20 Лют, 2023

Виконання мобільного коду

Vulnerability Assessment as a Service (VAaaS)

Tests systems and applications for vulnerabilities to address weaknesses.

Виконання мобільного коду (MCE) відноситься до здатності виконувати код на мобільному пристрої, такому як планшет або смартфон. Цей код може надходити з різних джерел, включаючи веб-додатки, мобільні програми та вкладення електронної пошти. Можливість виконання коду на мобільному пристрої може бути як корисною, так і небезпечною, оскільки вона може включати нові функціональні можливості і можливості, але також може створювати ризики для безпеки і уразливості. MCE часто використовується в контексті мобільного безпеки, оскільки важливо запобігти виконання шкідливого коду на мобільному пристрої.

Приклад уразливого коду на різних мовах програмування:


в JavaScript:

				
					eval(request.querystring);

				
			


Наведений вище код виконує будь-код, переданий в рядку запиту веб-запит, який може бути використаний зловмисниками для виконання шкідливого коду.

• В PHP:

				
					$code = $_POST['code'];
eval($code);

				
			


Наведений вище PHP-код виконує будь-код, який передається через POST запит на сервер. Це може бути використано зловмисниками для виконання довільного коду на сервері.

• в Python:

				
					import os
command = input()
os.system(command)

				
			


Наведений вище код Python приймає дані, що вводяться користувачем і передає їх в оболонку операційної системи для виконання. Зловмисник може надати шкідливий enter, який може виконати довільний код у системі.

• В Java:

				
					String className = request.getParameter("classname");
Class c = Class.forName(className);
Object obj = c.newInstance();

				
			


Наведений вище Java-код динамічно завантажує клас на основі користувальницького введення і створює його примірник. Зловмисник може надати ім'я класу, яке виконує шкідливий код.

Приклади використання мобільного коду для виконання

Віддалене виконання коду (RCE) через веб-додатки:

Зловмисник може скористатися вразливим веб-додатком, впровадивши шкідливий код в полі вводу або параметр рядка запиту, який потім виконується на сервері. Це може призвести до повного контролю над сервером і крадіжки даних. Наприклад, зловмисник може використовувати уразливий плагін WordPress для виконання довільного коду на сервері.

Шкідливі вкладення електронної пошти:

Зловмисник може відправити шкідливе вкладення електронної пошти, що містить виконуваний код, на пристрій жертви. Коли жертва відкриває вкладення, код виконується на пристрої, що може призвести до крадіжці даних або навіть повного контролю над пристроєм.

Завантаження диска:

Зловмисник може впровадити шкідливий код на веб-сайт, який відвідує жертва, який потім виконується на пристрої жертви без її відома. Це може бути досягнуто з допомогою уразливостей у веб-браузері або плагінів, таких як Flash або Java. Виконуваний код може встановити шкідливе ПЗ або вкрасти конфіденційні дані.

Міжсайтовий скриптінг (XSS):

Зловмисник може впровадити шкідливий код в уразливе веб-додаток, який потім виконується у браузері інших користувачів, які відвідують той же додаток. Це може призвести до крадіжці даних або навіть до повного контролю над додатком.

Методи підвищення привілеїв для виконання мобільного коду

Використання системних недоліків:

Зловмисники можуть використовувати уразливості в операційній системі або вбудованому ПО пристрою, щоб отримати більш високі привілеї. Наприклад, зловмисник може використовувати уразливість переповнення буфера для виконання довільного коду з підвищеними привілеями.

Соціальна інженерія:

Зловмисники можуть використовувати методи соціальної інженерії, щоб обманом змусити жертву надати більш високорівнева доступ до пристрою чи системи. Наприклад, зловмисник може видати себе за законного ІТ-адміністратора і обманом змусити жертву надати йому адміністративний доступ.

Злом пароля:

Зловмисники можуть використовувати різні методи злому паролів, такі як атаки по словнику, атаки методом перебору і розпорошення паролів, щоб отримати більш високі привілеї на пристрої або в системі.

Використання неправильно налаштованих елементів управління доступом:

Зловмисники можуть використовувати неправильно налаштовані елементи керування доступом для отримання більш високих привілеїв на пристрої або в системі. Наприклад, зловмисник може використовувати неправильно сконфігурований файл sudoers для отримання прав root в системі Linux.

Підвищення привілеїв із-за вразливостей програмного забезпечення:

Зловмисники можуть використовувати уразливості в програмному забезпеченні, встановленому на пристрої або системи, для підвищення своїх привілеїв. Наприклад, зловмисник може використовувати уразливість в привілейованому додатку, такому як служба системного рівня або агент управління мобільними пристроями (MDM), для отримання підвищених привілеїв.

