翻譯自Top Mobile Security Stories of 2019
正如回顧2019年十大移動安全案例所顯示的那樣，賽博空間中的犯罪分子越來越多地將移動用戶作為目標(biāo)。對于不斷擴張的企業(yè)而言，移動攻擊載體也會隨著業(yè)務(wù)擴展而顯著擴大，迫使諸多公司重新考慮其安全要求。而對于消費者而言，保護個人隱私數(shù)據(jù)的唯一希望是提高安全意識。

1. 蘋果公布漏洞雙金

2019年12月，蘋果官方公布了其歷史悠久的私人漏洞賞金計劃，同時將最高將近提高到100萬美元（比如在具有完整內(nèi)核并在蘋果最新硬件完整運行的零點擊遠(yuǎn)程鏈）。這筆將近數(shù)目，相比之前私人計劃的，微不足道的最高200,000美元將近而言，已經(jīng)有了巨大進步。但是這家科技巨頭尋找的是能提交漏洞的完整漏洞利用。其他的獎金范圍從25,000美元到500,000美顏不懂，涉及包括Macs，iPhone和iPad以及Apple TV在內(nèi)的一系列產(chǎn)品。

2. 蘋果漏洞激增

提到蘋果漏洞，iOS漏洞在整個2019年都有出現(xiàn)，其中包括“ AirDoS”漏洞，該漏洞能夠讓附近的黑客可以通過文件交換功能AirDrop，使iPhone和iPad無法使用。在6月，發(fā)現(xiàn)了一個iMessage漏洞，使運行舊版本IOS的iPhone運行速度變慢。另外發(fā)現(xiàn)了其他5個iMessage漏洞，這些錯誤不需要用戶進行交互，其中一個漏洞允許遠(yuǎn)程攻擊者訪問iOS設(shè)備上存儲的內(nèi)容。在一次歷經(jīng)數(shù)年的水坑攻擊中，發(fā)現(xiàn)有5個漏洞利用連用到了14個iPhone漏洞，其中2個在2月被披露為0 Day 漏洞。

3. WhatsApp起訴NSO集團

2019年5月，WhatsApp被警告在其消息平臺中發(fā)現(xiàn)的0 Day漏洞，攻擊者可以利用該漏洞在特定活動中將間諜軟件植入到受害者的手機中。2019年晚些時候，WhatsApp所有者Facebook起訴了以色列公司NSO Group，指控其自己開發(fā)監(jiān)控代碼，并使用易受攻擊的WhatsApp服務(wù)器將惡意軟件發(fā)送到大約1,400臺移動設(shè)備，這些移動使用設(shè)備大多屬于全球人權(quán)活動家，新聞工作者等其他民間團體成員。 NSO總裁后來在一次會議上針對這一問題閃爍其詞。

4. StrandHogg偽裝Android APP

2019年秋天，研究人員發(fā)現(xiàn)了一個名為StrandHogg的Android新漏洞，該漏洞可能使惡意軟件偽裝成流行的應(yīng)用程序并要求各種權(quán)限。使黑客能夠監(jiān)聽用戶，拍照，閱讀和發(fā)送SMS消息，并基本上接管了各種功能，仿佛他們就是設(shè)備的所有者。StrandHogg會覆蓋并偽裝成人們經(jīng)常使用的移動應(yīng)用程序（比如Facebook）。該漏洞會影響所有Android設(shè)備（包括運行Android 10的設(shè)備），并威脅最受歡迎的前500個應(yīng)用。

5. Checkra1n 越獄漏洞

一個被稱為“ checkm8”，無法修復(fù)的iPhone BootROM漏洞，在2019年以來影響了數(shù)億部iPhone，攻擊者可以通過不可阻擋的越獄獲得系統(tǒng)級權(quán)限。很快又出現(xiàn)了一種名為checkra1n的漏洞，該漏洞使用戶可以繞過DRM限制來運行未經(jīng)授權(quán)的和自定義的軟件。 Checkra1n還讓用戶容易從App Store外部下載流氓軟件或不穩(wěn)定應(yīng)的APP。同時，一個假冒網(wǎng)站聲稱能夠使iPhone用戶下載Checkra1n（但最終下載了點擊欺詐的游戲應(yīng)用）。

