《2018年Android應(yīng)用安全白皮書(shū)》重磅發(fā)布：超98%Android應(yīng)用存有安全風(fēng)險(xiǎn)

伴隨惡意程序、資費(fèi)消耗、數(shù)據(jù)泄露等移動(dòng)端應(yīng)用安全威脅與日俱增，Android應(yīng)用端安全防護(hù)的價(jià)值也在持續(xù)引發(fā)行業(yè)內(nèi)外人士的探討。在6月12日舉辦的第四屆騰訊安全國(guó)際技術(shù)峰會(huì)(TenSec 2019)上，騰訊安全科恩實(shí)驗(yàn)室對(duì)外發(fā)布了《2018年Android應(yīng)用安全白皮書(shū)》(以下簡(jiǎn)稱《白皮書(shū)》)，深度剖析了Android應(yīng)用存在的安全風(fēng)險(xiǎn)及原因，并提出了針對(duì)性的解決建議。

《白皮書(shū)》基于騰訊安全科恩實(shí)驗(yàn)室自研的Android應(yīng)用自動(dòng)化漏洞掃描系統(tǒng)—ApkPecker，選取了2018年下載量較高的1404個(gè)App應(yīng)用，進(jìn)行漏洞掃描發(fā)現(xiàn)：超98%的應(yīng)用存有不同類型的安全風(fēng)險(xiǎn)，主要原因包括系統(tǒng)開(kāi)發(fā)隱患、漏洞監(jiān)測(cè)困難、避雷能力不足、修復(fù)管理滯后等。建議各大應(yīng)用廠商建立從APP開(kāi)發(fā)到用戶交互的產(chǎn)品全生命周期的安全管理，開(kāi)展實(shí)時(shí)的安全風(fēng)險(xiǎn)檢測(cè)與控制，避免造成不必要的損失。

超98%Android應(yīng)用存有安全風(fēng)險(xiǎn) 影音播放類應(yīng)用風(fēng)險(xiǎn)最高

相關(guān)數(shù)據(jù)顯示，2018年全球App下載量近五成來(lái)源于中國(guó)。移動(dòng)應(yīng)用與社會(huì)大眾和各行業(yè)的關(guān)聯(lián)日趨緊密。然而，Android平臺(tái)的惡意程序數(shù)量也增長(zhǎng)迅猛，據(jù)G DATA最新的統(tǒng)計(jì)數(shù)據(jù)顯示，從2012年到2018年第三季度末，Android系統(tǒng)應(yīng)用發(fā)現(xiàn)超過(guò)320萬(wàn)個(gè)新的惡意樣本，日均發(fā)現(xiàn)超過(guò)11000個(gè)。受開(kāi)源組件安全隱患、開(kāi)發(fā)過(guò)程漏洞入侵、應(yīng)用克隆等因素的影響，以漏洞為代表的安全威脅已滲透到了移動(dòng)應(yīng)用的開(kāi)發(fā)及用戶交互等各個(gè)環(huán)節(jié)，成為移動(dòng)應(yīng)用行業(yè)發(fā)展的制約因素。

《白皮書(shū)》數(shù)據(jù)顯示，影音播放類Android應(yīng)用存在的安全風(fēng)險(xiǎn)數(shù)量最多，其次是通訊社交和網(wǎng)上購(gòu)物類應(yīng)用。相對(duì)于其他類型的移動(dòng)應(yīng)用，這三類應(yīng)用的產(chǎn)品功能和交互方式都較豐富，且具有較高的用戶黏性。存在其中的安全風(fēng)險(xiǎn)一旦爆發(fā)，影響的用戶量級(jí)和范圍將大大超乎預(yù)期。

在安全風(fēng)險(xiǎn)的類型方面，拒絕服務(wù)漏洞、隱式Intent信息泄露以及二進(jìn)制三類安全風(fēng)險(xiǎn)的數(shù)量最多，且影響的APP數(shù)量也位列前三。其中，超80%的移動(dòng)應(yīng)用皆存有隱式Intent信息泄漏風(fēng)險(xiǎn)。利用這些已深度侵入到Android應(yīng)用內(nèi)的漏洞，攻擊者即可實(shí)現(xiàn)對(duì)用戶信息的綁架、資費(fèi)的惡意扣取與消耗等，甚至將多種風(fēng)險(xiǎn)進(jìn)行整合構(gòu)建，形成貫穿應(yīng)用開(kāi)發(fā)、上架和用戶交互等全流程的攻擊鏈路，從而容易引發(fā)高達(dá)億級(jí)的應(yīng)用安全危機(jī)。

