Datos de amenazas de dispositivos móviles: primer trimestre de 2017

por
  • El 14% de los dispositivos contienen malware
  • 4% detectó un ataque Man-in-the-Middle
  • 1 de 3 dispositivos que no ejecutan la última versión

Los dispositivos móviles ahora son plataformas informáticas estándar en empresas de todos los tamaños. Los consumidores estadounidenses ahora pasan más de 5 horas por día en dispositivos móviles [1]. El tiempo medio que se pasa al día en los dispositivos móviles ha aumentado cada trimestre, ya que los usuarios prefieren la facilidad de uso y la movilidad. A medida que se dedica más tiempo al móvil, los datos personales y de la empresa (por ejemplo, correos electrónicos, contactos, calendarios, documentos, fotos, credenciales) en los dispositivos están expuestos a robos y otros usos indebidos.

Los perpetradores han buscado durante mucho tiempo el camino de menor resistencia. Los datos personales y empresariales de una persona son más vulnerables a través de los dispositivos móviles, ya que la mayor parte del tiempo se pasa lejos de redes seguras, en Wi-Fi público y en aplicaciones que no controlan. Las empresas conscientes de la seguridad entienden la amenaza y han instalado aplicaciones de defensa contra amenazas móviles como Zimperium zips en dispositivos corporativos y BYO.

Durante el primer trimestre, del 1 de enero al 31 de marzo de 2017, los dispositivos protegidos con zips detectaron varios tipos de riesgos y amenazas de dispositivos móviles en todo el mundo. Los riesgos y amenazas se describen a continuación:

  • Amenazas y riesgos del dispositivo: amenazas al dispositivo o al sistema operativo, incluidas las vulnerabilidades sin parches.
  • Amenazas de red: amenazas enviadas al dispositivo a través de la red celular o Wi-Fi
  • Amenazas de aplicaciones: malware móvil, spyware, adware o «aplicaciones con fugas» en los dispositivos

Riesgos y amenazas de los dispositivos móviles Los atacantes encuentran constantemente formas nuevas y únicas de explotar los sistemas operativos móviles. Los ataques remotos sofisticados no requieren la interacción del usuario final para instalar o detonar un ataque con el fin de comprometer un dispositivo. Los ataques remotos son difíciles de detectar durante o después de un ataque sin una solución de defensa contra amenazas móviles que supervise los comportamientos del sistema operativo y los sistemas de archivos del dispositivo.

Desde 2016 se han registrado más de 600 CVE para Android y 300 para iOS [2]. Si bien no todas las vulnerabilidades son graves, hubo cientos que permitieron la ejecución remota de código como Miedo escénico y Pegaso que obligó al mundo empresarial a prestar atención a la seguridad de los dispositivos móviles.

Los datos de los clientes de Zimperium se recopilaron e informaron en conjunto sobre los riesgos de los dispositivos asociados con las configuraciones, los ajustes y las versiones del sistema operativo instalado de los dispositivos móviles. Los riesgos están separados por cada sistema operativo, Android e iOS, ya que cada uno tiene su propio ecosistema de actualizaciones.

Para este primer trimestre de 2017, analizamos los dispositivos que ejecutan la aplicación zips de Zimperium en Android e iOS. De todos los dispositivos Android, el 98% de ellos no ejecutan la última versión disponible al 31 de marzo de 2017 [3]. Menos del 2% de los dispositivos Android ejecutan la última versión 7.1+, lo que deja a los dispositivos restantes que ejecutan versiones anteriores vulnerables a las vulnerabilidades conocidas mencionadas anteriormente. Aún más preocupantes son los ajustes de configuración en el 15% de los dispositivos. Estos dispositivos están rooteados, permiten descargas desde tiendas fuera de Play o tienen habilitadas las opciones de desarrollador. Estas configuraciones hacen que los dispositivos sean más susceptibles a los ataques sin ejecutar la aplicación de defensa contra amenazas móviles zips. El cinco por ciento de los dispositivos analizados tienen habilitada la depuración USB en el dispositivo. La depuración USB permite que un dispositivo Android se comunique con Android SDK (Software Developer Kit) a través de una conexión USB. Es mejor no habilitar esta configuración si no es un desarrollador o no es plenamente consciente de los problemas de seguridad que presenta la depuración de USB.

El proceso fragmentado de actualización de Android está bien documentado, pero una cantidad sorprendentemente alta de dispositivos iOS tampoco ejecutan la última versión. Más del 35 % de los dispositivos iOS no ejecutaban la última versión de iOS 10.3 y no habían recibido actualizaciones de seguridad al 31 de marzo de 2017. Dado que Apple controla el sistema operativo y el proceso para actualizar los dispositivos, muchos creen que los dispositivos se actualizan de manera oportuna . Nuestros datos muestran que uno de los tres dispositivos iOS no actualiza el sistema operativo cuando está disponible. Los riesgos más preocupantes asociados con los dispositivos iOS fueron los perfiles de configuración maliciosos y las «aplicaciones con fugas». Estos perfiles pueden permitir que terceros mantengan la persistencia en su dispositivo, descifren su tráfico, sincronicen sus calendarios y contactos, conozcan su ubicación y podrían permitir una conexión remota para controlar el dispositivo o desviar datos del dispositivo sin que el usuario lo sepa. Estos perfiles se instalaron en lugar de las políticas de seguridad en MDM, ya que no se pueden detectar sin MTD.