Загальна методологія та контрольний список для виконання мобільного коду

Методологія:

  1. Визначте обсяг тестування: Визначте обсяг тестування, визначивши цільову систему або пристрій, типи протестованих додатків або служб і потенційну поверхню атаки, яку необхідно оцінити.

  2. Збір інформації: Зберіть якомога більше інформації про цільову систему або пристрої, включаючи версії операційної системи та програмного забезпечення, специфікації устаткування і конфігурацію мережі. Це може допомогти виявити потенційні уразливості і вектори атак.

  3. Зіставте додаток або службу: Визначте точки входу, поля користувальницького введення й інші області, які код може бути введений або виконаний. Це може включати веб-форми, рядки запитів, поля завантаження файлів і інші області, в яких обробляється користувальницький введення.

  4. Тест на впровадження коду: Перевірте кожне поле вводу на наявність вразливостей при впровадженні коду, включаючи впровадження SQL, міжсайтовий скриптінг (XSS) та інші ін'єкційні атаки. Перевірте можливість виконання довільного коду в системі або пристрої.

  5. Перевірка на наявність вразливостей при завантаженні файлів: Перевірте функціональність завантаження файлів на наявність вразливостей, які дозволяють зловмиснику завантажувати шкідливий файл в систему або пристрій. Перевірте можливість виконання завантаженого файлу у вигляді коду.

  6. Перевірка на наявність вразливостей додатків або служб: Перевірте цільове додаток або службу на наявність вразливостей, які дозволяють зловмиснику виконувати код системи або пристрої. Це може включати уразливості в сторонніх бібліотеках, файли конфігурації або код на стороні сервера.

  7. Тест на підвищення привілеїв: Після виявлення уразливості перевірте, немає чи потенційних атак з підвищенням привілеїв, які можуть дозволити зловмиснику отримати більш високорівнева доступ до системи або пристрою.

  8. Документуйте і повідомляйте про результати: Документуйте всі результати і повідомляйте про них відповідним зацікавленим сторонам, включаючи розробників, системних адміністраторів і працівників служби безпеки. Увімкніть докладний опис уразливості, потенційного впливу і рекомендацій з усунення.

Контрольний список:

  1. Визначте цільову систему або пристрій, типи протестованих додатків або служб і потенційну поверхню атаки, яку необхідно оцінити.

  2. Збір інформації про цільову систему або пристрої, включаючи версії операційної системи та програмного забезпечення, специфікації устаткування і конфігурацію мережі.

  3. Визначте точки входу, поля користувальницького введення й інші області, які код може бути введений або виконаний.

  4. Перевірте кожне поле вводу на наявність вразливостей при впровадженні коду, включаючи впровадження SQL, міжсайтовий скриптінг (XSS) та інші ін'єкційні атаки.

  5. Перевірте функціональність завантаження файлів на наявність вразливостей, які дозволяють зловмиснику завантажувати шкідливий файл в систему або пристрій. Перевірте можливість виконання завантаженого файлу у вигляді коду.

  6. Перевірте цільове додаток або службу на наявність вразливостей, які дозволяють зловмиснику виконувати код системи або пристрої. Це може включати уразливості в сторонніх бібліотеках, файли конфігурації або код на стороні сервера.

  7. Перевірте наявність атак з підвищенням привілеїв, які можуть дозволити зловмиснику отримати більш високорівнева доступ до системи або пристрою.

  8. Перевірка на наявність вразливостей в інших бібліотеках, програмних платформах і інших компонентах, які можуть використовуватися цільовим додатком або службою.

  9. Перевірте, чи не використовуються небезпечні функції, такі як strcat(), sprintf() і gets(), які можуть призвести до переповнення буфера і іншим вразливостей.

  10. Перегляньте вихідний код на предмет потенційних вразливостей, включаючи використання неперевірених користувальницьких вхідних даних і недостатню перевірку вхідних даних.

  11. Протестуйте програму або службу за допомогою звичайних інструментів, таких як фаззеры, сканери і відладчики, для виявлення потенційних вразливостей.

  12. Документуйте всі результати і повідомляйте про них відповідним зацікавленим сторонам, включаючи розробників, системних адміністраторів і працівників служби безпеки.

Набір інструментів для експлуатації Виконання мобільного коду

Автоматизовані інструменти:

  • Metasploit Framework: Фреймворк з відкритим вихідним кодом, що використовується для розробки, тестування та виконання експлойтів. Він включає в себе безліч модулів, які можуть бути використані для використання вразливостей при виконанні мобільного коду.

  • Burp Suite: Популярний інструмент тестування веб-додатків, який включає в себе сканер для виявлення вразливостей при виконанні мобільного коду. Він також включає в себе перехоплює проксі-сервер для перехоплення і зміни HTTP-трафіку.

