Introducción
Además de describir la información de identidad del dispositivo, la huella digital del dispositivo también puede identificar el estado del dispositivo en un momento determinado, lo cual es muy importante para los servicios de Internet. Sin embargo, bajo el sol, debe haber oscuridad. Hay un grupo de personas en Internet que utilizarán medios técnicos para infringir las normas y hacer que las huellas dactilares de los dispositivos sean ineficaces. El resultado es que el capital invertido se quemará. Algunas pequeñas y medianas empresas emergentes con una débil capacidad antiriesgo pueden incluso llegar a la quiebra. ¿Qué otras capacidades de seguridad pueden ofrecer las huellas dactilares de los dispositivos además de su capacidad de reconocimiento de identidad?
Medios de ataque
Como dice el refrán, conocerse a uno mismo y al enemigo es seguro que ganará cien guerras. Antes de responder a esta pregunta, necesitamos conocer algunos métodos de ataque de organizaciones o individuos malintencionados. Como se mencionó anteriormente, la generación de huellas dactilares del dispositivo depende principalmente de la información de algunos atributos del cliente, que incluye, entre otros, los siguientes:
● Información básica sobre el equipo
● Información de posicionamiento
● Información de red, como la IP celular local, la IP WIFI, la IP de origen, etcNext, echemos un vistazo a algunos de los principales métodos de ataque de organizaciones o personas malintencionadas.
A continuación, echemos un vistazo a algunos de los principales métodos de ataque de organizaciones o individuos malintencionados.
El software de manipulación de información del dispositivo
Es un tipo de malware que puede destruir la singularidad de la huella digital del dispositivo al alterar la información del dispositivo, haciendo que el dispositivo se convierta en un dispositivo nuevo en algún nivel.
Como todos sabemos, los dispositivos generales no tienen autoridad para modificar y afectar a otras aplicaciones. Para lograr este objetivo, una organización o individuo malintencionado a menudo necesita obtener una mayor autoridad en el sistema. Esta operación suele denominarse jailbreak (iOS) o ROOT (Android).
Una vez que una autoridad superior del sistema autorice el dispositivo, el software puede manipular la información del dispositivo a su antojo a través de HOOK para convertirlo en un dispositivo nuevo. Esta operación se lleva a cabo normalmente pulsando el botón del software de manipulación de información del dispositivo, por lo que el coste de crear un nuevo usuario para los atacantes es prácticamente nulo.
Entorno virtual
En los últimos años, con la mejora de la tecnología y el hardware, las vulnerabilidades de los clientes se han corregido gradualmente.
En la versión alta del sistema, el jailbreak y el ROOT se han vuelto muy difíciles. Por lo tanto, muchas organizaciones o individuos malintencionados también se centran en el entorno virtual. El entorno virtual, en resumen, es un entorno que utiliza el sistema operativo local para simular un sistema operativo compatible con la máquina local y ejecutar software en él.
El entorno virtual más común en el cliente es el simulador, que normalmente existe en el PC. Está diseñado para facilitar a los desarrolladores obtener el mismo entorno real que los dispositivos cliente en la medida de lo posible sin dispositivos reales. Por esta razón, los desarrolladores de simuladores también proporcionan algunas configuraciones convenientes, que incluyen, entre otras, las funciones de modificar la información del dispositivo y localizar la información mencionada anteriormente. Esta función se utiliza a menudo para manipular dispositivos. Por lo tanto, las aplicaciones de software que se ejecutan en este entorno presentan un alto riesgo.
ROM personalizada
El nombre completo de la ROM es Read Only Memory, también conocida como imagen de memoria de solo lectura. Reiniciar el sistema es el proceso de escribir la imagen ROM en la ROM.
Como todos sabemos, el sistema Android es de código abierto. Google permite a los usuarios modificar la imagen de la memoria y personalizar muchas funciones interesantes. Sin embargo, todo tiene dos caras. La libertad excesiva también causa un gran daño. Como los usuarios pueden personalizar y compilar el código fuente del sistema Android a su antojo, la API proporcionada por el sistema original ya no es fiable.
Por lo tanto, ejecutar aplicaciones de software en este entorno también es extremadamente peligroso.