組件安全風(fēng)險(xiǎn)仍達(dá)七成，開(kāi)發(fā)周期缺乏安全機(jī)制是主因

根據(jù)Android應(yīng)用自動(dòng)化漏洞掃描系統(tǒng)——ApkPecker的檢測(cè)數(shù)據(jù)發(fā)現(xiàn)，Android應(yīng)用面臨的安全風(fēng)險(xiǎn)主要可分為應(yīng)用場(chǎng)景漏洞利用、服務(wù)后臺(tái)漏洞攻擊等部分。其中，《白皮書(shū)》顯示在本次針對(duì)1404款A(yù)ndroid應(yīng)用進(jìn)行的樣本檢測(cè)中發(fā)現(xiàn)，用戶信息保密機(jī)制的缺乏增加了移動(dòng)應(yīng)用的安全壓力。由此引發(fā)的安全事件頻發(fā)，給用戶的信息賬號(hào)和資金帶來(lái)了極大危害。

與此同時(shí)，《白皮書(shū)》還結(jié)合安全風(fēng)險(xiǎn)的觸發(fā)場(chǎng)景，著重對(duì)數(shù)據(jù)泄漏、組件間通信，以及SDK、Native第三方庫(kù)漏洞等頻繁出現(xiàn)在當(dāng)前移動(dòng)應(yīng)用中的安全風(fēng)險(xiǎn)進(jìn)行了詳細(xì)分析，指出在檢測(cè)的1404個(gè)樣本中，有74%的應(yīng)用存在拒絕服務(wù)攻擊風(fēng)險(xiǎn)。開(kāi)發(fā)人員對(duì)公開(kāi)組件外部輸入數(shù)據(jù)的校驗(yàn)和異常處理，是引發(fā)組件間通信惡意安全事件的主要原因，同時(shí)還將加大漏洞組合利用的風(fēng)險(xiǎn)，造成更大量級(jí)的信息泄漏。

而因移動(dòng)應(yīng)用開(kāi)發(fā)者在直接調(diào)用第三方庫(kù)進(jìn)行應(yīng)用開(kāi)發(fā)使并未注意其代碼的安全性，從而導(dǎo)致在檢測(cè)的樣本中，有近五成的應(yīng)用存有SDK庫(kù)漏洞，且超58%的應(yīng)用受Native庫(kù)漏洞威脅，極大地增加了APP安全管理的難度，其表現(xiàn)出的碎片化、難追溯特點(diǎn)甚至將導(dǎo)致安全風(fēng)險(xiǎn)的惡性循環(huán)。

此外，移動(dòng)應(yīng)用后臺(tái)服務(wù)端存有的平臺(tái)、應(yīng)用、業(yè)務(wù)邏輯以及DDos/CC攻擊等風(fēng)險(xiǎn)也是引發(fā)Android應(yīng)用安全事件的重要誘因。由此，《白皮書(shū)》指出移動(dòng)應(yīng)用的安全風(fēng)險(xiǎn)并不是相互獨(dú)立和彼此割裂的，多種安全風(fēng)險(xiǎn)構(gòu)建成完整攻擊鏈的趨勢(shì)愈加明顯。Android移動(dòng)應(yīng)用安全需要整個(gè)產(chǎn)業(yè)閉環(huán)自上而下的共同維護(hù)與防御實(shí)踐。

《白皮書(shū)》最后提醒各大Android應(yīng)用開(kāi)發(fā)廠商以及應(yīng)用商店等平臺(tái)，風(fēng)險(xiǎn)防御成功與否是由短板攻擊面決定的。使用基于面向攻擊面的靜態(tài)檢測(cè)工具，建立貫穿移動(dòng)應(yīng)用全生命周期的安全風(fēng)向評(píng)估模型，是高效檢測(cè)Android移動(dòng)應(yīng)用風(fēng)險(xiǎn)，精準(zhǔn)防范安全威脅的有效途徑。ApkPecker 作為一款全自動(dòng)Android應(yīng)用漏洞掃描工具，能夠輸出高質(zhì)量漏洞掃描報(bào)告，精準(zhǔn)定位漏洞并提供修復(fù)建議，從而助力移動(dòng)安全人員提升應(yīng)用安全性。

同時(shí)，騰訊安全科恩實(shí)驗(yàn)室還基于移動(dòng)應(yīng)用滲透測(cè)試經(jīng)驗(yàn)以及前沿攻擊模式分析與總結(jié)，提出了適用于移動(dòng)應(yīng)用面向攻擊面靜態(tài)檢測(cè)的安全自查雷達(dá)圖，協(xié)助Android應(yīng)用開(kāi)發(fā)者全面、客觀、高效地掌握移動(dòng)應(yīng)用靜態(tài)檢測(cè)安全風(fēng)險(xiǎn)的實(shí)時(shí)動(dòng)態(tài)，為其突破安全檢測(cè)高誤報(bào)率瓶頸提供助益。在此基礎(chǔ)上，騰訊安全科恩實(shí)驗(yàn)室將繼續(xù)開(kāi)放核心安全技術(shù)與能力，為各行業(yè)數(shù)字化轉(zhuǎn)型變革的安全和健康發(fā)展貢獻(xiàn)力量。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。