译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。
数据来源:ATT&CK Matrices
原文: https://attack.mitre.org/techniques/T1410
术语表: /attack/glossary
攻击者可以捕获进出设备的网络流量以获取凭据或其他敏感数据,或者重定向网络流量,使其通过攻击者控制的网关来完成同样的操作。
恶意应用程序可以在 Android 或 iOS 上注册为 VPN 客户端来访问网络数据包。然而,在这两种平台上,用户必须授权应用程序作为 VPN 客户端,在 iOS 上程序还需要 Apple 授予的特殊权限。
或者,如果恶意应用程序能够升级操作系统特权,那么它或许可以使用这些特权来访问网络流量。
攻击者可以通过建立 VPN 连接或修改设备的代理设置,将网络流量重定向到攻击者控制的网关。例如,Skycure 描述了通过安装恶意 iOS 配置文件重定向网络流量的情况。
如果应用程序对其网络流量进行加密,攻击者可能无法访问敏感数据,具体取决于捕获点。
在 Android 和 iOS 上,用户必须授权应用充当 VPN。 当 VPN 连接完成时,两个平台还在顶部状态栏中为用户提供可视上下文。
缓解 | 描述 |
---|---|
应用程序审查 | 在允许使用之前,请仔细检查请求 VPN 访问的应用程序。 |
加密网络流量 | 此缓解可能并不总是有效,取决于加密网络流量的方法。在某些情况下,攻击者可能会在加密之前捕获流量。 |
安全更新 | |
使用最近的 OS 版本 |