大多数通过合法渠道(例如安卓应用商店、Google Play Store或 Apple Store)安装应用程序的用户完全相信他们的信息不会受到恶意攻击,因为它们是官方应用程序商店。然而,尽管谷歌和苹果采取了严格的安全措施,网络犯罪分子仍然想方设法绕过这些检查。他们通过模拟真实的应用程序来做到这一点。例如,由于Android允许用户下载和安装从非官方商店来源的应用程序,网络攻击者通过创建模仿合法应用程序做出虚假应用程序,然后,使用虚假应用程序收集数据并恶意使用。
印度禁止TikTok就是一个例子,与此同时,一个名为TikTok Pro的克隆应用程序随即出现,它的意图就是从用户的移动设备上窃取数据。在新冠肺炎疫情期间,攻击者还通过虚假位置跟踪应用程序来收集用户隐私数据。随着越来越多的公司允许员工通过移动设备访问公司业务的应用程序,网络犯罪分子也利用远程工作趋势发觉了更多的攻击方式,由于个人互联网网络很少有办公室环境中可用的网络安全防护措施,例如防火墙等,这为网络犯罪分子获取业务数据提供了充足的空间。下面我们将介绍几种识别虚假应用程序的方法,以及为提高安全性而采取的措施。
两种类型的虚假应用程序
应用程序模拟还有许多其他方式,网络犯罪分子的唯一意图是访问用户数据、后端 API 和业务信息,以下是 2021 年发现两种主要的应用程序假冒方法。
01 欺诈性APP
网络犯罪分子通过创建模仿与合法应用程序外观相似的应用程序来寻找机会,通过克隆的应用程序收集用户敏感信息,例如银行详细信息、信用卡信息和生物识别信息。尽管 Google Play Store实施了更强大的安全措施,但很多时候是无效的,因为一旦流氓移动应用程序被撤出商店,它们就会以另一种形式再次出现,很难做到彻底清除。绝大多数网络犯罪分子将他们窃取的信息用于恶意的目的,例如帐户接管或窃取奖励积分等,或者直接在暗网上出售个人信息。
02 API操纵
API 操纵的目的是窃取公司业务或个人隐私数据,并利用公司业务谋取商业利益。它是通过利用 API 本身的漏洞或错误来实现,或者通过使用从其他企业窃取或在暗网上购买的有效凭据来访问后端系统。这两种攻击向量都基于脚本并使用从移动应用程序中提取的 API 密钥。基于Gartner 的研究估计,到 2022 年,API 将成为主要的攻击面。
如何防御移动应用程序假冒
01 实施API防御机制
02 利用移动应用认证
03 定期进行渗透测试
云天安全订阅号
云天安全服务号
鲁公网安备 37010202002190号