迈克菲实验室最新威胁报告：移动应用程序漏洞百出

在2014年9月报告中发现的存在漏洞的25款热门移动应用程序中仍有18款未打补丁;不安全的 Web会话使数以百万计的手机用户沦为中间人攻击的目标。

[[129834]]

近日，Intel Security发布了《迈克菲实验室威胁报告：2015年2月刊》，报告对移动威胁态势进行了评估，以及移动应用程序开发商未对重大安全套接层 (SSL) 漏洞打补丁，从而给数以百万计的手机用户造成了潜在威胁。迈克菲实验室还详解了日渐“走红”的 Angler 漏洞攻击套件，并对愈发猖獗的潜在有害程序(PUP)发出警告，该套件能改变系统设置，并在用户毫不知情的情况下采集个人信息。

根据中国互联网络信息中心发布的《中国互联网发展状况统计报告》，截至2014年12月，中国手机网民规模达5.57亿，较2013年底增加5672万人。网民中使用手机上网人群占比由2013年的81.0%提升至85.8%，手机应用的使用率也大幅提高，其中手机网上支付规模达到2.17亿，全年增长率为73.2%，网民手机支付的使用比例由25.1%提升至39.0%。

甫刚结束的农历春节更是中国用户手机使用率的高峰，朋友聚会、年夜饭刷手机、摇一摇、使用移动应用程序成为标准动作。为了赶搭春节抢红包、发红包的热潮，许多手机用户也随即绑定了银行账户信息，移动支付终端用户迅速增加。殊不知伴随红包满天飞，红包骗局和用户隐私数据泄漏等安全隐患也浮上台面，再次引发社会对手机移动端安全问题的关注。

迈克菲实验室研究表明，移动应用程序开发商在应对最基本的SSL漏洞方面行动迟缓：缺乏适当的数字证书链验证。2014 年 9 月，卡内基梅隆大学 (Carnegie Mellon University) 计算机紧急响应小组 (CERT) 公布了存在此类缺陷的移动应用程序名单，其中包括下载量超过百万的应用程序。

一月份，迈克菲实验室对CERT名单中25款最热门的应用程序进行测试，发现这些应用程序都通过不安全的连接来发送登录凭据，其中18款在有公开披露、厂商通知的情况下仍未安装补丁，在某些情况下，多个版本的更新解决的并不是安全问题。迈克菲实验室研究人员模拟了中间人(MITM)攻击，成功截获了在一般认为安全的SSL会话中共享的信息。这些易于被攻击的数据包括用户名和密码，在一些案例中，还包含社交网络以及其他第三方服务的登录凭据。

尽管没有证据表明这些移动应用程序已经被漏洞攻击所利用，但考虑到这些应用程序不断累积的巨大下载量，迈克菲实验室研究成果表明，移动应用程序开发商选择不对SSL漏洞打补丁的做法，已使数以百万计的用户暴露在 MITM 攻击目标的潜在风险中。

迈克菲实验室(Intel Security 集团成员)高级副总裁 Vincent Weafer 指出：“无论对于个人用户还是企业用户，移动设备已成为不可或缺的工具，我们的生活已经离不开这些设备，以及基于这些设备所运行的应用程序。对我们而言，数字可信度是真正发挥这些设备所提供的功能，并因此而受益的先决条件。移动应用程序开发商必须承担更大的责任，确保其应用程序严格遵循安全编程准则以及过去十年所开发的漏洞响应规范，只有这样才能为我们提供所需的保护，让我们的数字生活安全无忧。”

迈克菲实验室密切跟踪的第四季度另一大发展态势是Angler漏洞攻击套件的崛起—─它是网络犯罪即服务(cybercrime-as-a-service)经济领域的最新成果之一，这一现成可用的工具提供了更加恶意的功能。研究人员发现，2014 年下半年，网络犯罪分子呈现向Angler迁移的态势，在众多漏洞攻击套件中受欢迎的程度超过了Blacole。Angler 采用了一系列逃逸技术，能够规避虚拟机、沙盒和安全软件的检测，并且会频繁变换模式和有效负载来隐匿踪迹以逃过一些安全防护产品的法眼。

这一犯罪软件包包含易于使用的攻击特性以及一些新的功能，例如，无文件感染(file-less infection)、虚拟机和安全产品逃避，能够提供广泛的有效负载(包括针对银行业务的木马、根工具包、勒索软件、CryptoLocker 和后门木马等)。

本报告还揭示了 2014 年最后一个季度其他的一些威胁发展态势，具体如下：

• 移动恶意软件。根据迈克菲实验室的报告，2014 年第四季度移动恶意软件样本数量增长 14%，亚洲和非洲感染率创出新高。在迈克菲所监控的移动系统中至少有8%在2014 年第四季度被报告遭受过感染，大部分是由 AirPush 广告网络所致。

• 潜在有害程序。在第四季度，迈克菲实验室每天在 9100 万个系统中检测到PUP。迈克菲实验室分析称，PUP日渐猖獗，它们会伪装成合法应用程序来执行未经授权的操作，例如，显示无意图广告、修改浏览器设置或者采集用户和系统数据。

• 勒索软件。第三季度起，新的勒索软件样本数量在经历四个季度下降后开始重拾升势。第四季度，新样本数量增长155%。

• 签名恶意软件。新恶意签名二进制文件在出现短暂下降后，在第四季度重新恢复增长，签名二进制文件增长 17%。

• 恶意软件。迈克菲实验室现在每分钟检测到 387 个，或者说每秒有超过 6 个恶意软件新样本。