6. 移動網(wǎng)絡(luò)釣魚套件應(yīng)運而生

2019年4月，移動領(lǐng)域出現(xiàn)了新的趨勢：移動網(wǎng)絡(luò)優(yōu)先釣魚。專門針對美國Verizon Wireless客戶的工具包會通過電子郵件向用戶推送網(wǎng)絡(luò)釣魚鏈接，并偽裝成來自Verizon客戶支持的消息。這些是為移動查看量身定制的：在臺式機上打開惡意URL時，它看起來草率且顯然不合法-但是，在移動設(shè)備上打開時，它看起來像Verizon客戶支持應(yīng)用程序所期望的。

7. 聚焦5G

2019年，5G網(wǎng)絡(luò)的安全性首次成為熱門話題。5G，作為下一代移動技術(shù)有望實現(xiàn)超低延遲和指數(shù)級的吞吐量，從而為新的商務(wù)場景和應(yīng)用鋪平道路，例如遠(yuǎn)程手術(shù)，自動駕駛汽車，按需配電等等。但是，在這些情況下，網(wǎng)絡(luò)攻擊實際上可能成為生死攸關(guān)的問題。隨著5G的許多安全協(xié)議和算法都從先前的4G標(biāo)準(zhǔn)移植而來，研究人員已經(jīng)發(fā)現(xiàn)5G缺陷，例如設(shè)備指紋識別繞過和中間人（MiTM）攻擊。

8. 數(shù)據(jù)搜集APP

2019年早些時候，Twitter和Facebook警告說軟件開發(fā)工具包（SDK）可以嵌入到移動應(yīng)用程序中，并用于抓取個人資料信息，例如電子郵件地址，用戶名，性別，最新推文等。這些技術(shù)巨頭表示，由oneAudience和MobiBurn維護的SDK違反了兩家公司的數(shù)據(jù)隱私政策，該政策禁止第三方收集個人資料信息以用于數(shù)據(jù)貨幣化。這是在劍橋分析公司（Cambridge Analytica）丑聞之后實施的一項變更，此事圍繞社交媒體隱私產(chǎn)生持續(xù)討論。

9. Retina X 跟蹤軟件

在首次打擊“跟蹤器軟件”時，聯(lián)邦貿(mào)易委員會禁止銷售三個用于監(jiān)視孩子和雇員的APP，這些APP可以安裝在設(shè)備上以跟蹤其所有者的位置，活動等。這些應(yīng)用程序來自一家名為Retina-X Studios的公司，聯(lián)邦貿(mào)易委員會表示，由于這些應(yīng)用程序被設(shè)計在后臺秘密運行，因此特別適合違法活動和危險用途，尤其是在家庭暴力情況下。與此同時，在2019年11月，反跟蹤軟件聯(lián)盟成立了，以幫助跟蹤軟件的受害者，涉及跟蹤軟件的案例在2019年增加了300％以上。

10. 生物識別繞過

盡管指紋傳感器和Face ID吹捧提供了最佳的移動安全性，但2019年出現(xiàn)了一些技術(shù)繞過的情況。例如，三星Galaxy S10指紋傳感器在一次黑客攻擊中被欺騙，該黑客從酒杯中克隆了3D打印指紋。三星在今年晚些時候承認(rèn)，如果將第三方硅殼包裝在手機上，那么任何人都可以繞過Galaxy S10指紋傳感器。去年10月，Google因其Pixel 4面部識別解鎖功能而受到抨擊，有用戶表示即使閉上眼睛也能。而且在八月，研究人員透露繞過了蘋果Face ID的方法。