ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩(清华大学网络研究院网络空间安全实习生)、戴亦仑(赛宁网安) 原创翻译作品,如果需要转载请取得翻译作者同意。

数据来源:ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1478

术语表: /attack/glossary

安装不安全或恶意配置

攻击者可能会尝试在移动设备上安装不安全或恶意的配置设置,例如使钓鱼电子邮件或文本消息直接包含配置设置附件,或包含指到配置设置的 web 链接。设备用户可能通过社工被欺骗, 然后安装配置设置。例如,可以将不需要的证书颁发机构 (CA) 证书放在设备的可信证书存储中,从而增加设备对试图窃听或操纵设备的网络通信的中间人网络攻击的易感性(窃听不安全的网络通信并操纵设备通信)。在 iOS 上,恶意的配置文件可能包含不需要的证书颁发机构 (CA) 证书或其他不安全设置,如不需要的代理服务器或 VPN 设置,以通过攻击者的系统路由设备的网络流量。该设备还可能被注册到恶意移动设备管理(MDM)系统 。

缓解

缓解 描述
使用最近的 OS 版本 iOS 10.3 及更高版本为用户安装新的可信 CA 证书添加了额外的步骤,从而使用户更难安装它们。在 Android 上,针对与 Android 7 及更高版本(API 级别 24)兼容的应用程序默认只信任与操作系统捆绑在一起的 CA 证书,而不是用户或管理员添加的 CA 证书,因此缓解了他们对成功的中间人攻击的易感性。[3] [4]
用户指导 通常未经用户同意,不会安装不安全或恶意的配置设置。建议用户不要安装意外的配置设置(CA 证书,iOS 配置文件,移动设备管理服务器配置)。

检测

在 Android 上,用户可以通过设备设置查看受信任的 CA 证书,并查找非预期的证书。移动安全产品可以类似地检查可信 CA 证书存储中的异常。

在 iOS 上,用户可以通过设备设置查看已安装的配置文件,并查找非预期的配置文件。移动设备管理(MDM)系统可以使用 iOS MDM API 检查已安装的配置文件列表以查找异常。