iT邦幫忙

2018 iT 邦幫忙鐵人賽
DAY 28
0
Security

CEH 之越挫越勇系列 第 29

[Day28]行動平台

  • 分享至 

  • xImage
  •  

Hacking Mobile Platforms

這章我也沒讀好 Q"Q
人生好難哦…

攻擊向量(Attack Vectors)

  • Vulnerable Areas in Mobile Business Environment
    移動裝置的弱點在哪裡?
    • WiFi Device
    • 電信服務商(Telco Service Provider)
    • 開啟藍牙的移動裝置(Bluetooth-enabled)
    • 網路(Internet)
    • 應用商店(AppStore)
    • 網站(WebSite)

OWASP Mobile Top 10 Risks

// 2016 版本
- M1: Improper Platform Usage:
作業系統設置不當,是否開放過大的權限,越獄(Jailbreaking)或(Root)
- M2: Insecure Data Storage
裝置儲存不安全的資料
- M3: Insecure Communication
不安全的傳輸協定,未加密或未驗證
- M4: Insecure Authentication
不安全的身份驗證
- M5: Insufficient Cryptography
不安全的加密方式或是加密失效
- M6: Insecure Authorization
不安全的授權
- M7: Client Code Quality
用戶端的程式碼品質問題,應用程式含有弱點的風險
- M8: Code Tampering
易於竄改的程式內容
- M9: Reverse Engineering
逆程工程,程式易於反組譯或破解
- M10: Extraneous Functionality
未授權的附加的功能,後門或是未授權的執行內容

攻擊剖析(Anatomy of a Mobile Attack)

  • 惡意程式(Malware)

    • Virus and rootkit
    • Application Modification
    • OS Modification
  • 資訊洩露(Data Exfiltration)

    • Extracted from data streams and email
    • Print screen and screen scraping
    • copy to USB key and loss of backup
  • 資訊篡改(Data Tampering)

    • Modification By another application
    • 未被發現嘗試篡改的弱點(Undetected tamper attempts)
    • Jailbroken device
  • 資訊遺失(Data Loss)

    • 應用程式弱點(Application vulnerabilities)
    • 未授權的實體存取(Unapproved physical access)
    • 裝置遺失(Loss of device)

弱點風險(Vulnerabilities and Risks)

  • 在Store平台上惡意App(Malicious Apps in Stores)
  • 裝置上的惡意程式(Mobile Malware)
  • App 的沙箱漏洞(App Sandboxing Vulnerabilities)
  • 脆弱的設備與App加密(Weak Device and App Encryption)
  • 作業系統與App更新問題(OS and App Updates issues)
  • 越獄 & 越權存取(Jailbreaking and Rooting)
  • 應用程式的漏洞(Mobile Application Vulnerabilities)
  • 隱私問題(定位)Privacy Issues(Geolocation)
  • 脆弱的資訊安全性(Weak Data Security)
  • 執行權限(Excessive Permissions)
  • 不安全的傳輸(Weak Communication Security)
  • 實體攻擊(Physical Attacks)

App Stores

App Sandboxing Issues

垃圾郵件(Mobile Spam)

有針對性的簡訊釣魚攻擊(SMiShing)

SMS Phishing Attack (SMiShing) (Targeted Attack Scan)

藍牙與WiFi配對弱點(Pairing Mobile Devices on Open Bluetooth and Wi-Fi Connections)

Hacking Android OS

Hacking iOS

Hacking Windows Phone OS

Hacking BlackBerry

Mobile Device Management (MDM)

Mobile Security Guidelines and Tools

Mobile Pen Testing


上一篇
[Day27]無線網路-概念篇
下一篇
[Day29]繞過驗證(未完成)
系列文
CEH 之越挫越勇34
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言