  • ZAP (Zed Attack Proxy): Інструмент тестування безпеки веб-додатків з відкритим вихідним кодом, що включає в себе безліч інструментів для виявлення і використання вразливостей при виконанні мобільного коду.

  • Nikto: Сканер веб-сервер з відкритим вихідним кодом, який може виявляти уразливості при виконанні мобільного коду шляхом перевірки на наявність відомих уразливих CGI-скриптів та іншого уразливого коду.

  • sqlmap: Популярний інструмент для автоматизації атак з використанням SQL-ін'єкцій, який може бути використаний для використання вразливостей при виконанні мобільного коду, пов'язаних з впровадженням SQL.

  • Wfuzz: Інструмент тестування безпеки веб-додатків, який включає в себе безліч інструментів для виявлення і використання вразливостей при виконанні мобільного коду.

  • Nmap: Інструмент дослідження мережі та аудиту безпеки, який може бути використаний для виявлення потенційних цілей для атак на виконання мобільного коду.

  • Vega: Сканер веб-додатків з відкритим вихідним кодом, який може виявляти різні веб-загроз, включаючи уразливості при виконанні мобільного коду.

  • Fiddler: Проксі-сервер веб-налагодження, який можна використовувати для виявлення і використання вразливостей при виконанні мобільного коду.

  • AppScan: Комерційний інструмент тестування безпеки веб-додатків, який включає в себе безліч інструментів для виявлення і використання вразливостей при виконанні мобільного коду.

Ручні інструменти:

  • Python: Популярний мова сценаріїв, який можна використовувати для створення користувацьких експлойтів для вразливостей при виконанні мобільного коду.

  • Ruby: Ще один популярний мова сценаріїв, який можна використовувати для створення користувацьких експлойтів для вразливостей при виконанні мобільного коду.

  • Java: Мова програмування, який зазвичай використовується для створення додатків для Android, а також може використовуватися для створення користувацьких експлойтів для вразливостей при виконанні мобільного коду.

  • Objective-C: Мова програмування, який зазвичай використовується для створення додатків iOS, а також може використовуватися для створення користувацьких експлойтів для вразливостей при виконанні мобільного коду.

  • Frida: Інструментарій динамічного інструментарію, який можна використовувати для впровадження користувальницького коду запущені мобільні додатки, які можна використовувати для використання вразливостей при виконанні мобільного коду.

  • Cycript: Інструмент управління часом виконання для iOS, який можна використовувати для впровадження користувальницького коду запущені додатки, що може бути використано для використання вразливостей при виконанні мобільного коду.

  • GDB (GNU Debugger): Потужний відладчик, який можна використовувати для аналізу та використання вразливостей при виконанні мобільного коду в машинному коді.

  • IDA Pro: Популярний дізассемблер і відладчик, який можна використовувати для аналізу та використання вразливостей при виконанні мобільного коду в машинному коді.

  • Radare2: Платформа зворотного інжинірингу, яка може використовуватися для аналізу та використання вразливостей при виконанні мобільного коду в машинному коді.

  • Dex2jar: Інструмент для перетворення APK-файлів Android в JAR-файли, який можна використовувати для аналізу та використання вразливостей при виконанні мобільного коду в додатках Android.

Середній бал CVSS Виконання стекового мобільного коду

Загальна система оцінки вразливостей (CVSS) - це платформа, яка використовується для оцінки серйозності вразливостей в системі безпеки. Оцінка визначається на основі характеристик вразливості, таких як її эксплуатируемость, вплив і масштаб.

Уразливості при виконанні мобільного коду зазвичай вважаються уразливими високого ступеня небезпеки, оскільки вони можуть дозволити зловмиснику виконати довільний код на мобільному пристрої, що може призвести до крадіжки даних, компрометації системи або інших форм шкідливої діяльності. Таким чином, середня оцінка CVSS для вразливостей при виконанні мобільного коду часто знаходиться у високому діапазоні, зазвичай від 7 до 10 балів за шкалою CVSS.

Але важливо відзначити, що оцінка CVSS для конкретної уразливості може змінюватись в залежності від багатьох факторів, включаючи тип порушеного програми або операційної системи, серйозність уразливості і потенційний вплив експлойта. Крім того, оцінка CVSS - це всього лише один фактор, який слід враховувати при оцінці серйозності уразливості, і його не слід використовувати в якості єдиної основи для визначення пріоритетів проблем безпеки.

Загальна перерахування слабких місць (CWE)

• CWE-94: Неправильний контроль генерації коду (він же впровадження коду): Ця категорія CWE відноситься до вразливостей, які дозволяють зловмисникам впроваджувати та виконувати довільний код на цільовій програмі або системі.

• CWE-20: Неправильна перевірка вводу: Ця категорія CWE відноситься до вразливостей, які дозволяють зловмисникам вводити несподіваний або шкідливий введення в додаток, що може призвести до уразливості при виконанні мобільного коду.

