行動裝置是企業網路資安中相當薄弱的一環,專門緩解五大類行動裝置漏洞風險的措施並不多。犯罪研究人員會研究企業系統,並且花時間仔細分辨目標伺服器上脆弱的套件與工具。行動裝置是經常受到忽略的企業資料弱點。
根據 Checkpoint 2019 網路安全報告指出,59% IT 專業人員並未使用能偵測惡意軟體、惡意應用程式、中間人攻擊,以及系統漏洞等主要威脅的行動威脅防範解決方案。接受調查的 IT 專業人員當中,認為行動裝置威脅是嚴重安全風險的只佔 9%。但是,惡意軟體可以利用企業安全防禦措施的這個漏洞,從沒有保護措施的行動裝置,滲透到組織的雲端或內部部署網路。
現代智慧型手機儲存相當私密的個人資訊,以及機密的商業資訊。使用者的行蹤、交談對象、談話內容、簡訊內容和社交媒體發文內容、私人照片、密碼,以及工作用電子郵件、通訊內容與文件,智慧型手機無所不知。攻擊行動裝置的收穫更大,而且通常並不難得手。時下員工使用智慧型手機辦公的機率高於使用電腦。
中間人攻擊
公共 WiFi 網路 (例如機場和飯店提供的網路) 是網路罪犯發動中間人 (MitM) 攻擊的好機會,這類攻擊會擷取透過 WiFi 網路傳送的任何資料,例如認證、電子郵件、送出到網頁表單的資料等等。根據 MobileIron 公布全球威脅報告指出,2018 上半年有 15% 做防護措施的裝置,偵測到 MitM 攻擊。
至於 Wandera 的研究指出,公司行動裝置使用 Wi-Fi 傳輸量幾乎達到行動數據使用量的三倍,超過半數的組織 (55%) 當中,上個月至少都有一名使用者曾經連線使用暗藏風險的熱點。
流氓應用程式
安裝未經批准的應用程式或流氓應用程式,很容易就會敞開大門,讓網路罪犯輕易利用行動裝置收集資訊。根據Verizon 的 2019 年行動安全指數報告,只有 40% 組織表示會限制使用者只能安裝 Apple App Store 和 Google Play Store 等,合法應用程式商店的應用程式。雖然 Apple、Google 會嚴格管理商店中應用程式的行為,但仍無法保證萬無一失,如在去年秋天曝光的 Adware Doctor ,只要使用者一完成安裝,這款應用程式就會開始收集瀏覽器記錄,並且嘗試將記錄上傳到一個流氓伺服器。
另外,使用者也會安裝其他網站提供的應用程式,因為這些應用程式能提供方便的功能,不過這些應用程式往往會偷偷將資料上傳給網路罪犯。只有 3% 企業完全不讓使用者在公司配發的行動裝置上安裝任何應用程式,而有35%組織至少有一台裝置,安裝一項或多項側載應用程式。
資料外洩
資料外洩是網路罪犯竊取資料的另外一種常見手法。根據 Verizon 指出,企業每兩年至少外洩一次資料的機率是 28%。之所以發生這種問題,通常源自於兩種基本的途徑,第一種是應用程式設定不當,使用者在不經意間允許應用程式查看及傳輸其資訊。最近的一個例子,是健身應用程式-Strava使用者,可以使用 FitBit、行動電話,及其他健身追蹤裝置的 GPS 資料,分享自己的跑步路線。
應用程式會透過全球熱點圖,與其他運動者分享這項資訊。軍人使用這款應用程式追蹤自己的跑步活動,結果導致跑步者高度集中在特定地點,當與知名的美國軍事基地地點對照之下,這些基地地點在熱點圖中一覽無遺,就連位於敏感區域且有掩護的美國軍事基地,只要有人想攻擊在附近的美國軍隊,就可輕輕鬆鬆就能查到相關資訊。因此,為保障美國軍隊的人身安全,美國國防部正在審查有關這類應用程式的政策。
導致資料外洩的第二個常見原因,是意外曝光。由於行動裝置使用的顯示螢幕不大,使用者能查看的資訊內容通常有限,很容易就會將資訊誤傳到錯誤的電子郵件地址。醫療保健業經常出現這樣的問題,這幾乎是所有外洩事件的主要原因。
社交工程
社交工程仍然是行動裝置資料外洩的主要原因,91% 網路犯罪會先從電子郵件下手。行動使用者風險較高,原因是行動裝置只會顯示寄件人的姓名,所以更容易讓讀信人誤以為寄件人是自己認識的人。若組織員工人數超過 1000 人,網路釣魚事故發生的可能性高達 85%,且還會隨著員工人數攀升而等比例增加。因為有心人士會部署惡意軟體、竊取認證、掌握遠端存取功能、盜用資料,還有可能出現其他漏洞,因此,要察覺這個問題並不容易…
裝置遺失與失竊
Kensington 發表一項研究,指出每年遺失或失竊的智慧型手機多達 7,000 萬部,只有其中 7% 能找回來。業務用智慧型手機每年遺失或失竊的比例達 4.3%。根據 Verizon 指出,在所有行動電話和平板電腦中,完全沒有設定螢幕鎖功能的佔 1%~2%。在員工人數介於 500 到 999 名的公司行號中,5% Android 裝置未設定螢幕鎖功能,48% 公司行號會使用行動裝置管理解決方案,強制所有裝置使用螢幕鎖功能。
網路罪犯之所以會鎖定行動裝置,原因就在於這類裝置的防護機制薄弱,但儲存在裝置中的資料,在網路犯罪市場上卻相當值錢。解決方式並不複雜,使用 VPN 有助於預防透過公共 WiFi 發動的 MitM 攻擊、堅持只用 Apple Store 和 Google Store 開放下載的應用程式、留意使用者授予應用程式的權限,以及善用工具監控應用程式行為。
WhatsUp Gold 可安裝在行動裝置上,讓資訊人員能即時掌握公司內部的網路狀態,減少駭客運用行動裝置入侵企業的機率。
雖然 Apple、Google 會嚴格管理商店中應用程式的行為,但仍無法保證萬無一失,部分 App 仍然會偷偷將資料傳送到惡意網站。