Wydaje się, że istnieje nieskończenie wiele sposobów, w jaki twoje urządzenie mobilne może zostać zaatakowane. Z przerażających obrazów umysłowych przebiegłych hakerów chipping away na naszych urządzeń mobilnych bezpieczeństwa, to łatwo zapomnieć, że najczęstszym sposobem na urządzenie być zagrożone jest przez nieostrożne działania przez użytkownika końcowego. Jednym z takich działań jest ładowanie do urządzenia ryzykownych aplikacji.

Co to jest sideloading?

Sideloading, w kontekście bezpieczeństwa mobilnego, to proces dodawania aplikacji, która nie została zatwierdzona przez twórcę systemu operacyjnego urządzenia. Wszystkie aplikacje znajdujące się w App Store lub Google Play Store zostały zweryfikowane przez odpowiednie organizacje. Chociaż zdarzały się przypadki złośliwych aplikacji znalezionych zarówno w App Store, jak i Play Store (częściej w Google Play Store), oficjalne sklepy z aplikacjami działają jako dodatkowy filtr, blokując zdecydowaną większość złośliwych aplikacji przed dotarciem do użytkownika końcowego.
Sideloading umożliwia dostęp do aplikacji, które są niedostępne w oficjalnych sklepach z aplikacjami z dowolnego z wielu powodów. Aplikacje z innych źródeł mogą nie być sprawdzane pod kątem bezpieczeństwa i mogą mieć złośliwe zamiary, ale często użytkownicy instalują je na swoich urządzeniach, otwierając się na zagrożenia. W przypadku urządzeń Apple, to często (choć nie zawsze) wymaga, aby urządzenie było jailbroken.

Jaka jest różnica między jailbreaking, rooting i sideloading?

Termin 'jailbreaking’ może odnosić się do każdego rodzaju urządzenia mobilnego, ale ogólnie odnosi się do urządzeń Apple. Apple utrzymuje wysoki poziom bezpieczeństwa urządzeń, ograniczając wszystkie urządzenia, aby umożliwić tylko aplikacje pobrane z oficjalnego App Store. Jailbreaking jest metodą obejścia tego wymogu poprzez zwiększenie uprawnień użytkownika na urządzeniu. Użytkownicy nadal mają dostęp do wszystkich normalnych funkcji urządzenia, ale są w stanie instalować aplikacje ze źródeł innych niż App Store.
Google nie blokuje systemu operacyjnego Android tak bardzo jak Apple – podczas gdy domyślna konfiguracja nie pozwala na aplikacje sideloaded, możliwe jest, aby zmienić ustawienie, aby umożliwić aplikacje ze źródeł zewnętrznych. Z naszych badań wynika, że około 20% urządzeń ma to ustawienie włączone. Ta metoda wydaje się mniej ryzykowna niż jailbreaking, ale otwiera urządzenie na zagrożenia w dokładnie taki sam sposób.
Rooting jest często mylony jako Androidowa wersja jailbreakingu. Podczas gdy rootowanie jest podobne do jailbreakingu w tym sensie, że oba są eskalacją przywilejów, rootowanie zapewnia dużo więcej wolności użytkownikom Androida. Tak zwany, ponieważ zapewnia dostęp root do urządzenia, rootowanie pozwala na znacznie większe uprawnienia superużytkownika, dzięki czemu użytkownicy mogą dokonywać drastycznych zmian – aż do zmiany systemu operacyjnego urządzenia włącznie.

Jakie aplikacje są sideloadingiem moich pracowników?