• CWE-601: Перенаправлення URL-адреси на ненадійний сайт ("Відкрите перенаправлення"): ця категорія CWE відноситься до вразливостей, які дозволяють зловмисникам перенаправляти користувачів на підозрілі веб-сайти, які можуть бути використані для доставки шкідливого коду або запуску фішингових атак.

• CWE-78: Неправильна нейтралізація спеціальних елементів, використовуваних в команді операційної системи ("Впровадження команди операційної системи"): ця категорія CWE відноситься до вразливостей, які дозволяють зловмисникам виконувати шкідливий код в контексті операційної системи.

• CWE-434: необмежена завантаження файлу з небезпечним типом: ця категорія CWE відноситься до вразливостей, які дозволяють зловмисникам завантажувати і виконувати шкідливий код в додатку або системі.

• CWE-829: Включення функціональності сфери ненадійного контролю: Ця категорія CWE відноситься до вразливостей, які дозволяють зловмисникам виконувати код з ненадійних джерел, які можуть бути використані для використання вразливостей при виконанні мобільного коду.

• CWE-22: Неправильне обмеження шляху до обмеженого каталогу ("Обхід шляху'): ця категорія CWE відноситься до вразливостей, які дозволяють зловмисникам отримувати доступ до файлів і каталогів за межами передбачуваної області додатки або системи, які можуть використовуватися для виконання довільного коду.

• CWE-284: Неправильний контроль доступу: ця категорія CWE відноситься до вразливостей, які дозволяють зловмисникам обходити контроль доступу і виконувати шкідливий код в додатку або системі.

• CWE-190: переповнення або обтікання цілого числа: ця категорія CWE відноситься до вразливостей, які дозволяють зловмисникам маніпулювати цілочисельними значеннями таким чином, що це може призвести до вразливостей при виконанні мобільного коду.

• CWE-601: Перенаправлення URL-адреси на ненадійний сайт ("Відкрите перенаправлення"): ця категорія CWE відноситься до вразливостей, які дозволяють зловмисникам перенаправляти користувачів на підозрілі веб-сайти, які можуть бути використані для доставки шкідливого коду або запуску фішингових атак.

Топ-10 CVE, пов'язаних з виконанням мобільного коду

• CVE-2022-40785 – Несанкціонований введення при налаштуванні файлу локалі призводить до впровадження оболонки в прошивку mIPC camera 5.3.1.2003161406. Це дозволяє зловмиснику отримати доступ до віддаленого виконання коду на камерах, на яких встановлена прошивка, коли жертва входить у спеціально створене мобільний додаток.

• CVE-2022-3980 – Вразливість XML External Entity (в м'яч або) допускає підробку запитів на стороні сервера (SSRF) і потенційне виконання коду в локальному управлінні Mcafee Mobile між версіями 5.0.0 і 9.7.4.

• CVE-2022-27226 – Проблема CSRF в /api/crontab на мобільних маршрутизаторах iRZ до 2022-03-16 дозволяє суб'єкту загрози створювати запис crontab в панелі адміністрування маршрутизатора. Отже, cronjob виконає запис на певному інтервалі суб'єкта загрози, що призведе до віддаленого виконання коду, дозволяючи суб'єкту загрози отримати доступ до файлової системи. Крім того, якщо облікові дані маршрутизатора за замовчуванням не змінені або суб'єкт виявляє загрози дійсні облікові дані, віддалене виконання коду може бути досягнуто без взаємодії з користувачем.

• CVE-2022-21992 – Вразливість віддаленого виконання коду для управління пристроями Windows Mobile.

• CVE-2021-33701 – Модуль DMIS для мобільних пристроїв або SAP S/4HANA, версії - DMIS 2011_1_620, 2011_1_640, 2011_1_700, 2011_1_710, 2011_1_730, 710, 2011_1_731, 710, 2011_1_752, 2020, SAPSCORE 125, S4CORE 102, 102, 103, 104, 105, дозволяє зловмисникові, що має доступ до облікового запису з високими привілеями, виконати маніпулювання запитом в інструменті NDZT для отримання доступу до облікового запису користувача, що призводить до вразливості SQL Injection, що сильно впливає на конфіденційність, цілісність і доступність систем.

• CVE-2020-8948 – Пакети драйверів Sierra Wireless для широкосмугового доступу до Windows Mobile (MBDP) до складання 5043 дозволяють непривилегированному користувачеві перезаписувати довільні довільних файли в папках з допомогою жорстких посилань. Непривилегированный користувач може використовувати цю уразливість для виконання довільного коду з системними привілеями.

