觀點

惡意病毒需注意 智慧手機安全隨手攜

2008 / 09 / 25
吳依恂
惡意病毒需注意  智慧手機安全隨手攜

在手機被大量運用在商務用途後,不可不慎來自手機內外的安全威脅。

雖然目前在手機上的應用程式都需要經過安全驗證,但大多是以確保應用程式完整運作,或不妨害到手機作業系統為主要目的。不過隨著智慧型手機越來越普及的被應用在生活上,不僅僅只是拿來打電話,還可以拿來當作導航定位系統、收發電子郵件、網路下單等,手機供應商也表示,智慧型手機可以如同企業電腦的延伸般方便,讓商務人士不必呆坐辦公桌前才能執行公務。
台灣賽門鐵克技術顧問王碩麒提到,目前行動安全的市場暫時尚未興起,但已經打算要導入手機解決方案的企業,若沒有事先做好防護措施,都會面臨到安全風險的問題。「目前還沒有大規模的案例出現,不過當案例出現的時候,我們希望不會是你們」,王碩麒如此說道。

平台的選擇 關乎安全性
由於微軟與台灣OEM、ODM的合作發酵,使用Windows Mobile的智慧型手機在台灣特別受到歡迎,如近來的熱門手機-宏達電的鑽石機。IDC台灣分析師鄭若望也表示,以最近一季的智慧型手機佔有率看來,Nokia Symbian加上Windows Mobile在台灣的市場便佔了90%,前者超過50%,而後者接近40%,Linux則約有9.5%。可見Windows Mobile市場在HTC等OEM、ODM廠和電信龍頭業者中華電信的加持下,果然逐漸蠶食鯨吞台灣智慧型手機的市場。
以智慧型手機的系統平台來看,Nokia Symbian全球的市場佔有率大約占60%;而Microsoft Windows Mobile則約佔15%,其餘則是較少廠商採用的平台,例如Palm OS。不過F-Secure保安實驗室保安事故應變經理謝榮輝認為,Symbian只占美國市場的10%,因此其受感染的機會亦較低,但歐洲和東南亞則剛好相反,這些國家的Symbian用戶均有被病毒攻擊的危機。相較於Windows Mobile平台而言,Symbian是較為封閉的系統,一般在企業上的應用都是針對特定功能設定,在軟體開發程度上也較不允許隨意自由開發。
此外,儘管Apple的iPhone似乎也打算朝企業用戶邁進,但目前依然還是消費者用戶為主,需注意市場上流竄的破解版本造成的軟體漏洞問題。而RIM的黑莓機(BlackBerry)主要是針對企業市場,因此在安全和管理方面較為周全,其威脅主要來自網路層面的BlackBerry伺服器為主。如今年7月底曾傳出有電子郵件內的PDF檔夾藏惡意程式,造成企業伺服器當機的新聞,該漏洞目前已修補完成。
微軟全球資深副總裁張亞勤領導並成立微軟中國研發集團,該團隊主要負責研發Windows Mobile6.0,Windows Visa操作系统、Office 2007、Exchange Server 2007。今年7月底張亞勤訪台時,他也提到,未來的Windows CE6.0,也就是Windows Mobile 7.0的系統版本,將會增強其安全性,他說,有2種方法,1是在系統層面,核心(Kernel)將會有個全新的模式,採取多層次的安全核心系統模式;2是在應用層上使用沙盒技術(sandbox)(*註1);此外還可以透過跟營運商的合作來增加安全性,例如說受到攻擊時,營運商可以鎖住該應用程式。

