病蟲發出的訊息包括告知手機用戶下載防毒軟體、手機桌面管理程式、3D遊戲程式和情色圖片,或利用社交工程手法誘騙使用者上當。受感染手機將會從通訊錄搜尋256個使用者,散發有毒檔案的MMS訊息,因此用戶如果在國外,將會啟動漫遊服務,可能造成龐大的通訊費用。
《圖二 武士病蟲(SymbOS.Commwarrior)》 |
|
手持式行動裝置威脅現況
根據2006年3月公佈的第九期賽門鐵克全球網路安全威脅報告ISTR的資料指出,由2005下半年看來,目標瞄準行動裝置,尤其是針對智慧型手機的惡意程式碼數量漸增。手持式裝置及智慧型手機威脅的發展重點如下:
● 2005下半年,包括手機、PDAs及各式手持式行動裝置的威脅變種,數量較2005上半年巨幅成長了230%。
● 手持式行動裝置的威脅約有25種病蟲/威脅家族。
● 125隻被偵測出是針對無線平台而來。
● 手持式行動裝置威脅中,有七種被證實是「擴散中 (in-the-wild)」的威脅,包括武士病毒CommWarrior、食人魚病毒Cabir、骷髏頭病毒Skulls、蠢豬病毒Dampig、Doombot病毒、隱藏選單病毒Hidmenu以及Hobbes病毒。
● 其中透過藍芽傳輸的武士病毒CommWarrior是最為活躍的手持式行動裝置病毒。
● 2006年2月賽門鐵克安全機制應變中心的資料顯示,手持式行動裝置威脅中,118隻屬於Symbian作業系統;4隻屬於Palm作業系統;2隻是Pocket PC平台;1隻並沒有針對特殊的平台(Trojan.Redbrowser.A)。
報告中更指出其他多種新興智慧型手機惡意程式碼的攻擊形式。例如Cardtrp,是第一隻跨平台的智慧型手機威脅,能夠同時感染Symbian及Windows作業系統。2005年底亦發現Pbstealer,它是一個佯裝為智慧型手機通訊錄功能的檔案,藉此引誘使用者上當下載該檔案並加以執行。一旦這些手持式行動裝置遭到上述任何木馬程式的感染,使用者的資訊,包括通訊錄資料、記事本、行事曆、以及計畫清單(to-do list)將會傳到藍芽傳輸範圍內,藍芽功能開啟的裝置上。這便暴露出了相當嚴重的安全風險,企業的機密資訊極有可能透過上述的方式而外洩,敏感的聯絡內容及任務指派都有可能被外界窺知。
隨著行動裝置的網絡逐漸擴大,將成為網路罪犯眼中的肥美標的,連帶使這些在行動裝置上的資料衍生外洩的風險逐漸升高;而手持式行動裝置的威脅將會在數量及複雜度上都持續攀升。越來越多的駭客正研究著具備藍芽功能的手持式行動裝置上的弱點,可以預見的是,未來利用這些手持式行動裝置弱點的惡意程式碼、病毒/病蟲的數量也會持續增加。而隨著行動裝置的普及,未來這些行動裝置也極有可能成為間諜程式、廣告程式等威脅散播的媒介。
手持式行動裝置安全部署的現況
隨著產業逐漸朝向更為安全的運算模式,再加上上述的威脅日益升高,除了各家資安業者紛紛研發手持式行動裝置的安全防護軟體外,手持式行動裝置的作業系統也開始加裝安全功能如VPN(虛擬私有網路)、SSL加密、隱藏模組(crypto modules)、登入密碼及程式碼簽章(code signing)等。
雖然如此,對多數的企業而言,手持式行動裝置的安全隱憂已經嚴重影響企業M化的進度。根據賽門鐵克委託Economist Intelligence Unit針對全球240家企業主管所進行的調查結果顯示,6成的受訪企業表示將延緩企業M化的計畫,其中成本與部署的複雜度是其主因。受訪企業中,僅有26%的企業在考量企業資安風險時,會將智慧型手機等納入考量,相較於81%企業已將筆記型電腦納入安全防護架構下,相較起來企業對手持式行動裝置的思維仍顯不足。