• CVE-2020-6770 – Deserialization of Untrusted Data in the BVMS Mobile Video Service (BVMS MVS) allows an unauthenticated remote attacker to execute arbitrary code on the system. This affects Bosch BVMS versions 10.0 <= 10.0.0.1225, 9.0 <= 9.0.0.827, 8.0 <= 8.0.0.329 and 7.5 and older. This affects Bosch DIVAR IP 3000 and DIVAR IP 7000 if a vulnerable BVMS version is installed.

• CVE-2020-3679 – u ' Під час виконання після включення рандомізації компонування адресного простору для QTEE частина коду з'явиться за відомою адресою, включаючи сегменти коду в Snapdragon Auto, Snapdragon Compute, Snapdragon Consumer IOT, Snapdragon Industrial IOT, Snapdragon Mobile, Snapdragon Voice & Music, Snapdragon Wired Infrastructure і мережі у Bitra, Kamorta, Нікобар, QCS404, QCS610, Реннелл, SA6155P, SA8155P, Сайпан, SC7180, SC8180X, SDX55, SM6150, SM7150, SM8150, SM8250, SXR2130

• CVE-2020-28343 – Була виявлена проблема на мобільних пристроях Samsung з P (9.0) і Q (10.0) (Чіпсети Exynos 980, 9820 і 9830) програмне забезпечення. Драйвер NPU дозволяє зловмисникам виконувати довільний код з-за ненавмисних операцій запису і читання в пам'яті. Ідентифікатор Samsung - SVE-2020-18610 (листопад 2020).

• CVE-2020-28341 – Була виявлена проблема на мобільних пристроях Samsung з Q (10.0) (Чіпсети Exynos990) програмне забезпечення. Мікросхема S3K250AF Secure Element CC EAL 5 + дозволяє зловмисникам виконувати довільний код і отримувати конфіденційну інформацію через переповнення буфера. Ідентифікатор Samsung - SVE-2020-18632 (листопад 2020).

Виконання мобільного коду подвиги

  • Сценічний Райт: Це набір недоліків, виявлених у механізмі відтворення мультимедіа операційної системи Android. Це дозволяє зловмисникові відправити шкідливе мультимедійне повідомлення, яке може виконувати код на пристрої жертви.

  • Пегас: Це складний шпигунський інструмент, розроблений ізраїльською фірмою NSO Group. Він використовувався для нападу на високопоставлених осіб, включаючи журналістів і правозахисників. Pegasus використовує уразливості при виконанні мобільного коду як на пристроях iOS, так і Android.

  • Метафора: Це експлойт для виконання мобільного коду, призначений для пристроїв iOS, що працюють під управлінням iOS 9.3.3 або більш ранніх версій. Це дозволяє зловмисникові виконати код на пристрої жертви, обманом змусивши жертву відкрити шкідливий веб-сайт.

  • Сертифікаційні ворота: Це вразливість, яка зачіпає пристрої Android, на яких встановлені засоби віддаленої підтримки. Це дозволяє зловмиснику отримати привілейований доступ до пристрою і виконати код.

  • Брудна КОРОВА: Це вразливість, яка зачіпає операційні системи на базі Linux, включаючи Android. Це дозволяє зловмиснику отримати root-доступ до пристрою і виконати код.

  • Експлойти нульового дня: Це уразливості, які ще не відомі широкій публіці і можуть бути використані зловмисниками для виконання атак на виконання мобільного коду. Вони часто продаються на чорному ринку і можуть бути дуже дорогими.

  • Блуборн: Це набір недоліків, які впливають на протокол Bluetooth в пристроях Android, iOS і Windows. Це дозволяє зловмиснику виконувати код на пристрої жертви, використовуючи слабке місце в стеку Bluetooth.

  • Квадрокоптер: Це набір недоліків, виявлених в чіпсеті Qualcomm, який використовується в багатьох пристроях Android. Це дозволяє зловмиснику отримати привілейований доступ до пристрою і виконати код.

  • Уразливість розпірки: Це уразливість в платформі Apache Struts, яка дозволяє зловмиснику виконувати код на сервері, на якому запущено платформа. Він був використаний в декількох гучних атак, включаючи витік даних Equifax.

  • Джейлбрейки iOS: Це експлойти, які дозволяють користувачам отримувати root-доступ до пристроїв iOS і встановлювати неавторизовані програми. Хоча вони можуть бути використані в законних цілях, вони також піддають пристрою атак на виконання мобільного коду.

Практикуючись в тестуванні на Виконання мобільного коду

Використовуйте вразливі додатка:

Існує безліч вразливих мобільних додатків, які розроблені спеціально для тестування. Ці програми розроблені з урахуванням вразливостей при виконанні мобільного коду, і вони забезпечують відмінну платформу для тестування та відпрацювання методів експлуатації.

