Visticamāk, ka jūs sitīs zibens, nekā esat inficējies ar mobilo ļaunprātīgo programmatūru

RSA 2015 konferencē apsardzes firmas Damballa pētnieki paziņoja, ka Amerikas Savienotajās Valstīs jūs daudz biežāk uztrauc zibens, nekā esat inficējies ar mobilo ļaunprogrammatūru. Kaut arī tas atbalsta iepriekšēju uzņēmuma veiktu pētījumu, Damballa tomēr atrada kaut ko ļoti dīvainu, kas notiek mobilajās ierīcēs.

Ļaunprātīgas satiksmes izsekošana

Damballa bizness ir automatizēta pārkāpumu novēršana, kuras pamatā ir lielo datu analīze. Strādājot ar galveno ASV bezvadu pārvadātāju, Damballa spēja salīdzināt trafika datus ar zināmiem ļaunprātīgiem URL, kas iegūti no aptuveni 70 000 mobilo ļaundabīgo programmu paraugiem. "Tas bija nedaudz manuāls process, lai noņemtu kopējos domēnus, kas, iespējams, nav saistīti ar ļaunprātīgu programmatūru, " skaidroja vecākais zinātniskais pētnieks Čārlzs Levers. "Tas bija sāpīgi."

Savā pētījumā Levers sacīja, ka Damballa nav piekļuves šo pārsūtījumu kravām, tikai vietrāžiem URL. Uzņēmums skaidri pateica, ka tam nav redzama klientu informācija.

Damballa pētījuma apjoms ir milzīgs, koncentrējoties uz apmēram 151 miljonu ierīču dienā, salīdzinot ar 25 miljoniem, kad uzņēmums 2012. gadā veica pētījumu. Uzņēmums sacīja, ka tas sastāda 50 procentus no mobilo datu trafika ASV, bet no šos uzņēmumus redzēja tikai aptuveni 9688 ierīces, kas izmantoja vietrāžus URL, kas saistīti ar mobilo ļaunprātīgo programmatūru.

Tas nozīmē, ka 0, 0064 procenti trafiku ir ļaundabīgi. Uzņēmuma paziņojumā presei Damballa sacīja, ka Nacionālo laika dienestu oficiālās izredzes uz zibens spērienu ir ievērojami lielākas - 1, 3 procenti.

Drošs patvērums

Levers sacīja, ka pētījuma secinājumi atbalsta uzskatu, ka, lai gan mobilā ļaunprogrammatūra ir daudz apspriesta drošības aprindās (un šī autore). "Mēs atrodam daudz ļaunprātīgas programmatūras paraugu, bet es neesmu pārliecināts, ka šie paraugi turpina ceļu uz savām ierīcēm, " sacīja Levers.

"Mums ir spēcīgi pirmās puses tirgi ASV, " turpināja Levers, atsaucoties uz Apple App veikalu un Google Play veikalu. Viņš sacīja, ka šiem veikaliem ir labi drošības pasākumi, kas ir pasargājuši vissliktākos dalībniekus, un tajos ietilpst rīki, kas ļauj Apple un Google attālināti atspējot vai noņemt ļaunprātīgas lietotnes, kas varētu nonākt lietotāju ierīcēs.

Protams, Damballa pētījumam ir ierobežojumi. Tā, piemēram, ir vērsta uz potenciāli ļaunprātīgu tīkla trafiku, nevis uz faktiskām ļaunprātīgām instalācijām mobilajās ierīcēs. Tas aptver arī tikai pusi no ASV, kas lielu pasaules daļu atstāj bez ievērības. Levers sacīja, ka ir iespējams, ka mobilo ļaundabīgo programmu infekcijas var būt daudz augstākas ārpus ASV. "Es redzēju, ka tā ir augstāka, bet es to nevarēju pateikt empīriski, " sacīja Levers.

