作者:騰訊科恩實驗室
公眾號:https://mp.weixin.qq.com/s/sb2hndSGn_IpMWmSGC4rPg

伴隨惡意程序、資費消耗、數據泄露等移動端應用安全威脅與日俱增,Android 應用端安全防護的價值也在持續引發行業內外人士的探討。在 6 月 11-12 日舉辦的第四屆騰訊安全國際技術峰會(TenSec 2019)上,騰訊安全科恩實驗室對外發布了《 2018 年 Android 應用安全白皮書》(以下簡稱《白皮書》),深度剖析了 Android 應用存在的安全風險及原因,并提出了針對性的解決建議。

《白皮書》基于騰訊安全科恩實驗室自研的 Android 應用自動化漏洞掃描系統——ApkPecker ,選取了 2018 年下載量較高的 1404 個 App 應用,進行漏洞掃描發現:超 98% 的應用存有不同類型的安全風險,主要原因包括系統開發隱患、漏洞監測困難、避雷能力不足、修復管理滯后等。

建議各大應用廠商建立從 App 開發到用戶交互的產品全生命周期的安全管理,開展實時的安全風險檢測與控制,避免造成不必要的損失。

一、超 98% Android 應用存有安全風險

影音播放類應用風險最高

相關數據顯示,2018 年全球 App 下載量近五成來源于中國。移動應用與社會大眾和各行業的關聯日趨緊密。然而,Android 平臺的惡意程序數量也增長迅猛,據G DATA 最新的統計數據顯示,從 2012 年到 2018 年第三季度末,Android 系統應用發現超過 320 萬個新的惡意樣本,日均發現超過 11000 個。受開源組件安全隱患、開發過程漏洞入侵、應用克隆等因素的影響,以漏洞為代表的安全威脅已滲透到了移動應用的開發及用戶交互等各個環節,成為移動應用行業發展的制約因素。

《白皮書》數據顯示,影音播放類 Android 應用存在的安全風險數量最多,其次是通訊社交和網上購物類應用。相對于其他類型的移動應用,這三類應用的產品功能和交互方式都較豐富,且具有較高的用戶黏性。存在其中的安全風險一旦爆發,影響的用戶量級和范圍將大大超乎預期。

在安全風險的類型方面,拒絕服務漏洞、隱式 Intent 信息泄露以及二進制三類安全風險的數量最多,且影響的 App 數量也位列前三。其中,超 80% 的移動應用皆存有隱式 Intent 信息泄漏風險。利用這些已深度侵入到 Android 應用內的漏洞,攻擊者即可實現對用戶信息的綁架、資費的惡意扣取與消耗等,甚至將多種風險進行整合構建,形成貫穿應用開發、上架和用戶交互等全流程的攻擊鏈路,從而容易引發高達億級的應用安全危機。

二、組件安全風險仍達七成

開發周期缺乏安全機制是主因

根據 Android 應用自動化漏洞掃描系統—— ApkPecker 的檢測數據發現,Android 應用面臨的安全風險主要可分為應用場景漏洞利用、服務后臺漏洞攻擊等部分。其中,《白皮書》顯示在本次針對 1404 款 Android 應用進行的樣本檢測中發現,用戶信息保密機制的缺乏增加了移動應用的安全壓力。由此引發的安全事件頻發,給用戶的信息賬號和資金帶來了極大危害。

與此同時,《白皮書》還結合安全風險的觸發場景,著重對數據泄漏、組件間通信,以及 SDK、Native 第三方庫漏洞等頻繁出現在當前移動應用中的安全風險進行了詳細分析,指出在檢測的 1404 個樣本中,有 74% 的應用存在拒絕服務攻擊風險。開發人員對公開組件外部輸入數據的校驗和異常處理,是引發組件間通信惡意安全事件的主要原因,同時還將加大漏洞組合利用的風險,造成更大量級的信息泄漏。

而因移動應用開發者在直接調用第三方庫進行應用開發使并未注意其代碼的安全性,從而導致在檢測的樣本中,有近五成的應用存有 SDK 庫漏洞,且超 58% 的應用受 Native 庫漏洞威脅,極大地增加了 App 安全管理的難度,其表現出的碎片化、難追溯特點甚至將導致安全風險的惡性循環。

此外,移動應用后臺服務端存有的平臺、應用、業務邏輯以及 DDoS/CC 攻擊等風險也是引發 Android 應用安全事件的重要誘因。由此,《白皮書》指出移動應用的安全風險并不是相互獨立和彼此割裂的,多種安全風險構建成完整攻擊鏈的趨勢愈加明顯。Android 移動應用安全需要整個產業閉環自上而下的共同維護與防御實踐。

《白皮書》最后提醒各大 Android 應用開發廠商以及應用商店等平臺,風險防御成功與否是由短板攻擊面決定的。使用基于面向攻擊面的靜態檢測工具,建立貫穿移動應用全生命周期的安全風向評估模型,是高效檢測 Android 移動應用風險,精準防范安全威脅的有效途徑。ApkPecker 作為一款全自動 Android 應用漏洞掃描工具,能夠輸出高質量漏洞掃描報告,精準定位漏洞并提供修復建議,從而助力移動安全人員提升應用安全性。

同時,騰訊安全科恩實驗室還基于移動應用滲透測試經驗以及前沿攻擊模式分析與總結,提出了適用于移動應用面向攻擊面靜態檢測的安全自查雷達圖,協助 Android 應用開發者全面、客觀、高效地掌握移動應用靜態檢測安全風險的實時動態,為其突破安全檢測高誤報率瓶頸提供助益。

在此基礎上,騰訊安全科恩實驗室將繼續開放核心安全技術與能力,為各行業數字化轉型變革的安全和健康發展貢獻力量。

《2018年Android應用安全白皮書》PDF原文:下載地址
ApkPekcer網址:apkpecker.qq.com

Paper 本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.bjnorthway.com/953/