手機上潛藏的強大邪惡
不過,在稍早的SyScan前瞻資安技術年會裡,有2名研究員便成功的將Rootkit(*註2)植入Windows Mobile裡。Nanika是COSEINC在台灣的弱點研究實驗室(Vulnerability Research Lab)成員,主要專注在Windows平台的弱點,在今年7月,亞洲的資安技術年會SyScan在台北舉行時,在「手機上的強大邪惡」一場演講中,他示範了如何透過Windows Mobile 5、Windows Mobile 6系統的弱點植入惡意程式Rootkit。他的同事Petr Matousek,另外一位惡意程式前瞻研究室(Advanced Malware Lab) 成員,也在「最新Windows Mobile與行動裝置之Rootkit」發表了透過User Mode或Kernel Mode的hooking,意指竊取或置換訊息的動作。
Nanika說,要在手機上應用sandbox的技術來抓出惡意程式,也就是在裡面製造一個虛擬化環境,這在目前可能比較難以普及,因為這需要較好的硬體效能,如此一來,製造成本會增加,不過,當然硬體會越來越便宜、也開始變得更快,因此他也認為,現在正是開始投入手機的安全性研究的好時機。他也建議,可以透過手機滲透測試測出漏洞,也不要隨意下載網路上的小遊戲,或關閉自動播放(Autorun)功能,避免當手機與電腦連結時,觸發惡意程式。
Petr Matousek提到每個系統都可能遭到Rootkit入侵,但每個Rootkit也都可能被偵測到,並且他指出,因為Windows Embedded CE6.0的進步,反而讓Rootkit更容易發展。Nanika也說,使用Windows Mobile的手機系統核心將會更接近電腦平台的Windows處理結構,宛如PC的縮小版,「相信我,手機很危險」他一派冷靜的說著。這可能是因為智慧型手機的功能與電腦越來越相近,但是人們還沒有意識到其便利性也會同時帶來安全的威脅。Nanika示範手機被植入Rootkit後,可以利用該手機的GPRS功能,自動傳送經緯度資訊的簡訊到入侵方,再透過Google map定位,即可掌握手機主人的地點。他認為一旦手機被入侵,可被駭客運用的點很多,例如可以側錄手機按鍵,記錄到電話語音密碼來做銀行轉帳,或是只要找到電腦的遠端弱點,透過手機的3G、3.5G或是藍芽當作跳板入侵電腦。
謝榮輝提到儘管透過藍芽傳播的病毒或惡意程式範圍有限,但一般人並沒有想到這是透過藍芽的途徑所造成的,可以離開該涵蓋範疇。不過王碩麒說,賽門鐵克曾做過實驗,在NB上的藍芽裝置加上一個加強天線,藍芽延伸的範圍竟可達100公尺。而許多人並未意識到應該對自己的藍芽裝置做加密或隱藏的動作。

北美市場RIM持續看漲 臺灣企業是否買單
台灣大電訊(*註3)產品處副處長金大剛說,美商的安全政策是較為嚴謹的,這也是為什麼一些美商體系的企業會指定使用RIM的BlackBerry,根據IDC的調查,2008年第1季BlackBerry的市佔率上升到44.5%,它著名的push mail功能,也協助商務人士克服時差的限制。就系統安全性來說,台灣大電訊產品處經理魏政賢提到,即使手機上的文件被病毒感染,BlackBerry也因為不支援病毒的檔案格式,所以手機本身不會受到影響,換句話說,BlackBerry機器「看不懂」這些病毒及惡意程式,且傳輸的數據通道經過AES、Triple DES加密,其安全性不言可喻,金大剛補充。
不過雖然手機不受病毒、惡意程式影響,但商務手機依然有機會成為媒介影響到企業內部電腦,例如透過藍芽、儲存媒體等,魏政賢說,這又會回歸到公司企業內部的資安防護,只是,BlackBerry能夠確保的是在手機裝置上及傳輸過程的安全。此外,他也強調RIM賣的是一個企業解決方案,而不是賣手機而已,強調整個行動裝置與企業內部的結合性,目前已經具有2年多建置經驗的台灣大電訊具有相當的信心。
不過,目前BlackBerry在台灣市場受到一些限制-並無繁體中文輸入法,且系統的部份表單依然非中文介面,此外也沒有手寫辨識中文的功能,因而在市場上無法大展拳腳,金大剛說,RIM目前也已全力支援,預計在今年年底之前會推出支援繁體中文輸入法的機種,他也認為這會為市場帶來很大的改變。以安全性的考量來說,BlackBerry也是企業的另外一個選擇。