Desciframiento de aplicaciones
Antes de que la aplicación esté en línea, los desarrolladores deben firmar el archivo binario de la aplicación y subirlo a la tienda. El descifrado de aplicaciones consiste en descompilar y descifrar la aplicación original firmada y restaurar el segmento binario cifrado a su estado anterior al cifrado.
Tras la restauración, los atacantes pueden atacar los dos niveles siguientes:
● Embalaje secundario
● Depuración de ataques
A continuación se describen los métodos de ataque específicos.
Envasado secundario
Los pasos del embalaje secundario son desempacar, insertar/manipular el código, generar un paquete nuevo, volver a firmarlo y ejecutarlo. La manipulación del código hace que el código original de la aplicación de software sea extremadamente poco fiable, lo que también afecta a la precisión de las huellas dactilares del dispositivo.
Depurar ataques
La depuración es originalmente un comportamiento de los desarrolladores de aplicaciones para modificar el código durante el desarrollo. Normalmente, esto solo debería ocurrir en la fase de desarrollo.
Sin embargo, la firma del archivo binario se destruyó tras la aplicación del craqueo. Los atacantes también tienen los mismos permisos que los desarrolladores para modificar el código. Esto es lo mismo que el empaquetado secundario, que también supone un riesgo para la empresa.
Ataque proxy
Entre los elementos que describen la singularidad del dispositivo, además de la ID del dispositivo, también hay información de ubicación IP e información de red, que se pueden utilizar para representar con precisión al usuario.
Además de la identificación del dispositivo, también hay información de ubicación IP e información de red que se puede usar para describir con precisión la ubicación del usuario. El software proxy (como Shadowrocket) que existe en el mercado puede falsificar fácilmente la información anterior e incluso puedes obtener fácilmente estas herramientas en los motores de búsqueda. Al ver el tutorial, incluso si eres un poco blanco, puedes aprenderlas y usarlas rápidamente.
Además, los datos de la interfaz de las aplicaciones de software pueden robarse y modificarse a través del proxy HTTP.
Ubicación virtual
La ubicación virtual se refiere a los usuarios que utilizan medios técnicos para falsificar la información de ubicación actual con el fin de lograr algunos propósitos. Los escenarios comerciales más comunes incluyen el registro de clientes, la recolección regional de cupones, etc.
En principio, hay dos ataques principales para lograr la ubicación virtual.
Manipulación de software
Este método a menudo depende de Jailbreak/root y del entorno del simulador, y el objetivo de sus ataques es principalmente la API relacionada con el posicionamiento del sistema.
Por lo tanto, los riesgos solo se pueden identificar detectando el entorno de ejecución y la API de ubicación.
Manipulación de señales GPS
El archivo GPX es una serie de archivos estándar que describen la información de ubicación del dispositivo. El sistema permite a los desarrolladores usar archivos GPX para simular señales GPS y modificar la información GPS recibida por el módulo GPS del dispositivo, para lograr el propósito de ubicación virtual. Esto proviene de la puerta trasera que el sistema abre a los desarrolladores. Está diseñado para permitir a los desarrolladores simular y ejecutar mejor las funciones actuales relacionadas con el posicionamiento en el dispositivo.
Sin embargo, esta práctica función ha sido modificada intencionalmente por algunas personas para crear software de PC o complementos periféricos para hacer trampas de ubicación.
¿Qué podemos hacer?
Después de presentar varios métodos de ataque convencionales, hablaremos sobre cómo contrarrestar el ataque de organizaciones malintencionadas mediante la huella digital del dispositivo.
Detectar el entorno operativo
Los escenarios de software de manipulación de información del dispositivo y entornos virtuales que acabamos de mencionar requieren que la aplicación se ejecute en entornos virtuales, como dispositivos de jailbreak/root o simuladores. Por lo tanto, podemos recopilar las características ambientales anteriores e informarlas al servidor, y tomar decisiones empresariales en función del entorno durante la actividad empresarial.
Detectar la instalación de malware
No todas las organizaciones malintencionadas son geeks magistrales. A menudo compran algún conocido software de manipulación de información de dispositivos a algunos desarrolladores individuales u organizaciones de ventas para manipularlo por lotes.
Por lo tanto, podemos establecer un mecanismo de lista negra de aplicaciones. Una vez que se descubre que este tipo de aplicación de lista negra está instalada en el dispositivo, puede suponer un riesgo para la empresa.
