Атаки «Man-in-the-middle» и «Man-in-the-Disk»
Атаки «Man-in-the-middle» представляют серьезную угрозу для онлайн-безопасности, поскольку они дают злоумышленнику возможность собирать и обрабатывать конфиденциальную информацию в режиме реального времени. Данная атака представляет собой тип перехвата сообщений, при котором атакующий контролирует весь разговор. Man-in-the-middle, иногда называемая атакой захвата сеанса, имеет большие шансы на успех, когда злоумышленник может выдать себя за одну из сторон, чтобы ответить на запросы второй стороны.
Распространенный метод выполнения атаки MiTM включает распространение вредоносных программ, которые предоставляют злоумышленнику доступ к веб-браузеру пользователя и данным, которые он отправляет и получает во время транзакций и разговоров. Как только злоумышленник получит контроль, он может перенаправить пользователей на фальшивый сайт, похожий на сайт, на который пользователь рассчитывает попасть. Затем злоумышленник может создать соединение с реальным сайтом и выступать в качестве прокси-сервера, чтобы считывать, вставлять и изменять трафик между пользователем и законным сайтом. Сайты онлайн-банкинга и электронной коммерции часто становятся объектами атак MiTM, поэтому злоумышленник может получить учетные данные для входа и другую конфиденциальную информацию.
Большинство криптографических протоколов включают некоторую форму аутентификации конечной точки, специально предназначенную для предотвращения атак MiTM. Например, протокол Transport Layer Security может потребоваться для аутентификации одной или обеих сторон с использованием взаимно доверенного центра сертификации. Однако, если пользователи не прислушаются к предупреждениям при предъявлении подозрительного сертификата, MiTM-атака все еще может быть проведена с поддельными или поддельными сертификатами.
Злоумышленник также может использовать уязвимости в конфигурации безопасности беспроводного маршрутизатора, вызванные слабыми паролями или паролями по умолчанию. Например, вредоносный маршрутизатор, также называемый злым близнецом, может быть установлен в общественном месте, например в кафе или отеле, для перехвата информации, проходящей через маршрутизатор. Другие способы, которыми злоумышленники часто проводят атаки описываемого типа, включают подделку протокола разрешения адресов (ARP), подмену системы доменных имен (DNS), искажение протокола Spanning Tree (STP), захват портов, подмену DHCP, переадресация протокола управляющих сообщений Интернета, туннелирование трафика и искажение маршрута.
Еще один тип атаки «Man-in-the-Disk» получил свое название, указывая на взаимосвязь с уже известным типом атаки «Man-in-the-middle».
Смартфоны и стандартные ПК имеют очень разные модели обеспечения безопасности, однако при этом используют аналогичные средства контроля безопасности. Одним из ключевых элементов управления безопасностью на большинстве мобильных платформ ОС, таких как Android, является использование так называемых «песочниц», цель которых заключается в ограничении возможностей для атаки существующих уязвимостей и ограничении злоумышленников только теми ресурсами, которые доступны в «песочнице». Из-за ограничений, установленных песочницами, они сами стали обычной целью для атак, поскольку злоумышленники продолжают пытаться найти способы избежать песочниц и получить доступ к базовым системам.
Например, на устройствах Android есть приложения, которые запускаются в песочнице Android, а потому имеют доступ только к файлам внутри песочницы; и именно песочница, а не приложение, контролирует доступ к файловой системе, сети и другим базовым системным ресурсам.
Атака использует слабость функциональности Android в изолированной программной среде, когда приложению требуется доступ к хранилищу вне этой изолированной программной среды.
Исследователи также обнаружили, что рекомендации Google по доступу к файлам вне песочницы предполагают, что некоторые файлы должны обрабатываться так, как если бы они были недоверенными. Однако не все разработчики, включая Google, в прошлом принимали меры предосторожности, чтобы относиться к файлам вне песочниц как к ненадежным, и в итоге был обнаружен способ использования этого факта в рамках новой атаки.
Во время атаки «Man-in-the-Disk» хакеры выбирают канал связи и используют атаку «время проверки против времени использования». В этом случае вредоносное приложение может заменить законный файл, используемый целевым приложением вне изолированной программной среды, на вредоносный файл, используемый злоумышленником. Когда целевое приложение открывает вредоносный файл, могут происходить самые различные действия, например, запуск приложения, которое генерирует ошибку и закрывается, выполнения вредоносного кода на устройстве или даже установки другого вредоносного приложения.