Приєднуйтесь до програм винагороди за помилки:

Багато компаній пропонують програми винагороди за помилки, в рамках яких дослідники безпеки можуть повідомляти про уразливості в своїх мобільних додатках і отримувати винагороду. Участь у програмах винагороди за помилки - відмінний спосіб попрактикуватися в тестуванні на виконання мобільного коду і отримати за це гроші.

Використовуйте інструменти тестування:

Існує безліч доступних інструментів тестування, які можна використовувати для перевірки вразливостей при виконанні мобільного коду. Ці інструменти можуть допомогти виявити уразливості, використовувати їх і перевірити на предмет потенційного впливу.

Відвідуйте конференції з безпеки:

Існує безліч конференцій з безпеки, присвячених безпеки мобільних пристроїв і надають можливість дізнатися про уразливість при виконанні мобільного коду і методи використання. Відвідування цих конференцій може дати цінну інформацію і можливості для практичного тестування.

Читайте блоги і форуми з безпеки:

Існує безліч блогів і форумів з безпеки, де дослідники діляться своїми висновками і обговорюють нові уразливості при виконанні мобільного коду та методи їх використання. Читання цих ресурсів може допомогти дослідникам бути в курсі останніх тенденцій і відточувати свої навички тестування.

Експериментуйте з віртуальними машинами:

Налаштування віртуальних машин з різними мобільними операційними системами і версіями може забезпечити відмінну платформу для тестування та відпрацювання методів експлуатації. Дослідники можуть створювати свої власні вразливі середовища для тестування і відпрацювання атак на виконання мобільного коду.

Для вивчення виконання мобільного коду

Керівництво по тестуванню безпеки OWASP Mobile Security: Це керівництво містить вичерпний огляд тестування безпеки мобільних пристроїв, включаючи тестування вразливостей при виконанні мобільного коду.

Керівництво хакера мобільних додатків: У цій книзі представлений детальний огляд мобільного безпеки, включаючи уразливості при виконанні мобільного коду та методи експлуатації.

Тестування на проникнення: Практичне запровадження в злом: Ця книга являє собою введення в тестування на проникнення і включає розділ, присвячений тестуванню безпеки мобільних пристроїв.

Сертифікація SecurityTube Mobile Security Expert (SMSE): Ця програма сертифікації охоплює різні аспекти мобільного безпеки, включаючи уразливості при виконанні мобільного коду та методи експлуатації.

Курс мобільного безпеки Udacity: Цей онлайн-курс містить огляд мобільного безпеки, включаючи уразливості при виконанні мобільного коду та методи експлуатації.

Керівництво хакера iOS: Ця книга присвячена безпеки iOS, включаючи уразливості при виконанні мобільного коду та методи використання на пристроях iOS.

Керівництво хакера для Android: Ця книга присвячена безпеки Android, включаючи уразливості при виконанні мобільного коду і методи експлуатації на пристроях Android.

База даних CVE: База даних CVE являє собою загальнодоступний список відомих вразливостей системи безпеки. Дослідники можуть шукати уразливості при виконанні мобільного коду в базі даних і використовувати отриману інформацію для відпрацювання методів тестування та експлуатації.

Блоги і форуми з безпеки: Існує безліч блогів і форумів з безпеки, де дослідники діляться своїми висновками і обговорюють нові уразливості при виконанні мобільного коду та методи їх використання.

Вразливі додатка: Існує безліч вразливих мобільних додатків, які розроблені спеціально для тестування. Ці програми можна використовувати для відпрацьовування методів тестування та експлуатації вразливостей при виконанні мобільного коду.

Книги з оглядом виконання мобільного коду

Керівництво хакера мобільних додатків Домінік Челл, Тайрон Еразмус, Шон Коллі і Оллі Уайтхаус: У цій книзі міститься докладний огляд мобільного безпеки, включаючи уразливості при виконанні мобільного коду та методи експлуатації. Вона отримала позитивні відгуки за чіткий і лаконічний стиль написання і ретельне висвітлення теми.

Внутрішні компоненти безпеки Android: докладне керівництво по архітектурі безпеки Android автор: Микола Еленков: У цій книзі докладно розглядається архітектура безпеки Android і розглядаються уразливості при виконанні мобільного коду і методи експлуатації на пристроях Android. Він отримав схвальні відгуки за його технічну глибину і чіткі пояснення.

Керівництво хакера iOS Чарлі Міллер, Діон Блазакис, Діно Дай Клич і Стефан Ессер: Ця книга присвячена безпеки iOS, включаючи уразливості при виконанні мобільного коду і методи експлуатації на пристроях iOS. Він отримав схвальні відгуки за його технічну глибину і чіткі пояснення.