由於手持式行動裝置的作業平台目前仍然不像PC世界的Windows OS般,有某一款平台成為壟斷式的佔有率,使手持式行動裝置的安全防護,目前仍停留在安全廠商針對特定平台推出專屬的安全防護解決方案的狀態,例如賽門鐵克早在2003年即與Nokia共同合作開發Nokia 9500 Communicator Platform的用戶端安全解決方案。
《圖三 賽門鐵克與Nokia共同合作開的用戶端安全解決方案)》 |
|
<註:資料來源:賽門鐵克>
近來則由於手機病毒多瞄準Symbian作業平台而來,可能與Symbian平台獲得較以往更多手機廠商採用以開發新型智慧手機有關,例如Panasonic、Samsung等,都有利用Symbian平台來開發自有品牌的智慧型手機。目前大多數的資安業者,也都是推出針對Symbian平台的安全軟體為主,賽門鐵克則是於去年5月推出了Symantec Mobile Security 4.0 for Symbian,針對Symbian 60及Symbian 80平台的智慧型手機,提供即時、自動化的隨選病毒偵測及掃瞄功能,並提供Series 60平台的智慧型手機及Nokia 9300、9500系列手機安全防護。SMS 4.0安裝後會立即提供結合防毒及防火牆的整合式安全防護,能夠主動抵禦所有Symbian平台上的檔案型惡意程式,如病毒、木馬程式及病蟲。另外透過賽門鐵克LiveUpdate Wireless的無線更新服務,使用者可透過智慧型手機連上無線網路後,隨時下載最新的病毒防護更新,抵禦新型威脅。
另外,Symantec AntiVirus for Handhelds Corporate Edition 3.5則能夠防範企業資產外洩,保護手持式行動裝置不受從Web上下載、電子郵件、Wi-Fi傳輸,甚至是藍芽傳輸的惡意程式或檔案所感染,涵蓋範圍包括Palm OS、Microsoft Windows Mobile及Pocket PC等平台,如(圖四)所示。
《圖四 賽門鐵克Symantec Mobile Security 4.0 for Symbian》 |
|
<註:資料來源:賽門鐵克>
未來手持裝置的安全防護型態
雖然說資訊安全朝向「服務」是未來大勢所趨,然而嚴格說來,目前手持式行動安全裝置的解決方案仍然屬於跟著手機走的軟體式防護(on-device protection);不論是透過與ISP合作進行線上下載販售,或是在各自的網路商店上線上銷售,本質上都需要透過下載軟體程式到手持式行動裝置中才能發揮效用。
就賽門鐵克的觀點來說,良好的手持式裝置安全防護應包含下列三大元素:
- 整合式安全防護-全面防護未知的入侵行為、病毒/蟲、木馬程式等惡意威脅。
- 集中式控管-使企業IT管理員能夠透過遠端或實地設定組態,強制執行企業安全政策。
- 全方位的即時回應-透過即時的LiveUpdate線上更新機制,自動保障無線安全及進行應用程式更新。
除此之外,由於上述的手機病毒目前仍然受到機型、平台及傳輸距離等限制,還沒有達到像網路上病毒大規模擴散的狀況。然而,手持式行動裝置的安全議題仍然不容忽視。隨著國內行動通信業者紛紛搶進3G時代,傳輸資料量大幅成長,手持式行動裝置的安全課題面臨嚴峻的挑戰。智慧型手機的使用者,若有內建藍芽無線傳輸功能,在平日不使用藍芽功能的時候,我們建議應該將該功能關閉,如此可避免近距離有感染的智慧型手機,將惡意程式透過藍芽傳輸感染使用者手機。另外,某些手機病毒採圖鈴方式下載,建議應在值得信任的網站上下載圖鈴,對於來路不明網站所提供的圖鈴則應予全面封殺。至於透過最新MMS簡訊手法的手機病毒,由於會利用一些電腦病毒慣常使用的社交工程手法,使用者容易掉以輕心,同樣,對來路不明的檔案接收應特別提高警覺,不輕易接收檔案,則可降低被感染的風險。若使用者透過智慧型手機進行大量的商務工作,內有重要資訊,建議還是安裝手機防毒軟體,為手機加深多一層防護。