Salama iskee sinut todennäköisemmin kuin liikkuvan haittaohjelman tartuttama

RSA 2015 -konferenssissa tietoturvayrityksen Damballan tutkijat ilmoittivat, että Yhdysvalloissa salama lyö sinut paljon todennäköisemmin kuin tartuttamalla mobiilihaittaohjelmiin. Vaikka tämä tukee yrityksen aiempaa tutkimusta, Damballa löysi jotain hyvin omituista tapahtuvan mobiililaitteissa.

Haitallisen liikenteen seuraaminen

Damballan liiketoiminta on automaattista rikkomusten torjuntaa, joka perustuu big data -analytiikkaan. Työskennellessään Yhdysvaltojen suurimman langattoman operaattorin kanssa Damballa pystyi vertaamaan liikennetietoja tunnettuihin haitallisiin URL-osoitteisiin, jotka on poistettu noin 70 000 mobiilihaittaohjelman näytteestä. "Se oli hiukan manuaalinen prosessi niiden yleisten verkkotunnusten poistamiseksi, joihin todennäköisesti ei liity haittaohjelmia", selitti vanhempi tieteellinen tutkija Charles Lever. "Se oli tuskallinen."

Tutkimuksessaan Lever kertoi, että Damballalla ei ollut pääsyä näiden lähetysten hyötykuormiin, vain URL-osoitteisiin. Yhtiö teki selväksi, että sillä ei ollut näkyvyyttä asiakastietoihin.

Damballan tutkimuksen laajuus on keskittynyt noin 151 miljoonaan laitteeseen päivässä, verrattuna 25 miljoonaan laitteeseen, kun yritys toteutti tutkimuksen vuonna 2012. Yhtiön mukaan tämän osuus oli 50 prosenttia Yhdysvaltain mobiilitiedonsiirrosta, mutta näistä yrityksistä nähtiin vain noin 9 688 laitetta tavoittamasta mobiilihaittaohjelmiin liittyviä URL-osoitteita.

Se toimii 0, 0064 prosentissa liikenteestä haitallisena. Yhtiön lehdistötiedotteessa Damballa kertoi, että Kansallisen sääpalvelun viralliset kertoimet salaman iskusta olivat huomattavasti suuremmat, 1, 3 prosenttia.

Turvasatama

Lever kertoi, että tutkimuksen päätelmät tukivat ajatusta, että vaikka mobiilihaittaohjelmista on keskusteltu paljon turvallisuuspiireissä (ja tämän kirjoittajan mukaan). "Löydämme paljon haittaohjelmanäytteitä, mutta en ole varma, että nämä näytteet ovat matkalla laitteisiinsa", sanoi Lever.

"Meillä on vahvat ensimmäisen osapuolen markkinat Yhdysvalloissa", jatkoi Lever viittaamalla Apple App Store- ja Google Play -kauppaan. Hänen mukaansa kaupoissa on hyvät turvatoimenpiteet, jotka ovat pitäneet pahimmat toimijat pois, ja niihin sisältyy työkaluja, joiden avulla Apple ja Google voivat etäkäyttää käytöstä tai poistaa haitalliset sovellukset, jotka saattavat löytää tiensä käyttäjien laitteisiin.

Damballan tutkimuksella on tietysti rajoituksia. Se on keskittynyt esimerkiksi mahdollisesti haitallisiin verkkoliikenteisiin eikä todellisiin haitallisiin asennuksiin mobiililaitteissa. Se kattaa myös vain puolet Yhdysvalloista, mikä jättää suuren osan maailmaa huomioimatta. Lever sanoi, että on mahdollista, että mobiilihaittaohjelmat voivat olla paljon korkeampia Yhdysvaltojen ulkopuolella. "Voin nähdä sen olevan korkeampi, mutta en voinut sanoa sitä empiirisesti", sanoi Lever.

Mielenkiintoista on, että Damballan havaitsemisesta haitallisesta mobiililiikenteestä suurin osa olisi luonnehdittu mainosohjelmaksi.

Varjoinen liikenne

Mutta vaikka mobiilihaittaohjelmat eivät tehneet suurta esitystä Damballan tutkimuksessa, jotain muuta teki. Mobiilihaittaohjelmiin liittyvän liikenteen lisäksi Lever selitti, että Damballa seurasi myös mobiililaitteiden pyyntöjä muun tyyppisiin haitallisiin infrastruktuureihin. Tämä voi olla työpöytähaittaohjelmien, tietojenkalastelutoimintojen, bottiverkkojen ja niin edelleen infrastruktuuri. Nämä pyynnöt Internetin varjoisimmista osista mobiililaitteilla olivat Leverin mukaan huomattavasti korkeampia kuin mobiilihaittaohjelmien URL-osoitteita koskevat pyynnöt.

Kuinka paljon suurempi? Useilla suuruusluokilla. Damballa raportoi 100 000 mobiilihaittaohjelmiin liittyvää pyyntöä, jotka se jäljitti näihin 10 000 parittomaan laitteeseen. Se seurasi 100 miljoonaa pyyntöä sivustoille, jotka näyttivät olevan ajettuina latauksina, ja 1 miljardia pyyntöä ("b!"), Joka liittyi työpöydälle kohdistuviin haittaohjelmiin. Nämäkin pyynnöt ovat jälleen peräisin mobiililaitteista.

Lever kertoi, että vaikka nämä mobiililaitteiden varjoisat pyynnöt ovat "huomattavasti suuremmat kuin mitä näemme mobiilihaittaohjelmille", niiden syy on suurelta osin tuntematon.

Lever ehdotti, että osa liikenteestä voisi tulla matkapuhelinten käyttäjiltä, ​​jotka joutuvat tietojenkalastelusivustojen uhreiksi. Muut tietoturva-asiantuntijat ovat ehdottaneet, että tietojenkalastelu saattaa olla helpompaa mobiililaitteissa, koska verrattain pieni näyttö katkaisee epäilyttävät näköiset URL-osoitteet ja SSL-yhteyteen liittyvä lukituskuvake ei ole näkyvissä.

Koko keskustelun ajan Lever pysyi pääosin optimistisena mobiiliturvallisuuden suhteen, mutta keskustellessaan näistä epätavallisista havainnoista hän kääntyi selvästi kielteiseen suuntaan. Hän sanoi, että vaikka mikä tahansa, joka aiheutti tämän valtavan määrän epäilyttävää verkkoliikennettä, ei ehkä ole ongelma tänään, se voi olla tulevaisuudessa. Tai se voi jopa johtua tällä hetkellä tuntemattomista haittaohjelmista.

• Android 4.1.1 Silti haavoittuva sydämenpuhdistukseen Android 4.1.1 Silti haavoittuva sydämen verenvuotoon
• Haitalliset Android-sovellukset voivat hakata Gmailia. Haitalliset Android-sovellukset voivat hakata Gmailia
• Mobile Threat maanantai: Android-sovellukset piilota Windows-haittaohjelmat Mobile Threat maanantai: Android-sovellukset piilota Windows-haittaohjelmat

"Se on suuri riskialue, jota ei tutkita parhaillaan tällä hetkellä ja joka voisi käyttää enemmän tutkimusta selvittääkseen, mikä tämä on", sanoi Lever. "Onko se tietojenkalastelu? Onko se roskapostia? Mikä on erittely? Ja kuinka suuri osa siitä vaikuttaa tällä hetkellä mobiililaitteisiin ja kuinka paljon tulevaisuudessa?"

Toivottavasti tulevaisuuden tutkimus pystyy koottamaan tämän palapelin.