Nasze badania pokazują, że istnieje ogromna różnorodność aplikacji przenoszonych na urządzenia firmowe, ale udało nam się skategoryzować pięć najczęściej przenoszonych aplikacji:

Aplikacje biznesowe tworzone na zamówienie

Aplikacje tworzone na zamówienie oferują znaczne korzyści dla organizacji, umożliwiając działowi IT dostosowanie aplikacji do konkretnych przypadków użycia w różnych działach firmy. Na przykład, jeden z naszych klientów zbudował i wdrożył niestandardową aplikację, dzięki której personel medyczny mógł aktualizować dane pacjentów i zamawiać recepty przy łóżku, minimalizując administrację i zwiększając czas spędzany z pacjentami.
Aby wdrożyć niestandardowe aplikacje, firmy zazwyczaj muszą ominąć oficjalne sklepy z aplikacjami, ponieważ nie chcą, aby ich aplikacje były powszechnie dostępne ze względu na poufne informacje, które przenoszą. Na przykład, aplikacja HR z katalogiem pracowników zawiera dane osobowe pracowników, a wewnętrzne aplikacje informacyjne firmy zawierają poufne informacje korporacyjne. Zrozumiałe jest, dlaczego dział IT chciałby znaleźć inny sposób udostępnienia tych aplikacji użytkownikom bez zwiększania złożoności poprzez dodanie autoryzacji użytkownika.

Jakie jest ryzyko?

Sideloading aplikacji jest zazwyczaj niebezpieczną praktyką, ale w tym przypadku jest to powszechna praktyka i preferowana metoda dystrybucji. Organizacja może zagwarantować, że dana aplikacja została zaprojektowana bez złych intencji i może spełniać pożądane poziomy bezpieczeństwa. Gdyby organizacja zablokowała urządzenia w celu umożliwienia korzystania z aplikacji, ryzykowne aplikacje mogłyby zostać pobrane i zainstalowane, dlatego bardziej prawdopodobne jest zastosowanie innych metod. Albo przez preinstalowanie profilu certyfikatu, który niestandardowa aplikacja jest podpisana, lub za pomocą narzędzia Enterprise Mobility Management (EMM).
Firmy, które mają niestandardowe aplikacje często zlecają ich rozwój osobom trzecim. Problem z tymi zewnętrznymi deweloperami polega na tym, że nie egzekwują oni solidnego procesu weryfikacji w celu wychwycenia problemów związanych z wydajnością i bezpieczeństwem, takich jak np. niepewne połączenia sieciowe. Wandera niedawno odkryła firmową aplikację szkoleniową HR, która nie chroniła nazw użytkownika i haseł logujących się użytkowników, które były tymi samymi danymi, których używali oni do logowania się na firmowych kontach e-mail.
Jeszcze jedna rzecz do rozważenia – te tworzone na zamówienie aplikacje będą zoptymalizowane pod kątem istniejącego systemu operacyjnego, więc kiedy Apple lub Android wprowadzą aktualizację systemu operacyjnego, niektóre funkcje aplikacji mogą się zepsuć. To dlatego korzystanie z usługi kontrolowania aktualizacji systemu operacyjnego jest pomocne w zapewnieniu, że niestandardowe aplikacje nadal działają optymalnie.
Ryzyko – 1/5

Sklepy z aplikacjami stron trzecich

Sklep Apple App Store dla systemu iOS i Sklep Google Play dla systemu Android to dwa największe kanały dystrybucji aplikacji mobilnych. Ale jest wielki zły świat trzecich sklepów z aplikacjami i aplikacji, które istnieją poza tymi dwoma głównymi graczami. W rzeczywistości istnieje ponad 300 sklepów z aplikacjami na całym świecie, a liczba ta nadal rośnie.
Zgodnie z naszymi danymi, jedną z najpopularniejszych aplikacji stron trzecich dla korporacyjnych urządzeń iOS jest Tutuapp, pierwotnie chiński sklep z aplikacjami, który wydał angielską wersję w 2017 roku. Tutuapp jest znany z hostowania zmodyfikowanych lub zhakowanych wersji popularnych gier, w tym wersji Pokemon Go, w której gracz nie musi się poruszać, aby znaleźć i złapać Pokemona. Aplikacje hostowane na Tutuapp nie są mocno weryfikowane w taki sam sposób, jak te w Google Play i App Store.
Na Androidzie instalacja sklepów z aplikacjami innych firm nie jest tak powszechna, ponieważ użytkownik może po prostu odwiedzić stronę internetową aplikacji i pobrać ją prosto z przeglądarki, o ile ustawienie zostało włączone, aby umożliwić pobieranie z nieznanych źródeł.
Still, są to dwa najpopularniejsze sklepy z aplikacjami stron trzecich, z których użytkownicy Androida sideload:

