Are you a smartphone user? Understand the risk.

English

B.Melayu

Your answer to the above question is most likely a yes. You might even be reading this article from your smartphone as of now. As in any technology, the convenience of smartphone usage comes with its own risk and danger. Some of these risk and danger is so sophisticated it simply went over your head while some others are so obvious that sometimes it draws a blank on you. Regardless, let us reminds you of these risk while also accumulating new information at the side.

The risk that comes with smartphone usage can be roughly be divided into 3 :

Phycological Risk – where smartphone user grows heavily dependent on their device for daily activities and routine to the level that can be seen as an addiction.

Physical Risk – these mobile devices are technically computers, with all kinds of your personal information inside, in a tiny form factor which increases the risk of being lost or stolen.

Digital Risk – the somewhat sophisticated risk that we are going to focus on this time around. The digital risk can be further classified into 4 vectors of risk, and 3 components of risk.

The 4 vectors of Digital risk :

Device
Apps
Web
Network

The 3 components of Digital Risk :

Attack/Threat
Vulnerability
Behavioural

The 4 vectors of risk mentioned above are meant in terms of a possible approach for cyberthreats to come from and the 3 components of risk are the possible cause or exploitable window that increases the chances of a successful cyberattack. This classification will help us to better understand the risk involved in navigating the cyber world through our usage of smartphones.

The Mobile Risk Matrix created by Lookout. (https://www.lookout.com/info/mobile-risk-matrix)

The Device risk vector

The device risk of digital risk vectors is concerning a direct risk on the device system itself. In terms of the first risk component, a cyberthreat that directly damaged the device system or a cyberthreat that utilized the device system by forced rooting on Android or forced jailbreaking on iOS. This rooting and jailbreaking will gives the attacker a developer level of access which means, all the data saved in your smartphone, hidden or not, are served as a buffet for the attacker to pick. Worse, all the cutting edge hardware on your device is most likely accessible by them too. They could probably see you through your front camera while you are on your smartphone.

The device vulnerability risk component is the vulnerability within the device system itself which will usually be patched by an OS update. But the problem with vulnerability is until its existence was known and patched by the developers, it will persist and open to be utilized by attackers. Like how it was used by Pegasus Spyware, you can read a little overview about it here.

The device behaviour risk component is more onto the smartphone users themself in configuring their device system as in intentionally doing the rooting or jailbreaking, or enabling developer mode, disabling updates, and such for whatever reason. Device behaviour risk can also include user’s action when faced with cyber threats including but not limited to phishing and spoofing.

The Apps risk vector

The app threat risk component is applications that are created to automate or assist the attacker in the process of stealing data, causing damage, or providing unauthorized remote access to the targeted device. An example of this is a legitimate mobile app that was modified to infect or inject malware or malicious codes into their sister app across the network for the mentioned purpose.

Vulnerability risk in both PC software and mobile app is unavoidable. But while PC software is likeliest to be vetted by IT professionals and developed by big software companies. Most mobile apps in the market are developed by a small team of developers, possibly indie app developers, and it goes directly into the hands of end-consumer that is the smartphone users. Thus the updates and patches for bugs, glitches, poor codes quality in mobile apps can be a tad slower and becomes a big vulnerability window for cybercriminals to jump through.

The app behavioural risk component can be said to have two(2) parts. The first one is the installation of an uncertified app from an unknown source which falls under the user responsibility. The second one, the behaviour of the app itself where some legitimate apps need access to sensitive information to perform their intended functions such as health monitoring apps, online shopping apps, etc. Let’s not forget that even these apps can be compromised by the previously mentioned risk components.

The Web risk vector

The threat component of the web risk vector is very simple to understand if you have read our previous articles about Phishing and Spoofing. The spoof URL within a phishing message is very highly likely to be tapped on mobile devices compared to on PC and are more likely to fall victim to spoofing websites primarily because the URL in the message itself is probably shortened while in the browser, the URL is partially hidden because of screen limitation. Not to mention some spoof websites can automatically download malicious code or malware onto your mobile device while appearing harmless.

A well-known web vulnerability is called Stagefright where .mp3 and .mp4 formatted files from a visited website have direct access to the media processing library on Android which could be exploited in many ways. Another example is when the previously mentioned Pegasus Spyware utilized a vulnerability in Safari for iOS, before it being patched, to deliver the spyware payload.