Interesanti, ka no ļaunprātīgās mobilās datplūsmas, kuru novēroja Damballa, lielāko tās daļu varētu raksturot kā reklāmprogrammatūru.

Ēnu satiksme

Bet, lai gan mobilā ļaunprātīgā programmatūra neradīja lielu parādīšanos Damballa pētījumā, tika darīts kaut kas cits. Papildus satiksmei, kas bija saistīta ar mobilo ļaundabīgo programmatūru, Lever paskaidroja, ka Damballa arī izsekoja pieprasījumus no mobilajām ierīcēm uz cita veida ļaunprātīgu infrastruktūru. Tā varētu būt darbvirsmas ļaunprātīgas programmatūras, pikšķerēšanas darbību, robottīklu utt. Infrastruktūra. Pēc Levera skaidrojuma, šie pieprasījumi uz ēnainām interneta daļām, ko veica mobilās ierīces, bija ievērojami augstāki nekā pieprasījumi uz mobilo ļaunprātīgas programmatūras vietrāžiem URL.

Cik daudz lielāks? Pēc vairākiem lielumiem. Damballa ziņoja par 100 000 pieprasījumiem, kas saistīti ar mobilo ļaundabīgo programmatūru, un tas tika veikts pēc šīm 10 000 nepāra ierīcēm. Tas izsekoja 100 miljonus pieprasījumu vietnēm, kuras, šķiet, bija lejupielādes, un 1 miljardu pieprasījumu (ar “b!”), Kas saistīti ar ļaunprātīgu programmatūru, kuras mērķauditorija ir darbvirsma. Atkal visi šie pieprasījumi nāk no mobilajām ierīcēm.

Levers sacīja, ka, kaut arī šie neērtie mobilo ierīču pieprasījumi ir "ievērojami lielāki nekā tas, ko mēs redzam mobilajām ierīcēm paredzētām ļaunprātīgām programmatūrām", to cēlonis lielākoties nav zināms.

Levers ierosināja, ka daļu trafika varētu radīt mobilie lietotāji, kas kļuvuši par pikšķerēšanas vietņu upuriem. Citi drošības eksperti ir ierosinājuši, ka pikšķerēšana mobilajās ierīcēs varētu būt vieglāka, jo salīdzinoši mazais ekrāns nogriež aizdomīgus URL un ar SSL savienojumu saistītā bloķēšanas ikona nav redzama.

Sarunas laikā Levers lielākoties bija optimistisks par mobilo ierīču drošību, taču, pārrunājot šos neparastos atradumus, viņš uzņēma apņēmīgi negatīvu pavērsienu. Viņš sacīja, ka, kaut arī tas, kas izraisīja tik milzīgo aizdomīgo tīkla trafiku, šodien varētu nebūt aktuāls, tas varētu būt nākotnē. Vai arī tas var būt patlaban nezināmu ļaunprātīgu lietojumu rezultāts.

• Android 4.1.1 joprojām ir neaizsargāti pret sirdsdarbību Android 4.1.1 joprojām ir neaizsargāti pret sirdsdarbību
• Ļaunprātīgas Android lietotnes var uzlauzt Gmail Ļaunprātīgas Android lietotnes var uzlauzt Gmail
• Pirmdienas mobilajā ierīcē: Android lietotnes slēpj Windows ļaunprātīgu programmatūru Mobilās draudu pirmdiena: Android lietotnes slēpj Windows ļaunprātīgu programmatūru

"Tā ir liela riska joma, kas šobrīd netiek pietiekami labi izpētīta un varētu izmantot vairāk pētījumu, lai noskaidrotu, kas tas ir, " sacīja Levers. "Vai tas ir pikšķerēšana? Vai tas ir surogātpasts? Kāds ir sadalījums? Un cik liela daļa no tā šobrīd ietekmē mobilās ierīces un cik daudz varētu nākotnē?"

Cerams, ka turpmākie pētījumi spēs salikt šo mīklu.