Det er mer sannsynlig at du blir rammet av lynet enn infisert med skadelig malware

På RSA 2015-konferansen kunngjorde forskere fra sikkerhetsfirmaet Damballa at det i USA er mye større sannsynlighet for å bli rammet av lyn enn smittet med malware. Selv om dette støtter en tidligere studie utført av selskapet, fant Damballa noe veldig rart som skjedde på mobile enheter.

Sporing av ondsinnet trafikk

Damballas virksomhet er automatisert bruddforsvar basert på analyse av big data. Mens han jobbet med en stor amerikansk trådløs operatør, kunne Damballa sammenligne trafikkdata med kjente ondsinnede URL-er hentet ut fra rundt 70 000 mobile malware-prøver. "Det var litt av en manuell prosess for å fjerne de vanlige domenene som sannsynligvis ikke er assosiert med skadelig programvare, " forklarte Senior Scientific Researcher Charles Lever. "Det var vondt."

Leveren sa at Damballa ikke hadde tilgang til nyttelastene til disse sendingene, bare URL-ene. Selskapet gjorde det klart at det ikke hadde noen synlighet i kundedata.

Omfanget av Damballas studie er enormt, med fokus på rundt 151 millioner enheter per dag, opp fra 25 millioner da selskapet utførte studien i 2012. Selskapet sa at dette utgjorde 50 prosent av mobilt datatrafikk i USA, men av disse så selskapet bare 9 688 enheter som nådde ut til nettadresser tilknyttet mobil malware.

Det fungerer til at 0, 0064 prosent av trafikken er skadelig. I selskapets pressemelding sa Damballa at National Weather Services 'offisielle odds for å bli truffet av lynet var betydelig høyere på 1, 3 prosent.

Trygg havn

Lever sa at studiens konklusjoner støttet forestillingen om at mens mobil malware har vært mye diskutert i sikkerhetskretser (og av denne forfatteren). "Vi finner mange malware-prøver, men jeg er ikke sikker på at disse prøvene tar veien til enhetene sine, " sa Lever.

"Vi har sterke førstepartsmarkeder i USA, " fortsatte Lever, med henvisning til Apple App-butikken og Google Play-butikken. Han sa at disse butikkene har gode sikkerhetstiltak som har holdt utenfor de verste aktørene, og inkluderer verktøy som gjør at Apple og Google eksternt kan deaktivere eller fjerne skadelige apper som kan finne veien til brukerens enheter.

Naturligvis har Damballas studie begrensninger. Det er for eksempel fokusert på potensielt skadelig nettverkstrafikk i stedet for faktiske ondsinnede installasjoner på mobile enheter. Det dekker også bare halvparten av USA, noe som etterlater store deler av verden. Lever sa at det er mulig infeksjoner med skadelig malware kan være mye høyere utenfor USA. "Jeg kunne se at den var høyere, men jeg kunne ikke si det empirisk, " sa Lever.

Interessant nok, av den ondsinnede mobiltrafikken som Damballa observerte, vil det meste av den bli karakterisert som adware.

Shadowy Traffic

Men mens mobil malware ikke gjorde en stor visning i Damballas studie, gjorde noe annet. I tillegg til trafikk som var assosiert med mobil malware, forklarte Lever at Damballa også sporet forespørsler fra mobile enheter til andre typer skadelig infrastruktur. Dette kan være infrastruktur for skadelig programvare, phishing-operasjoner, botnett, og så videre. Disse forespørslene til skyggefulle deler av Internett av mobile enheter var, forklarte Lever, betydelig høyere enn forespørsler til skadelig URL-adresse for mobil.

Hvor mye større? Etter flere størrelsesordener. Damballa rapporterte 100 000 forespørsler tilknyttet mobil malware, som det spores til de 10.000-odde enhetene. Den sporet 100 millioner forespørsler til nettsteder som så ut til å være nedlastede nedlastinger, og 1 milliard forespørsler tilknyttet malware som er rettet mot skrivebordet. Igjen, disse forespørslene kommer alle fra mobile enheter.

Lever sa at selv om disse lyssky forespørslene fra mobile enheter er "betydelig større enn det vi ser for skadelig malware", er årsaken deres stort sett ukjent.

Lever antydet at noe av trafikken kan komme fra mobile brukere som ble offer for phishing-nettsteder. Andre sikkerhetseksperter har antydet at phishing kan være enklere på mobile enheter fordi den relativt små skjermen kutter av mistenkelige nettadresser og låseikonet som er knyttet til en SSL-tilkobling, ikke er synlig.

Gjennom samtalen forble Lever i stor grad optimistisk med hensyn til mobilsikkerhet, men da han diskuterte disse uvanlige funnene, tok han en desidert negativ vending. Han sa at selv om det uansett forårsaker denne enorme mengden mistenkelig nettverkstrafikk kanskje ikke er noe problem i dag, kan det være i fremtiden. Eller det kan til og med være et resultat av for øyeblikket ukjente ondsinnede applikasjoner.

• Android 4.1.1 Fortsatt sårbart for Heartbleed Android 4.1.1 Fortsatt sårbart for Heartbleed
• Skadelige Android-apper kan hacke Gmail Skadelige Android-apper kan hacke Gmail
• Mobile Threat Monday: Android Apps Hide Windows Malware Mobile Threat Monday: Android Apps Hide Windows Malware

"Det er et stort risikoområde som ikke blir godt studert akkurat nå, og som kan bruke mer forskning for å finne ut hva dette er, " sa Lever. "Er det phishing? Er det spam? Hva er sammenbruddet? Og hvor mye av det påvirker for øyeblikket mobile enheter og hvor mye kan i fremtiden?"

Forhåpentligvis vil fremtidig forskning kunne sette sammen dette puslespillet.