1. Aptoide
2. Amazon Appstore

Amazon zatwierdza wszystkie aplikacje przed opublikowaniem ich w sklepie, w bardzo podobny sposób jak Apple – sugerując, że Amazon Appstore sam w sobie jest stosunkowo bezpieczny. Aptoide, z drugiej strony, jest mniej wiarygodne.
Aptoide ma funkcję skanowania wirusów (oznaczoną symbolem tarczy przy ikonie aplikacji), ale nadal będzie publikować aplikacje, które nie zostały przeskanowane, otwierając klientów na potencjalne zagrożenia. Podczas gdy nic nie wskazuje na to, że sama aplikacja Aptoide zawiera złośliwe oprogramowanie, aplikacje, które oferuje, mogą stanowić zagrożenie.

Jakie jest ryzyko?

Podczas gdy większość aplikacji sklepów z aplikacjami firm trzecich może być wolna od złośliwego oprogramowania i stosunkowo bezpieczna, zachowania, które umożliwiają, stanowią o wiele większe zagrożenie. Można bezpiecznie założyć, że każdy, kto sideloadinguje sklep z aplikacjami firm trzecich, planuje zainstalować jedną lub więcej aplikacji hostowanych przez te sklepy. Ponieważ większość tych sklepów z aplikacjami nie egzekwuje rygorystycznej weryfikacji bezpieczeństwa aplikacji, które oferują, może to sprawić, że każde urządzenie, na którym zostały one zainstalowane, będzie szczególnie podatne na zagrożenia.
Ryzyko – 5/5

Gry

Po aplikacjach tworzonych na zamówienie i sklepach z aplikacjami innych firm, najczęstszym powodem sideloading’u aplikacji jest instalacja gier, które nie są dostępne w oficjalnych sklepach z aplikacjami. Według naszych danych, 10 procent pracowników gra na swoich urządzeniach firmowych na co dzień.
Najważniejszym przykładem popularnej gry, która musi być sideloadered jest Fortnite dla Androida. Kiedy Epic Games podjęło decyzję o ominięciu sklepu Google Play i zaoferowaniu tej bardzo oczekiwanej gry wyłącznie za pośrednictwem własnej strony internetowej, my (i inni eksperci ds. bezpieczeństwa) szybko poinformowaliśmy o zagrożeniach, które obejmują normalizację ryzykownej konfiguracji, dystrybucję fałszywych gier Fortnite i ataki phishingowe oparte na Fortnite.
Krótko po tym zespół ds. bezpieczeństwa Google odkrył lukę w instalatorze Fortnite. To może być wykorzystane przez inne aplikacje na urządzeniu, aby porwać żądanie pobrania Fortnite z Epic Games do potajemnego pobrania czegokolwiek innego, w tym złośliwego oprogramowania lub oprogramowania szpiegującego. Dzięki firmie Epic, luka została szybko załatana.

Jakie jest ryzyko?

Pracodawcy mogą uważać, że instalowanie gier na urządzeniach firmowych jest wystarczająco szkodliwe dla produktywności. Jednak potencjalne zagrożenie, jakie niosą ze sobą gry sideloaded, jest znaczące. Bez dodatkowej warstwy bezpieczeństwa, jaką jest screening aplikacji Apple lub Google, luki i złośliwe treści mogą pozostać niewykryte, narażając urządzenie na wiele zagrożeń. Nawet jeden z głównych wydawców gier, Epic Games, nie był w stanie zagwarantować bezpieczeństwa swojej flagowej gry mobilnej – a dzięki „wczesnym wersjom”, zmodyfikowanym wersjom i fałszywym „przewodnikom”, gry są łatwym celem dla osób o złych zamiarach.
Ryzyko – 4/5

