V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
T1638Mobile
Матрица: Mobile
Статус: Активная
STIX: 19.0
Источник ↗

Атака «Злоумышленник посередине»

Злоумышленники могут пытаться разместить себя между двумя или более устройствами в сети для поддержки последующих действий, таких как манипулирование передаваемыми данными или отказ в обслуживании конечной точки. Атака «Злоумышленник посередине» может быть реализована несколькими механизмами. Например, вредоносное приложение может зарегистрировать себя в качестве VPN-клиента, фактически перенаправляя трафик устройства на ресурсы, контролируемые злоумышленником. Регистрация в качестве VPN-клиента требует согласия пользователя в Android и iOS; кроме того, для iOS-устройств требуется специальная привилегия, предоставленная Apple. В качестве альтернативы вредоносное приложение с привилегиями эскалации может использовать эти привилегии для получения доступа к сетевому трафику. Специфично для Android-устройств: атака «злоумышленник на диске» — это тип AiTM-атаки, при которой злоумышленники отслеживают и манипулируют данными, которыми обмениваются приложения и внешнее хранилище. Для этого вредоносное приложение сначала запрашивает доступ к мультимедийным файлам на устройстве (`READ_EXTERNAL STORAGE` и `WRITE_EXTERNAL_STORAGE`), после чего читает данные на устройстве и/или записывает на него вредоносное ПО. Хотя запрос доступа является распространённым, при вредоносном использовании злоумышленники могут получать доступ к файлам и другим конфиденциальным данным вследствие злоупотребления разрешением. Было показано, что несколько приложений уязвимы к этой атаке; однако тщательная проверка разрешений и входных данных может нейтрализовать её. Вне мобильного устройства злоумышленники могут перехватывать трафик, развёртывая поддельную базовую станцию или точку доступа Wi-Fi. Эти устройства позволят злоумышленникам перехватывать сетевой трафик после его выхода с устройства на пути к месту назначения. В локальной сети могут применяться корпоративные техники, такие как отравление кэша ARP или спуфинг DHCP. Если приложения надлежащим образом шифруют сетевой трафик, конфиденциальные данные могут быть недоступны злоумышленникам в зависимости от точки перехвата. Например, надлежащая реализация App Transport Security (ATS) от Apple и Network Security Configuration (NSC) от Android может предотвратить утечку конфиденциальных данных.

Тактики

Сбор данных

Платформы

AndroidiOS

Меры защиты

M1006
Использование актуальной версии ОС
M1009
Шифрование сетевого трафика
Открыть в каталоге с фильтром ATT&CK →

Связанные CAPEC

Затронутые уязвимости (выводимые)

Открыть на attack.mitre.org ↗
Совпадений нет — уточните фильтр.