Detectar ROM
Los detalles determinan el éxito o el fracaso. Aunque la libertad de una ROM personalizada es muy alta, los desarrolladores de ROM maliciosas a menudo no pueden hacer todo sin filtraciones. En la limitada información recopilada por el dispositivo, aún podemos encontrar algunas pistas que demuestran que esta ROM no es nativa. Dado que el esquema es relativamente abierto, el método de detección no se discutirá aquí.
Compruebe la exactitud de la firma y la integridad binaria
Para evitar que se descifre el código del cliente, los desarrolladores de aplicaciones reforzarán y protegerán la aplicación a nivel de código. Para lograr el objetivo del ataque, los atacantes primero deben reforzar la aplicación y descifrar el código, modificar la lógica central y, a continuación, volver a empaquetar la aplicación. La huella digital del dispositivo no proporciona funciones de refuerzo del código, que es el ámbito de servicio del fabricante del refuerzo. Sin embargo, las huellas digitales del dispositivo permiten comprobar la integridad de los archivos binarios. En función de esto, las huellas digitales del dispositivo pueden marcar las aplicaciones no publicadas. Como la aplicación de software que se ejecuta en el dispositivo está firmada y cifrada, solo los atacantes pueden descifrar el archivo. Si el archivo de firma no se filtra, se puede considerar que las aplicaciones que no cumplen con la verificación de integridad del archivo binario se reconstruyen después de haber sido modificadas o descifradas por los atacantes, lo que supone un alto riesgo.
Detecta el comportamiento de depuración
El principio de la depuración consiste en adjuntar el proceso depurado a la aplicación de destino en ejecución y controlar la aplicación mediante el envío de instrucciones.
Por lo tanto, el comportamiento de detectar la conexión de una aplicación es muy válido. Hay muchos métodos de detección, pero no hablaremos de ellos aquí.
Detecta el comportamiento del agente
Al usar el proxy, el sistema crea diferentes interfaces y puertos de red. En la actualidad, el sistema también proporciona interfaces API relevantes para obtener información del proxy.
Por lo tanto, es muy efectivo obtener directamente la información del agente para identificar el comportamiento del agente.
Por otro lado, el proxy también reenvía datos al servidor proxy, que generalmente no se encuentra en la región local.
Por lo tanto, la verificación multidimensional de la información de la estación base, la información de IP y la información de ubicación también puede determinar si el usuario está haciendo trampa mediante el uso de un proxy.
Detectar la ubicación virtual
Como mencionamos anteriormente, la ubicación virtual tiene dos modos de ataque y hemos dado diferentes sugerencias de protección para los diferentes modos.
Manipulación de software
Este método debe basarse en el entorno Jailbreak/root o del simulador y debe usar HOOK para localizar las API relacionadas y lograr el propósito de localizar la manipulación.
Por lo tanto, podemos identificar los riesgos detectando el entorno operativo y localizando si las API relevantes son HOOK.
Manipulación de señales GPS
El método de manipulación de la señal GPS es relativamente complejo y puede actuar en dispositivos normales. Como es una aplicación de software de baja autoridad, es difícil de desactivar.
Como aplicación de software con pocos privilegios, la confrontación es difícil.
Afortunadamente, hay más formas que dificultades. Damos algunas sugerencias de la siguiente manera:
● Verificación de información GPS. A través del análisis de macrodatos, descubrimos que, para simplificar la implementación de algún software de ubicación virtual, los datos de posicionamiento simulados son muy aproximados. Es posible que hayan modificado la longitud y la latitud para lograr el propósito de alterar la ubicación. Pero pasaron por alto algunos detalles. Mantener la misma longitud y latitud durante mucho tiempo y una altitud y velocidad anormales aumentará considerablemente la sospecha de la ubicación virtual del usuario.
● La información de ubicación geográfica se analiza mediante la recopilación de la dirección IP y la información de la estación base, y se compara con la información de posicionamiento recopilada actualmente. Si la diferencia es muy grande, básicamente se puede confirmar que el usuario utiliza la ubicación virtual.
Epílogo
El camino es alto, un pie, el espíritu maligno es alto, una unidad de longitud. La confrontación ofensiva y defensiva es un tema eterno.
La huella digital del dispositivo también necesita reforzar constantemente su escudo para luchar contra la lanza cada vez más afilada que producen las organizaciones malintencionadas.
.jpeg)
.jpeg)
.jpeg)