The third risk component is regarding the user’s browser settings and configurations (media auto-play for example), visiting websites that didn’t properly encrypt credentials, clicking URL or media links in suspicious email or messages or even on ambiguous websites. All this can be classified under the behavioural component of the web risk vector.

The Network risk vector

Simply speaking, the network risk threat component is the cyber attack that could occur over the mobile device network connection. These attacks could be done directly by the attacker or by malware, over both wifi or cellular network. Some examples of these threats include man-in-the-middle attacks (MITM), certificate impersonation, SSL/TLS striping, and SSL/TLS cypher suites downgrades.

Network vulnerabilities risk factor could either be on the software or hardware flaws on the network interface of the device as in the device OS network driver. Before patch 10.3.1 is released, iOS devices have a network vulnerability that could allow arbitrary code execution over the wifi network.

Network behavioural risk component could be best represented by smartphone users connecting to publicly available Wi-Fi networks as in coffee shops, hotels, airports, which could lead the user to non-encrypted access to the internet. These careless choices could end up in a number of cyber attacks as mentioned above.

Smartphone users need to be smart too

At the end of the day, a smartphone is nothing but a tool regardless of how smart a device it is. It will always be human user choices and decisions that greatly affect the end results. And to make correct decisions, you will be needing proper knowledge and correct information. Follow our Facebook Page to get constantly updated about Cyber Security and be the first to know of our latest posting. Look forward to our live stream where we will be showing you the hands-on example of Cyber Attack occurrence.

Jawapan anda untuk soalan di atas kemungkinan besar adalah ya. Malah anda mungkin sedang membaca artikel ini dari telefon pintar anda. Seperti teknologi apa pun, kemudahan telefon pintar datang dengan risiko dan bahaya nya yang tersendiri. Sesetengah risiko dan bahaya ini sangat canggih sehingga sukar difahami, sesetengahnya pula terlalu jelas sehingga kadang-kadang kita mengambil mudah tentangnya. Walau apa pun, mari kita ingat semula tentang risiko² ini disamping menimba ilmu baru.

Risiko yang timbul dengan penggunaan telefon pintar boleh dibahagikan kepada 3:

Risiko Psikologi – di mana pengguna telefon pintar terlalu banyak bergantung pada peranti mereka untuk aktiviti harian dan rutin ke tahap yang dapat dilihat sebagai ketagihan.

Risiko Fizikal – peranti telefon pintar ini secara teknikal adalah komputer, dengan pelbagai maklumat peribadi anda di dalamnya, dalam saiz mini yang meningkatkan lagi risiko kehilangan atau kecurian.

Risiko Digital – risiko yang agak canggih yang akan kita fokuskan pada kali ini. Risiko digital dapat dikelaskan dengan lebih lanjut kepada 4 vektor risiko dan 3 komponen risiko.

4 vektor risiko Digital:

Peranti
Aplikasi
Web
Rangkaian

3 komponen Risiko Digital:

Serangan / Ancaman
Kerentanankelemahan dalam sistem komputer yang boleh mengancam keselamatan komputer.
Tingkah Laku

4 vektor risiko yang disebutkan di atas adalah dalam konteks arah serangan ancaman siber yang berkemungkinan dan 3 komponen risiko adalah kemungkinan penyebab atau, rekahan atau kelemahan dalam sistem yang boleh dieksploitasi untuk meningkatkan peluang serangan siber yang berjaya. Pengelasan ini akan membantu kita untuk lebih memahami risiko yang terlibat dalam menavigasi dunia siber melalui penggunaan telefon pintar.

