По-вероятно е да бъдете ударени от мълния, отколкото заразени с мобилен зловреден софтуер

По време на конференцията на RSA 2015 изследователи от охранителната фирма Damballa обявиха, че в Съединените щати е много по-вероятно да бъдете поразени от мълния, отколкото заразени с мобилен зловреден софтуер. Въпреки че това подкрепя предишно проучване, проведено от компанията, Дамбала откри нещо много странно, случващо се на мобилни устройства.

Проследяване на злонамерен трафик

Бизнесът на Дамбала е автоматизирана защита срещу нарушения, базирана на анализи на големи данни. Докато работи с основен безжичен оператор в САЩ, Дамбала успя да сравни данните за трафика с известни злонамерени URL адреси, извлечени от около 70 000 проби от зловреден софтуер за мобилни устройства. "Това беше малко ръчен процес за премахване на често срещаните домейни, които вероятно не са свързани със злонамерен софтуер", обясни старши научен изследовател Чарлз Левър. "Беше болезнено."

В своите изследвания Lever каза, че Damballa няма достъп до полезните товари от тези предавания, а само до URL адресите. Компанията даде да се разбере, че няма видимост в данните на клиентите.

Обхватът на изследването на Дамбала е огромен, като се съсредоточава върху около 151 милиона устройства на ден, което е повече от 25 милиона, когато компанията проведе проучването през 2012 г. Компанията заяви, че това представлява 50 процента от мобилния трафик на данни в САЩ, но от Тези компании видяха само около 9 688 устройства, които достигат до URL адреси, свързани с мобилен зловреден софтуер.

Това се оказва, че.0064 процента от трафика е злонамерен. В прессъобщението на компанията Дамбала заяви, че официалните шансове на Националните метеорологични служби да бъдат поразени от мълния са значително по-високи от 1, 3 процента.

Безопасен Хейвън

Левър каза, че заключенията на изследването подкрепят идеята, че докато мобилният зловреден софтуер е обсъждан много в кръговете за сигурност (и от този автор). "Намираме много проби от зловреден софтуер, но не съм сигурен, че тези проби пробиват своите устройства", каза Левър.

„Имаме силни пазари на първо място в САЩ“, продължи Lever, визирайки магазина на Apple App и Google Play. Той каза, че тези магазини имат добри мерки за сигурност, които предпазват най-лошите участници, и включват инструменти, които позволяват на Apple и Google дистанционно да деактивират или премахват злонамерени приложения, които могат да намерят път към устройствата на потребителите.

Разбира се, изследването на Дамбала има ограничения. Например, той е фокусиран върху потенциално злонамерен мрежов трафик, а не върху действителни злонамерени инсталации на мобилни устройства. Той също така обхваща само половината от САЩ, което оставя голяма част от света без внимание. Левър каза, че е възможно инфекциите с мобилен зловреден софтуер да са много по-високи извън САЩ. „Можех да видя, че е по-висок, но не бих могъл да го кажа емпирично“, каза Левър.

Интересното е, че от злонамерения мобилен трафик, който Дамбала наблюдава, по-голямата част от него ще бъде характеризирана като рекламен софтуер.

Засенчен трафик

Но макар мобилният зловреден софтуер да не се показа особено добре в проучването на Дамбала, нещо друго направи. В допълнение към трафика, който е свързан с мобилен зловреден софтуер, Lever обясни, че Damballa също проследява заявки от мобилни устройства към други видове злонамерена инфраструктура. Това може да бъде инфраструктура за десктоп зловреден софтуер, фишинг операции, ботнети и т.н. Тези заявки за сенчести части на интернет от мобилни устройства бяха, обясни Lever, значително по-високи от заявките за URL адреси за мобилни зловредни програми.

Колко по-големи? С няколко порядъка. Damballa отчете 100 000 заявки, свързани с мобилен зловреден софтуер, които проследи до тези 10 000 странни устройства. Той проследява 100 милиона заявки до сайтове, които изглежда са изтеглени от driveby, и 1 милиард (с „b!“) Заявки, свързани със злонамерен софтуер, който е насочен към работния плот. Отново тези искания идват от мобилни устройства.

Левър каза, че въпреки че тези сенчести заявки от мобилни устройства са „значително по-големи от това, което виждаме за мобилния зловреден софтуер“, причината им е до голяма степен неизвестна.

Ловър предположи, че част от трафика може да идва от потребители на мобилни устройства, които стават жертва на фишинг сайтове. Други експерти по сигурността предполагат, че фишингът може да е по-лесен на мобилни устройства, тъй като сравнително малкият екран отрязва подозрителни изглеждащи URL адреси и иконата на заключване, свързана със SSL връзка, не се вижда.

През целия разговор Левър остава до голяма степен оптимист по отношение на сигурността на мобилните устройства, но когато обсъжда тези необичайни констатации, той решително отрицателно се обърна. Той каза, че макар каквото и да е причина за това огромно количество подозрителен мрежов трафик, може да не е проблем днес, това може да бъде в бъдеще. Или дори може да е резултат от неизвестни понастоящем злонамерени приложения.

• Android 4.1.1 Все още уязвим за Heartbleed Android 4.1.1 Все още уязвим за Heartbleed
• Зловредните приложения за Android могат да хакнат Gmail Злобните приложения за Android могат да хакнат Gmail
• Мобилна заплаха понеделник: Приложения за Android Скриване на зловреден софтуер на Windows

"Това е голяма зона на риск, която в момента не е добре проучена и би могла да използва повече изследвания, за да разбере какво е това", каза Левър. "Фишинг ли е? Спам ли е? Какво представлява разбиването? И колко от това в момента влияе на мобилните устройства и колко би могло в бъдеще?"

Надяваме се, че бъдещите изследвания ще могат да съставят този пъзел.