„Darmowe” oglądanie filmów

Ponieważ prędkości przesyłu danych i zasięg mobilnego Internetu wzrosły w ciągu ostatnich kilku lat, wzrosło również wykorzystanie urządzeń mobilnych do strumieniowego przesyłania filmów i telewizji. Powszechne jest, że użytkownicy mobilni strumieniują filmy w całości na swoich urządzeniach, a więc liczba aplikacji dostarczających treści wzrosła.
Oprócz legalnych usług, takich jak Netflix czy Amazon Prime Video (aplikacja, która kiedyś była regularnie sideloadowana, dopóki nie została dodana do Google Play Store w 2017 roku), szereg aplikacji oferujących darmowe oglądanie filmów jest regularnie sideloadowanych do urządzeń korporacyjnych. Najpopularniejsze z nich dla iOS to MovieBox i CotoMovies (dawniej Bobby Movie lub Bobby HD), przy czym 50% firm ma zainstalowaną przynajmniej jedną z tych dwóch aplikacji. CotoMovies jest przykładem aplikacji sideloaded, która nie wymaga, aby iPhone był jailbroken – ale użytkownik musi zmienić ustawienia profilu na urządzeniu, co może uczynić go szczególnie podatnym na atak.
Niestety, istnieje wiele problemów z tymi aplikacjami – przede wszystkim wśród nich jest to, że te aplikacje są nielegalnie pirackie filmy, które reklamują. Aplikacje zatwierdzone przez Apple lub Google nie pozwalają na żadną nielegalną działalność, ale w przypadku aplikacji sideloaded nie ma gwarancji.
Strumieniowe przesyłanie wideo jest szczególnie intensywne, co może prowadzić do potencjalnych opłat za przekroczenie limitu danych, jeśli nie jest monitorowane. Jest to niebezpieczeństwo związane z wszystkimi aplikacjami do przesyłania strumieniowego, w tym legalnymi. Jednak niektóre nielegalne aplikacje do przesyłania strumieniowego mogą przynieść inny problem z danymi. Moviebox jest usługą peer-to-peer, co oznacza, że podczas gdy użytkownik pobiera plik, będzie go również przesyłał – prawdopodobnie nie wiedząc o tym.

Jakie jest ryzyko?

Na pierwszy rzut oka widać, że darmowe przeglądarki filmów wiążą się z wieloma problemami. Są one zdecydowanie ryzykowne z punktu widzenia bezpieczeństwa mobilnego, ale także stwarzają problemy z wykorzystaniem danych i produktywnością. Co gorsza, używanie ich do oglądania filmów oznacza udział w piractwie – nie jest to dokładnie ten rodzaj rzeczy, który chciałbyś mieć na urządzeniu firmowym.
Ryzyko – 3/5

Rynek kryptowalut

W ciągu ostatnich kilku lat, kryptowaluty takie jak bitcoin nabrały rozpędu. Gdy ludzie stali się milionerami praktycznie z dnia na dzień, wszyscy szukają kolejnego sukcesu. Stworzyło to rynek gotowy do nadużyć – nie tylko ze względu na merkantylny charakter kryptowalut i sposobu, w jaki się nimi handluje.
Istnieje znaczna liczba aplikacji do handlu kryptowalutami i stanowią one piątą najczęstszą kategorię aplikacji, które są sideloaded na urządzenia. Najpopularniejszą aplikacją kryptowalutową sideloadowaną na urządzenia z systemem iOS jest Binance.
Niezweryfikowane aplikacje do handlu finansami są niezwykle cennym celem dla złośliwych aktorów – przekazywanych jest bardzo dużo informacji finansowych i istnieje możliwość osiągnięcia znacznych zysków (oraz znacznych strat osobistych dla nieostrożnego użytkownika). Zagrożenia dla tych aplikacji mogą przybrać formę luk, które są pomijane przez niedbałych deweloperów lub fałszywych wersji aplikacji, które ukradną wszystkie informacje w nich zawarte.
Inną aplikacją, która wzbudza podejrzenia jest Kucoin. To jest w Google Play Store, ale nie App Store. Dla iOS, to może być sideloaded ale wymaga profilu do zainstalowania, i został stworzony przez „Meridian Medical Network Corp.” – Nietypowe żądania, takie jak to, często mogą być znakiem ostrzegawczym. Był również co najmniej jeden przypadek stworzenia fałszywej aplikacji Kucoin.