Matriks Risiko Telefon Pintar yang dibuat oleh Lookout. (https://www.lookout.com/info/mobile-risk-matrix)

Vektor risiko Peranti

Vektor risiko peranti untuk risiko digital adalah mengenai risiko langsung pada sistem operasi peranti itu sendiri. Dari segi komponen risiko pertama, ancaman siber yang secara langsung merosakkan sistem peranti atau ancaman siber yang menggunakan sistem peranti dengan melakukan rooting secara paksa pada Android atau melakukan jailbreak secara paksa di iOS. Rooting dan jailbreaking ini akan memberi penyerang tahap akses pembangunDeveloper Access yang bermaksud, semua data yang disimpan di telefon pintar anda, samada yang tersembunyi atau tidak, menjadi seperti buffet makanan dimata penyerang. Malahan, semua ciri² canggih pada peranti anda juga mungkin boleh diakses oleh mereka. Mereka mungkin juga dengan senyap² menonton ekspresi wajah anda melalui kamera hadapan ketika anda sedang menggunakan telefon pintar.

Komponen risiko kerentanankelemahan dalam sistem komputer yang boleh mengancam keselamatan komputer. peranti adalah kerentanankelemahan dalam sistem komputer yang boleh mengancam keselamatan komputer. dalam sistem peranti itu sendiri yang biasanya akan diperbaiki oleh kemas kini OS. Tetapi masalah dengan kerentanankelemahan dalam sistem komputer yang boleh mengancam keselamatan komputer. adalah sehingga kewujudannya diketahui dan diperbaiki oleh pembangunDeveloper, ianya akan terbuka untuk dieksploitasi oleh penyerang. Seperti mana yang pernah dilakukan oleh Pegasus Spyware, anda boleh membaca sedikit ringkasan mengenainya di sini.

Komponen risiko tingkah laku peranti lebih kepada tingkah laku pengguna telefon pintar itu sendiri dalam mengkonfigurasi tetapan sistem peranti mereka seperti dengan sengaja melakukan rooting atau jailbreaking, atau mengaktifkan mod pembangunDeveloper Mode, mematikan kemas kini automatik, dan sebagainya untuk apa tujuan sekalipun. Risiko tingkah laku peranti juga boleh merangkumi tindakan yang diambil pengguna ketika menghadapi ancaman siber seperti Phishing, Spoofing, dan seumpamanya.

Vektor risiko Aplikasi

Komponen risiko ancaman aplikasi adalah aplikasi yang dibuat untuk mengautomasi atau membantu penyerang dalam proses mencuri data, menyebabkan kerosakan, atau memberikan akses jarak jauh tanpa izin ke peranti yang disasarkan. Contohnya ialah aplikasi telefon pintar yang sah yang diubahsuai untuk menjangkiti atau menyuntik malware atau kod jahat ke dalam aplikasi saudara mereka di seluruh rangkaian untuk tujuan jenayah.

Risiko kerentanankelemahan dalam sistem komputer yang boleh mengancam keselamatan komputer. dalam perisiansoftware dan aplikasi telefon pintar sememangnya tidak dapat dielakkan. Tetapi, perisiansoftware komputer PC berkemungkinan akan diperiksa dan ditapis oleh pakar IT dan dibangunkan oleh syarikat perisiansoftware ternama. Sebahagian besar aplikasi telefon pintar di pasaran dikembangkan oleh sebuah kumpulan pembangundeveloper yang kecil, berkemungkinan besar adalah pembangundeveloper aplikasi indie, dan ianya tercapai terus ke tangan pengguna akhir iaitu pengguna telefon pintar. Makanya, kemas kini dan patch untuk bug, gangguan, kualiti kod yang buruk dalam aplikasi telefon pintar memakan masa lebih lama lalu menjadi rekahan kerentanankelemahan dalam sistem komputer yang boleh mengancam keselamatan komputer. yang besar untuk penjenayah siber menyelinap masuk.

Komponen risiko tingkah laku aplikasi boleh dikatakan mempunyai dua(2) bahagian. Yang pertama adalah pemasangan aplikasi dari sumber yang tidak diketahui yang mana adalah tanggungjawab pengguna sendiri. Yang kedua, tingkah laku aplikasi itu sendiri di mana ada sesetengah aplikasi yang sah memerlukan akses kepada maklumat sensitif untuk menjalankan fungsi utamanya seperti aplikasi pemantauan kesihatan, aplikasi membeli-belah dalam talian, dan seumpamanya. Jangan lupa, aplikasi² seperti ini juga boleh terjejas dengan komponen risiko yang disebutkan tadi.

