現代人與即時通訊程式關係密不可分,有部份規模軟少的公司也沒有使用專門的系統作為員工的溝通工具,而是利用一般的通訊程式,例如WhatsApp、Telegram和Signal,在工作的場合,更有不少人選擇利用上述程式的桌面版,然而後少人考慮到背後的安全問題。
1. App在外,瀏覽器在內
首先要知道一件重要的事,大部份桌面版本的通訊程式都建築在Electron框架之上,內裡其實是一個網上版應用程式嵌入在一個Chromium瀏覽器上打開,其快速和容易製作在所有操作系統上開啟的應用程式,是其大受開發者歡迎的原因,不過這也意味著所有使用它的程式都會自動繼承了Electron一系列的安全漏洞。
而由於Chrome和Chromium極度受歡迎的原故,因此也成為了網絡犯罪份子的頭號目標,時刻尋找當中的安全漏洞,甚至製作詳細描述如何加以使用,單獨Chrome瀏覽器的話當算安全,因為Google經常針對安全漏洞放出補丁,但是程式以Electron製作,嵌入式瀏覽器只有在有關開發者推出新版本的應用程式才會更新。這意味著使用得越多以Electron為基礎的應用程式,風險越高。
2. 金鑰問題
現代的通訊程式其中一大特色是end-to-end加密,訊息需要對話參與者的私鑰才能解密,而私鑰永遠不會離開他們的裝置,一旦攻擊者獲得私鑰,就能讀取訊息甚至冒充其中一個對話人。而桌面版通訊程式的問題是,加密金鑰存放在硬盤,這意味著容易被盜,當然攻擊者要用方法存取系統,例如惡意程式,但在桌面操作系統上完全可行,在流動裝置上由於架構功能令盜取金鑰困難得多,尤其是遙距的盜竊。
3. 對話中的遙距管理工具
先假設一切正常,金鑰(暫時)仍然沒有流出,但這並不意味著安全,因為網絡犯罪份子可以利用遙距管理工具又或者是遙距存取木馬程式,在對話中向員工申出魔爪,兩者的分別是前者屬於合法的工具,後者則是非法的惡意程式,兩者都能夠在受害者電腦上做很多「有趣」的行為。
以上兩者對於桌面通訊程式客端,比在流動裝置上有更大威脅,令無經驗的攻擊者也能夠取得加密對話的內容,由於所有對話在受害者電腦上已經自動解密,所以攻擊者無需取得金鑰,而且不限於讀取訊息,也能夠向其他聯絡人發送訊息,加上遙距管理工具是合法的軟件,所以能夠在互聯網上尋找和下載,也並非所有保安方案會警告用於在電腦上找到遙距存取工具。
4. 秘密傳輸
另一個避免使用通訊程式桌面客端的原因,是他們可能被用作未受監察的傳送惡意檔客渠道,可能有人會認為從其他渠道也有機會接收到惡意檔案,但大部份人對電郵或其他地方下載得來的檔案都存有戒心,但從通訊程式內的朋友發送過來的話,通常都會比較粗心大意。不過使用這種技倆需要攻擊者具備頂尖的技術,然後利用得到的地址。
5. 時刻提防攻擊
對於來自電郵的惡意附件,可以透過企業級的mail gateway去進行防護,但桌版版則欠缺保安軟件能夠在end-to- ead的通訊程式。
預防勝於治療
正如文中提到,最佳的方法是避免使用桌面版通訊程式,如果無法一刀切的話,不妨參考以下的方式:
- 確部在工作的裝置上安裝了保安軟件
- 禁止員工工作上使用一款以上的通訊程式
- 經常檢查有沒有在工作裝置上被安裝遙距存取工具
- 透過保安方案,追蹤員工嘗試使用未經授權的雲端服務
- 為員工提供資安培訓,提升保安意識。
資料來源:Kaspersky Blog