手機遺失解決方案
除了手機上的惡意程式,原本的手機遺失、被竊取問題,也是企業所關注的焦點。針對企業的手機解決方案,目前有Microsoft的System Center Mobile Device Manager 2008(MDM),RIM的BlackBerry企業解決方案和Nokia的Intellisync,透過企業解決方案來達到管理企業手機的目的。這些解決方案的共通點都是可透過遠端遙控來進行資料的刪除或上鎖。不過臺灣微軟資訊企業應用經理崔思康提到,而Nokia在台灣較無技術支援,似乎在這塊市場的經營焦點比較不放在台灣,他還提到由於Intellisync是以Java為基礎的平台,在企業複雜度較高的系統整合上會出現效能不佳的狀況。台灣諾基亞表示Intellisync是過去既有的應用軟體服務,而近來推出的E系列商務機種都可以應付各種商務人士的需求,無論是使用Lotus Notes收公司信件或用G-mail收發私人信件,商務機種都會針對商務軟體做支援。
崔思康說,採取MDM的企業解決方案,可以透過資安策略來處理手機遺失或遭竊的問題,避免商業資料外洩,並且協助企業開發合適的應用程式,呼應到張亞勤在訪台記者會所說,微軟與其他廠商差異化在於其平台整合性,崔斯康說,MDM可搭配整合企業原有的目錄服務AD(Active Directory)架構,確保登入者為企業用戶,以此達到身分識別的功能。此外,透過軟體的功能,可將SD Card鎖住,達到加、解密的功能。
崔思康說,儘管Symbian系統在全球市佔率依然是最高的,但微軟在企業M化的市佔率可以說是受到產業、環境等影響,因而在台灣佔有著一定的版圖。此外像是賽門鐵克的Mobile Security也有密碼的計量功能,例如當手機被竊取後,嘗試登入密碼錯誤幾次後,即會刪除資料。賽門鐵克前不久與中國諾基亞、中國移動等合作手機防毒的服務,也就是透過與電信業者的合作,進行防毒、掃毒服務的中央派送,針對台灣部份也考慮跟中華電信洽談中,主要針對族群為企業市場,另外由於手機輕薄短小容易遺失,因此關於手機的防止資料外洩方案也都是各家廠商所關注的重點。王碩麒提到,藉由第3方廠商的補強,可以增強在安全性方面的不足。在手機遺失的解決方案上有許多供應商,但專長各有不同,平台供應商著重在企業平台管理面,身分登入驗證、與企業內部系統的整合應用、資產的管理等,安全廠商強項則在惡意程式及病毒的掃除,包括防毒、防火牆、入侵偵測等等功能。

最新手機病毒案例分享
2008年3月發現針對Windows Mobile的智慧型手機的木馬程式,名為Trojan:WinCE/InfoJack,為電腦病毒的變種,簡稱InfoJack。它可拆解後附在小遊戲、繪圖軟體上等,透過網路自PC傳播到手機上。該程式會更改安全設定讓使用者接受所有程式安裝要求,並連上不知名的伺服器,自動下載「*windows\mservice2.exe」的壓縮檔,入侵者藉此竊取使用者的機敏資料。
2008年第1季,發現了針對Symbian手機平台用戶的蠕蟲Beselo,常會用beauty.jpg、sex.mp3、love.rm等名稱偽裝自己,並透過MMS和Blooth的方式傳送偽裝的SIS應用程式,中毒後的手機icon圖示則會變成交叉的骷顱頭。
F-Secure保安實驗室保安事故應變經理謝榮輝表示,Symbian S60智慧型手機用戶若收到要求接受多媒體檔案的訊息應立即拒絕,因為多媒體檔案並不會要求系統進行安裝,而若智慧型手機內的平台為Symbian第3版,則當它接收到蠕蟲後將會發出錯誤訊息,而不會即時安裝。行動安全軟體供應商AdaptiveMobile商業發展副總Simeon Coney也說,使用者可以自行,或送回原廠、經銷商,將行動裝置上的記憶體抹除,以去除掉Beselo蠕蟲的威脅。