Зламаний мобільний телефон: Секрети безпеки і рішення Ніл Бергман, Майк Стэнфилд і Джейсон Роуз: У цій книзі представлений огляд мобільного безпеки, включаючи уразливості при виконанні мобільного коду та методи експлуатації. Він отримав схвальні відгуки за свій практичний підхід до цієї теми.

Мистецтво оцінки безпеки програмного забезпечення: запобігання та виявлення вразливостей програмного забезпечення автор: Марк Дауд, Джон Макдональд і Джастін Шух: У цій книзі представлений огляд оцінки безпеки програмного забезпечення, включаючи уразливості при виконанні мобільного коду та методи експлуатації. Вона отримала позитивні відгуки за всебічне висвітлення цієї теми.

Мобільна безпека і конфіденційність: досягнення, проблеми та напрями майбутніх досліджень під редакцією Ман Хо Ау і Реймонда Чу: У цій книзі представлений огляд мобільного безпеки та конфіденційності, включаючи уразливості при виконанні мобільного коду та методи експлуатації. Вона отримала позитивні відгуки за свій міждисциплінарний підхід і ретельне висвітлення теми.

Мобільна безпека: Керівництво для користувачів автор: Чи Хамфриз і Сайед Ахменд: Ця книга являє собою керівництво для користувачів щодо безпеки мобільних пристроїв, включаючи уразливості при виконанні мобільного коду та методи експлуатації. Вона отримала позитивні відгуки за чіткий і лаконічний стиль написання та практичні поради.

Керівництво хакера для Android Дрейк, Зак Ланьє, Коллін Муллинер і Пау Олива Фора: Ця книга присвячена безпеки Android, включаючи уразливості при виконанні мобільного коду і методи експлуатації на пристроях Android. Він отримав схвальні відгуки за його технічну глибину і чіткі пояснення.

Освоєння Мобільного Криміналістики Суфіан Тахири і Рохіт Тамма: У цій книзі представлений огляд мобільного криміналістики, включаючи уразливості при виконанні мобільного коду та методи експлуатації. Він отримав схвальні відгуки за свій практичний підхід і всебічне висвітлення теми.

Безпека мобільних пристроїв: як захистити, приватизувати і відновити ваші пристрої автор: Тім Снід і Джозеф Андерсон: Ця книга являє собою керівництво для користувачів щодо безпеки мобільних пристроїв, включаючи уразливості при виконанні мобільного коду та методи експлуатації. Вона отримала позитивні відгуки за чіткий і лаконічний стиль написання та практичні поради.

Список корисних навантажень для виконання мобільного коду

  • Команди оболонки: Корисні навантаження, які виконують команди оболонки для управління операційною системою пристрою, включаючи виконання довільного коду.

  • Впровадження коду: Корисні навантаження, які вводять код в кодову базу програми для зміни його поведінки.

  • Віддалене виконання коду: Корисні навантаження, які виконують код з віддаленого сервера або веб-сайту, дозволяючи зловмиснику управляти пристроєм.

  • Переповнення буфера: Корисні навантаження, які використовують уразливості переповнення буфера для запуску довільного коду на пристрої.

  • SQL-ін'єкція: Корисні навантаження, які використовують уразливості SQL-ін'єкцій в мобільних додатках для отримання доступу до конфіденційної інформації або виконання довільного коду.

  • Міжсайтовий скриптінг (XSS): Корисні навантаження, які використовують уразливості міжсайтових сценаріїв в мобільних додатках для виконання шкідливого коду.

  • Підробка міжсайтових запитів (CSRF): Корисні навантаження, які використовують уразливості CSRF в мобільних додатках, щоб обманом змусити користувачів виконувати шкідливий код.

  • Впровадження JavaScript: Корисні навантаження, які вводять код JavaScript в мобільні додатки для зміни їх поведінки.

  • Включення файлу: Корисні навантаження, які використовують уразливості при включенні файлів для виконання довільного коду.

  • Обхід каталогу: Корисні навантаження, які використовують уразливості обходу каталогів для виконання довільного коду на пристрої.

Як бути захищеним від виконання мобільного коду

  1. Підтримуйте свою операційну систему і додатки в актуальному стані: Регулярно оновлюйте операційну систему і додатки вашого пристрою, щоб усунути всі відомі уразливості в системі безпеки.

  2. Використовуйте антивірусне програмне забезпечення: Встановлюйте і регулярно оновлюйте антивірусне програмне забезпечення для виявлення і видалення шкідливих програм, які можуть привести до виконання мобільного коду.

  3. Уникайте ненадійних джерел: Завантажуйте програми лише з надійних джерел, таких як Google Play Store або Apple App Store. Будьте обережні зі сторонніми магазинами додатків або веб-сайтів, які можуть містити шкідливі додатки.

  4. Будьте обережні з посиланнями та завантаженнями: Не переходьте за посиланням і не завантажуйте файли з невідомих або ненадійних джерел, так як вони можуть містити шкідливий код.