Mantener sus dispositivos actualizados es una parte importante para mantenerlos seguros. Los sistemas operativos móviles se modifican constantemente y reciben cientos de actualizaciones de seguridad cada año a medida que las plataformas continúan evolucionando. En 2016, había 523 CVE registrados para Android. Casi la mitad de las vulnerabilidades obtuvieron una puntuación de 7+ en la escala del Sistema de puntuación de vulnerabilidad común (CVSS), lo que significa que tenían un alto riesgo de permitir la ejecución de código o la corrupción de la memoria. Hubo 161 vulnerabilidades y exposiciones registradas para iOS en el mismo período de tiempo. Más del 40 por ciento de las vulnerabilidades de iOS obtuvieron una puntuación de 7+ en CVSS [4].

Amenazas de red de dispositivos móvilesCuando un atacante intercepta el tráfico de red de un dispositivo móvil a través de técnicas como un ataque Man-in-the-Middle (MITM) o un punto de acceso no autorizado, el dispositivo y sus datos están expuestos a muchas amenazas diferentes. Un atacante puede leer y capturar credenciales, correos electrónicos, calendarios, contactos y otros datos confidenciales como parte de un ataque más avanzado.

Para el primer trimestre de 2017, nuestros datos muestran que más del 7 % de todos los dispositivos detectaron un escaneo de reconocimiento de un dispositivo de red o un atacante. Muchos de estos dispositivos experimentaron múltiples escaneos durante el trimestre. Los atacantes escanean las redes para encontrar víctimas y redirigir el tráfico a través de un ataque MITM. En la mitad de los dispositivos que experimentaron un escaneo, zips detectó automáticamente un ataque MITM y simultáneamente lo informó al equipo de seguridad del cliente. Este es el tipo de ataque a la red más grave, ya que suele ser invisible para el usuario. A menos que un usuario tenga una aplicación de defensa contra amenazas móviles que pueda detectar el ataque en su dispositivo en tiempo real (p. ej., zips), su conexión inalámbrica puede redirigirse a un proxy y sus datos pueden verse comprometidos.

Los puntos de acceso no autorizados son otro ataque a la red que redirige el tráfico. Un punto de acceso no autorizado es un punto de acceso inalámbrico que se ha instalado en una red segura sin la autorización explícita de un administrador de red local. Los puntos de acceso no autorizados se pueden colocar en cualquier lugar y seguir convenciones de nomenclatura confiables para capturar el tráfico de objetivos potenciales. Casi el 1% de los dispositivos detectaron un punto de acceso no autorizado después de que un dispositivo se conectara a él. zips pudo detectar estos dispositivos de red no autorizados, informar a los equipos de seguridad corporativos y finalizar automáticamente la sesión si la política de seguridad dictaba y configuraba esa acción.

Malware iOS y aplicaciones sospechosasLas aplicaciones se pueden usar para entregar y ejecutar código malicioso para comprometer un dispositivo o para actuar como un proxy en un ataque más sofisticado. Los ejemplos de ataques basados ​​en aplicaciones incluyen ejemplos como xcodefantasma en iOS y Gooliganuna familia de malware basado en Android.

Dado que Zimperium proporciona detección en el dispositivo, no requerimos firmas ni hash para detectar actividad maliciosa en el dispositivo. Zimperium supervisa el comportamiento del sistema operativo en busca de anomalías y puede detectar ataques en tiempo real que, de otro modo, no se detectarían si solo se buscara malware. El servicio de reputación de aplicaciones móviles de Zimperium escanea las aplicaciones instaladas en los dispositivos o en las tiendas de aplicaciones y las interroga en busca de problemas de seguridad y abuso de la privacidad, lo que permite a los equipos de seguridad tomar decisiones informadas.

Durante el primer trimestre, Zimperium analizó aplicaciones en los dispositivos de los usuarios para informar sobre malware, problemas de seguridad y abuso de la privacidad. Entre los dispositivos que ejecutan Android, encontramos que el 13% de los dispositivos tenían aplicaciones que contenían malware conocido. Cada uno de los dispositivos que contenían malware registró un evento y proporcionó recomendaciones al usuario y al equipo de seguridad de la empresa. La cantidad de dispositivos iOS que contienen malware conocido representa menos del 1 % de los dispositivos de los que recopilamos datos. Si bien solo el 1 % de los dispositivos Apple vieron malware móvil, tienen un mayor porcentaje de perfiles sospechosos, aplicaciones que utilizan un cifrado débil y que potencialmente recuperan información privada de los dispositivos. Nuestro análisis encontró que más del 19 % de las aplicaciones tenían la capacidad de recuperar información privada como contraseñas y el identificador único de dispositivo, UDID. La recuperación del UDID de los dispositivos ha sido prohibido por Apple desde 2011. Aproximadamente el 3 % de las aplicaciones usaban cifrado débil o algoritmos hash, como MD2, y no se consideran seguras para pasar datos privados o de pago.

Si desea obtener detalles forenses como los anteriores para los dispositivos de su empresa, por favor Contáctenos para configurar los pasos apropiados.

Fuentes

  1. http://flurrymobile.tumblr.com/post/157921590345/us-consumers-time-spent-on-mobile-crosses-5
  2. https://cve.mitre.org/
  3. Zimperium, Inc.
  4. CVEdetalles.com

Relacionado:

Default ThumbnailF-Secure publica el informe de amenazas móviles del primer trimestre El estado de las amenazas a los dispositivos moviles Informe El estado de las amenazas a los dispositivos móviles: Informe de amenazas móviles del primer semestre de 2019 Lo mejor de ambos mundos integracion de datos de amenazas Lo mejor de ambos mundos: integración de datos de amenazas móviles de Zimperium en Microsoft Sentinel Cloud-Native SIEM Default ThumbnailCommvault lanza Endpoint Data Protection como servicio para simplificar la recuperación de datos en portátiles y otros dispositivos Default ThumbnailLucha contra las filtraciones de datos y las amenazas de seguridad Default ThumbnailAmenazas a dispositivos móviles, ataques a la red y tendencias de malware móvil

Deja un comentario