Jakie jest ryzyko?

Jak w przypadku wszystkich innych najczęstszych kategorii aplikacji sideloaded, istnieje nieodłączne ryzyko wynikające z braku nadzoru nad bezpieczeństwem poszczególnych aplikacji. Wszelkie przypadkowe exploity będą polowane i narażone, i nie będzie celowo złośliwe aplikacje tam, że nieostrożny użytkownik może zainstalować umieszczenie ich na ryzyko osobistych szkód finansowych.
Ryzyko – 2/5 dla organizacji – 4/5 dla użytkownika końcowego aplikacji

Wszystko inne

Objęliśmy tylko pięć najczęstszych typów aplikacji sideloaded – istnieje mnóstwo innych, które użytkownicy mogą zainstalować, aby uzyskać dodatkowy dostęp do swojego urządzenia, lub obejść politykę, którą Google i Apple utrzymują w swoich odpowiednich sklepach z aplikacjami. Pomoce do rootowania, treści dla dorosłych, nawet czytniki pdf zostały pokazane, aby zawierać złośliwe treści, a kiedy sideloaded, nie ma bardzo mało gwarancji, że aplikacja jest bezpieczna. To wszystko potwierdza, że odpowiedni nadzór i widoczność jest niezbędna do zapewnienia pełnego bezpieczeństwa mobilnego.

Co mogę zrobić?

Po pierwsze zebraliśmy wszystkie identyfikatory AppID aplikacji wspomnianych w tym artykule (znajdziesz je na dole tej strony), więc możesz mieć oko na nie na swoich urządzeniach – powinieneś być w stanie wyświetlić wszystkie zainstalowane identyfikatory AppID, jeśli używasz rozwiązania EMM.
Po drugie, należy rozważyć zainwestowanie w rozwiązanie bezpieczeństwa, które może stale monitorować i blokować pojawiające się zagrożenia w całej flocie, gdziekolwiek mogą one być uruchamiane na urządzeniu. Jeśli chodzi o aplikacje sideloaded, należy szukać rozwiązania, które będzie oznaczać niebezpieczne ustawienia na urządzeniu (takie jak zezwalanie na pobieranie z nieznanych źródeł lub bycie jailbroken), blokować aplikacje, które zostały zaznaczone jako niepożądane, i powiadamiać o aplikacjach, które wyświetlają niebezpieczne działania, takie jak exfiltracja danych.
Jeśli chciałbyś dowiedzieć się więcej na temat ochrony swojej organizacji przed zagrożeniami mobilnymi, skontaktuj się z jednym z naszych ekspertów ds. mobilności już dziś.

3rd Party App Stores

Tutuapp

iOS: com.tutuapp.tutuapphwenterprise, com.wjxhw.yhyy
Android: com.feng.droid.tutu
Aptoide
Android: cm.aptoide.pt

Games

Fortnite Installer
Android: Com.epicgames.portal

Darmowe aplikacje filmowe

Movie Box
iOS: com.sull.videofun, com.vshare.move, com.tweakbox.moviebox
BobbyHD/Cotomovies
iOS: bobb.bcc.com, com.tweakbox.bobbymovie, bobby.bcc.movie, bobby.movie.bcc

Kryptocurrency

Binance
iOS: com.binanceInternational.app, com.bijie.Binance, com.forbnbsignedinternational.app, com.NATELOO20180329.internalApp, com.InternaluseSignbnbCloud.bnbapp, com.internalUseSign180322.app
Kucoin
iOS: Com.koins.nb, com.kucoin.KuCoin.App

.