行動裝置的攻擊手法雖然層出不窮，但許多人往往過於擔心手法困難且不常見的入侵攻擊，而忽略了最應注意也最常遇到的網路釣魚。
 
在前不久，由維基解密曝光的Vault 7機密資料庫再次提醒了我們：大眾根本不明白Android或者iPhone手機為何遭遇入侵，亦不清楚其會帶來哪些風險。
 
新聞報導特別提出警告說明，CIA能夠利用駭客工具入侵任何人的行動裝置，而維基解密表示部分工具甚至能夠規避掉Signal、Telegram、WhatsApp及Confide等通訊軟體來攔截加密訊息。
 
不過在首批提供的檔案內容中並沒有證實以上論述，而且沒有任何證據表明CIA擁有專門的工具或者針對行動裝置的漏洞利用機制。
 
以目前曝光的內容來看，大多數駭客工具並非指向行動系統，其主要用於行動應用程式。維基解密中也指出，大部分系統層面的漏洞已經被Apple及Google修復，只有使用老舊Android裝置才有可能因此受害。
 
在行動入侵層面，其攻擊活動主要可分為以下四種途徑：
 
●利用目標作業系統或者硬體漏洞來獲得對裝置的完全控制。
●惡意應用程式在使用者未察覺的情況下執行特定任務。
●攔截網路流量的中間人攻擊。
●針對使用者的社交工程攻擊。
 
雖然大多數人最擔心攻擊者對其裝置完全掌控，但實際上，一般人最有可能遭遇到的情況，反而是後三種的發生機率較高。
 
「入侵」行動裝置代表著什麼
 
任何軟體都存有bug，作業系統也不例外，因此iOS與Android同樣擁有可被用於實現裝置控制的漏洞。其本質上就類似於Apple裝置上的JB和Android的root，從而取得和裝置管理員相關的權限，以實現原本可能遭到限制的操作行為。
 
然而，大多數JB和root操作需要對裝置進行實體存取，且Apple和Google一直在積極修復相關漏洞。目前Apple和Google皆已發布聲明表示Vault 7中描述的漏洞已得到修復或者存在相關安全保護。
 
也正是因為如此，對軟體所進行的修復與更新工作才顯得格外重要。在這方面，Apple使用者的優勢在於通常能夠在數週之內完成最新版本iOS的升級；而Android使用者卻往往在很長時間內都無法獲得營運商及裝置製造商的修補更新。但好在是說，使用較新Android裝置的使用者較不易受到Vault 7相關工具的影響。
 
如上所述，由於相關漏洞通常需要實體存取才能觸發，所以即使您使用較舊機型的裝置，也仍無須過度驚慌。
 
實體入侵與遠端入侵
 
現在我們應該已經了解到入侵活動的基本原則：如果對方能夠透過實體存取你的裝置，那麼安全保護基本上是無法有效發揮作用。儘管密碼鎖定或者內容加密能夠在一定程度上減緩入侵速度，但無論採取任何的安全措施，入侵活動都能經由JB或root來實現裝置控制。
 
相較之下，遠端root或者JB則非常罕見，尤其是在iOS系統當中。政府單位曾使用Pegasus工具利用Trident漏洞對iOS裝置進行JB，但其需要利用三項零時差漏洞才能達成：其一負責破壞瀏覽器、另外兩個負責破壞作業系統本身。也因此才會有資安業者(Zerodium)，為了找出完善的iOS遠端JB方案，而推出100萬美元的懸賞獎金邀請大家抓出安全漏洞。
 
Vault 7中的最大機密重點在於，CIA能夠提取加密訊息服務中的內容。但實際上，此類工具的實質是安裝在裝置上以收集尚未加密的音訊及訊息內容。且想要安裝此類工具同樣需要實體存取能力，所以在具備這項條件下，理當可以透過應用程式查閱到相關訊息。因此同先前所述，無須過度驚慌。
 
接下來的問題是CIA或者其他政府機構是否悄悄購買了我們所不知曉的遠端零時差漏洞。根據曝光資料的內容，這種情況可能性不大。國安局的工具主要用於攔截網路流量，包括竊聽網路主幹及通信內容。而Vault 7工具則強調本地技術，包括使用隨身碟或實體存取來實現攻擊掛載。
 
更容易實行的「入侵」途徑
 
事實上，以行動裝置入侵來說，最常見的手法其實是網路釣魚，直接針對的是使用者，而不是應用程式或裝置，這才是更容易實行的入侵途徑。
 
Google和Apple一直致力於防止惡意應用程式出現在官方的應用程式商店當中。另外，Android使用者需要變更系統設定才能安裝非官方來源的應用程式，在iOS則完全不提供類似選項。這也表示攻擊者幾乎不可能利用惡意程式執行未經授權的操作，例如，通訊記錄、擷取使用者操作、追蹤位置以及將檔案複製到遠端伺服器。
 
目前多數惡意應用程式採取偽造的應用程式商店，以及在網路論壇中提供安裝包的方式來欺騙使用者。
 
即使如此，應用程式可以執行的操作亦受到授權設定以及系統自身安全功能的限制。單一的應用程式本身無法自行讀取其他應用程式的資料，想要實現此類目標需要透過漏洞來穿過應用程式沙箱或避掉檔案系統的授權機制。這方面如先前提到的，並沒有辦法經由遠端來執行。
 
也就是說，如果你本身沒有自行安裝破解軟體，或是從網站下載不明來源的應用程式，那麼你便可以將受惡意軟體感染的可能性降至最低。雖然有些惡意程式會上架到Google Play上，但一般都會很快就被刪除下架。
 
所以對於使用者而言，要在行動裝置上遭遇入侵的常見方式其實大多跟應用程式或漏洞無關，反而往往是由於網路釣魚或者其他形式的社交工程手段而失去對帳號或憑證的控制能力。現行有不少付費應用程式能夠做到追蹤並監控裝置所有者，包含實現家長監控或者合作夥伴之間的監督效果，以遵循一致性的政策原則。
 
因此在衡量行動裝置入侵時，請特別留意網路釣魚和他人對裝置的接觸機會，這兩項才是最為可怕的攻擊實行途徑。千萬不要因一時的疏忽，而讓自己成為裝置入侵的幕後推手。
 
如您對SOPHOS產品想瞭解更多，歡迎洽詢SOPHOS台灣專業代理商 - 湛揚科技02-27353512，我們會提供您產品介紹與免費測試，讓您快速體驗SOPHOS強大有效的防護能力！
更多產品資訊，請上湛揚科技SOPHOS專區 http://www.t-tech.com.tw/SOPHOS.php 。
 
原文出處：http://www.infoworld.com/article/3179642/mobile-security/how-android-and-ios-devices-really-get-hacked.html