  5. Використовуйте надійні паролі: Використовуйте надійні, унікальні паролі для вашого пристрою та програм, щоб запобігти несанкціонований доступ.

  6. Обмеження дозволів додатків: Перегляньте дозволу, запитувані додатками, перед їх установкою, і надавайте доступ до необхідних функцій.

  7. Використовуйте віртуальну приватну мережу (VPN): VPN може допомогти захистити ваші дані, зашифрувавши ваш інтернет-трафік і приховати ваш IP-адресу.

  8. Включити двофакторну аутентифікацію: Увімкніть двофакторну аутентифікацію для будь-яких додатків або служб, які її підтримують, щоб додати додатковий рівень безпеки.

  9. Будьте обережні з громадським Wi-Fi: Не використовуйте загальнодоступний Wi-Fi для конфіденційних операцій, таких як онлайн-банкінг, оскільки ці мережі часто не захищені та можуть бути уразливі для атак.

  10. Створюйте резервні копії ваших даних: Створюйте резервні копії своїх даних, щоб запобігти втраті даних у разі злому вашого пристрою.

Заходи по пом'якшенню наслідків для виконання мобільного коду

  1. Підписання коду - це процес, при якому код додатка підписується цифровий сертифікат для підтвердження його достовірності. Це може допомогти запобігти виконання мобільного коду, що дозволяє запускати на пристрої тільки довірений код.

  2. Пісочниця - це метод, який ізолює додатки від іншої операційної системи та інших програм. Це може обмежити вплив будь-якого виконання мобільного коду, обмежуючи дії, які може виконувати шкідливий код.

  3. Перевірка вхідних даних - це метод, який перевіряє вхідні дані в додатку, щоб переконатися, що вони знаходяться в межах очікуваного діапазону і формату. Це може допомогти запобігти виконання мобільного коду, відхиляючи введення, що містить шкідливий код.

  4. Засоби захисту середовища виконання можуть виявляти і блокувати спроби виконання мобільного коду в режимі реального часу, запобігаючи їх виконання і попереджаючи користувача або адміністратора.

  5. Обмеження дозволів та доступу програм до ресурсів пристрою, таких як камери або мікрофон, може допомогти запобігти виконання мобільного коду, обмежуючи дії, які може виконувати додаток.

  6. Дотримання правил безпечного кодування, таких як правильна перевірка вхідних даних і обробка помилок, може допомогти запобігти виконання мобільного коду за рахунок зменшення поверхні атаки програми.

  7. Регулярне тестування мобільних додатків на проникнення може допомогти виявити уразливості і потенційні ризики для виконання мобільного коду, перш ніж їх можна буде використовувати.

  8. Регулярне оновлення і виправлення мобільних додатків і операційної системи пристрою може допомогти запобігти виконання мобільного коду шляхом усунення відомих вразливостей.

  9. Рішення MDM можуть допомогти керувати мобільними пристроями і забезпечувати їх безпеку, включаючи впровадження політик безпеки, обмеження установки додатків і примусове шифрування пристроїв.

  10. Інформування користувачів про ризики, пов'язані з виконанням мобільного коду, і про найкращі методи захисту їх пристроїв може допомогти запобігти атаки і обмежити збитки у разі успішної атаки.

Висновок

Виконання мобільного коду це серйозна загроза, яка може дозволити зловмисникам заволодіти мобільним пристроєм і отримати доступ до конфіденційних даних або маніпулювати ними. Це відбувається, коли шкідливий код може виконуватися на мобільному пристрої, часто шляхом використання вразливостей в додатках або операційній системі. Виконання мобільного коду може бути використано для крадіжки даних, установки шпигунських або шкідливих програм або навіть для отримання контролю над пристроєм і його функціональністю.

Щоб запобігти виконання мобільного коду, важливо дотримуватися рекомендацій щодо забезпечення безпеки мобільних пристроїв, таких як підтримка актуальності операційної системи і додатків, використання надійних паролів, уникнення ненадійних джерел і обережне поводження з посиланнями та завантаженнями. Підписання коду, ізольована середа, перевірка вхідних даних, захист під час виконання, а також дозволи та контроль доступу - все це важливі заходи по пом'якшенню наслідків, які можуть допомогти захистити від виконання мобільного коду. Регулярні оновлення і виправлення рішення для управління мобільними пристроями і навчання користувачів також є ключем до запобігання виконання мобільного коду.

Оскільки використання мобільних пристроїв продовжує зростати, ризик виконання мобільного коду буде тільки зростати. Приватним особам та організаціям важливо робити активні кроки для захисту своїх мобільних пристроїв і даних від цієї загрози.

Інші Послуги

Готові до безпеки?

зв'язатися з нами