译者: 林妙倩、戴亦仑 原创翻译作品,如果需要转载请取得翻译作者同意。
数据来源:ATT&CK Matrices
原文: https://attack.mitre.org/techniques/T1476
术语表: /attack/glossary
恶意应用程序是攻击者用来在移动设备上立足的常见攻击向量。该技术描述了在目标移动设备上安装恶意应用程序,而不涉及授权的应用程序商店(例如,Google Play 商店或 Apple App Store)。由于潜在的检测风险或其他原因,攻击者可能希望避免将恶意应用程序放在授权的应用程序商店中。但是,移动设备通常被配置为只允许从授权的应用程序商店安装应用程序(例如 Google Play 商店或 Apple App Store),阻碍了该技术发挥作用。
恶意应用程序的交付方法包括:
作为前提,攻击者可以使用这种 PRE-ATT&CK 技术:
缓解 | 描述 |
---|---|
企业政策 | 在 iOS 上,allowEnterpriseAppTrust 和 allowEnterpriseAppTrustModification 配置的配置文件限制可用于阻止用户安装使用企业分发密钥签名的应用程序。 |
用户指导 | 在允许安装使用企业分发密钥签名的应用程序而不是从 Apple 的 App Store 安装之前,iOS 9 及更高版本需要用户的明确同意。除非十分确定应用程序的来源,否则应鼓励用户拒绝安装使用企业分发密钥签名的应用程序。在 Android 上,必须启用“未知来源”设置,以便用户从授权应用商店(例如 Google Play 商店)以外的来源安装应用,因此应鼓励用户不要启用该设置。 |