Vektor risiko Web

Komponen ancaman vektor risiko web sangat mudah difahami jika anda telah membaca artikel kami sebelum ini mengenai Phishing dan Spoofing. URL palsu dalam mesej pancingan data sangat mungkin ditekan pada peranti telefon pintar berbanding dengan komputer PC dan juga lebih cenderung menjadi mangsa penipuan laman web terutamanya kerana URL dalam mesej itu sendiri mungkin dipendekkan menggunakan servis pemendekan URL. Ketika di app pelayar web pula sebahagian besar URL tersebut tersembunyi disebabkan oleh had batasan skrin. Sesetengah laman web palsu malahan boleh memuat turun kod jahat atau perisian hasadmalware ke dalam peranti telefon pintar anda secara automatik tanpa sebarang notifikasi.

Kerentanankelemahan dalam sistem komputer yang boleh mengancam keselamatan komputer. web yang terkenal adalah dipanggil Stagefright di mana fail berformat .mp3 dan .mp4 dari laman web yang dikunjungi mempunyai akses terus ke perpustakaan pemprosesan media di Android yang dapat dieksploitasi dalam pelbagai cara. Contoh selain itu adalah seperti kerentanankelemahan dalam sistem komputer yang boleh mengancam keselamatan komputer. di Safari untuk iOS sebelum kemaskini iOS 9.3.5, pernah dieksploitasi oleh Pegasus Spyware untuk menghantarkan muatan perisiansoftware tersebut.

Komponen risiko ketiga adalah mengenai tetapan dan konfigurasi pelayar web pengguna (misalnya pemain media automatik), mengunjungi laman web yang tidak mengenkripsi sijil digital dengan betul, mengklik pautan URL atau media dalam e-mel atau mesej yang mencurigakan atau bahkan di laman web yang meragukan. Semua ini dapat dikelaskan di bawah komponen tingkah laku vektor risiko web.

Vektor risiko Rangkaian

Secara sederhana, komponen ancaman risiko rangkaian adalah serangan siber yang boleh berlaku melalui sambungan rangkaian peranti telefon pintar. Serangan ini dapat dilakukan secara langsung oleh penyerang atau malware, baik melalui jaringan wifi atau selular. Beberapa contoh ancaman ini termasuk serangan man-in-the-middle (MITM), penyamaran sijil digital, pelucutan SSL/TLS, dan penurunan cypher suite SSL/TLS.

Faktor risiko kerentanankelemahan dalam sistem komputer yang boleh mengancam keselamatan komputer. rangkaian berkemungkinan disebabkan oleh kelemahan perisiansoftware atau perkakasanhardware pada antara muka rangkaian peranti seperti pada pemacu rangkaian OS peranti. Sebelum tampalanpatch 10.3.1 dilepaskan, peranti iOS mempunyai kerentanankelemahan dalam sistem komputer yang boleh mengancam keselamatan komputer. rangkaian yang membolehkan pelaksanaan kod sembarangan melalui rangkaian wifi.

Contoh termudah untuk komponen risiko tingkah laku rangkaian adalah apabila pengguna telefon pintar yang menyambung ke rangkaian Wi-Fi yang tersedia di tempat awam seperti di kedai kopi, hotel, lapangan terbang, ini boleh membawa kepada akses internet tanpa enkripsi. kecuaian ini mungkin berakhir dengan pelbagai jenis serangan siber seperti yang disebutkan di atas.

Pengguna telefon pintar juga harus pintar

Kesudahannya, walau sepintar mana sekalipun ia, telefon pintar tidak lebih dari sekadar peralatan. Secara majoriti, pilihan dan keputusan pengguna itu sendiri yang akan mempengaruhi kesan akhirnya. Dan untuk membuat keputusan yang tepat, anda memerlukan pengetahuan dan maklumat yang betul. Ikuti Halaman Facebook kami untuk terus mendapat maklumat terkini mengenai Sekuriti Siber dan jadilah yang terawal mengetahui mengenai posting terbaru kami. Nantikan siaran langsung kami di mana kami akan menayangkan contoh² kejadian Serangan Siber yang sebenar.

Amirul Izwan

A Mechanical Automation graduate turn IT Technical specialist, with few years of experience as an IT Technician at a local PC retail company. It turns out software is as important as the hardware.

See author's posts