溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
網絡安全新常態下的Android應用供應鏈安全是怎樣的,很多新手對此不是很清楚,為了幫助大家解決這個難題,下面小編將為大家詳細講解,有這方面需求的人可以來學習下,希望你能有所收獲。
時至2018年,移動互聯網的發展已走過十年歷程,智能設備已深入人們生活的方方面面,其安全問題也時刻牽動著人們的神經。自2014年移動端惡意軟件爆發時增長以來,Google、手機廠商和移動安全廠商都投入了巨大的精力,與惡意開發者進行了激烈的對抗。
過去幾年,經過各方的共同努力,普通Android惡意軟件的迅猛增長趨勢已經得到遏制,據騰訊手機管家數據顯示,2018年上半年Android平臺新增惡意樣本數468.70萬,較去年同期下降47.8%。但與此同時,騰訊大數據監測到基于Android應用供應鏈的其他環節的安全問題逐漸增多,顯示出惡意開發者已經將更多的目光投向Android應用供應鏈的薄弱環節。鑒于供應鏈安全問題較強的隱蔽性和影響的廣泛性,希望相關各方關注供應鏈攻擊的新形式,做好有效的安全防御措施。
2017年永恒之藍勒索蠕蟲事件和《網絡安全法》的正式實施是網絡安全行業的一個分水嶺,廣大的政企機構的攻防態勢和網絡安全的監管形勢都發生了根本變化,我們稱之為網絡安全的新常態。2018年,網絡安全將全面進入這種新常態,安全威脅也越來越凸顯出攻擊復雜化、漏洞產業化、網絡軍火民用化等日益升級的特點。作為網絡安全行業重要領域的移動安全,隨著攻防對抗進入深水區,面臨的安全威脅也呈現出新的特點:
過去幾年,在Google、手機廠商和安全廠商的共同努力下,移動端惡意軟件的迅猛增長趨勢得到了遏制。根據Google《2017年度Android安全報告》顯示,2017年,有超過70萬款應用因違反相關規定從Google Play上下架,Android用戶在Google Play 上下載到潛在惡意應用的幾率是0.02%,該比率較2016年下降0.02%。而根據騰訊手機管家數據顯示,2018年上半年Android平臺新增惡意樣本468.70萬,相比2017年上半年(899萬)下降47.8%,扭轉了2015年以來的迅猛增長勢頭。
相較與Android惡意應用總體數量呈下降趨勢,高端的、復雜移動惡意軟件的攻擊卻有上升趨勢。近年來,安全研究人員和分析團隊跟蹤了100多個APT組織及其活動,這些組織發起的攻擊活動異常復雜,而且擁有豐富的武器資源,包括0day漏洞,fileless攻擊工具等,攻擊者還會結合傳統的黑客攻擊動用更復雜的人力資源來完成數據的竊取任務。2016年8月Lookout發表了他們對一個復雜的移動間諜軟件Pegasus的研究報告,這款間諜軟件與以色列的安全公司NSO Group有關,結合了多個0day漏洞,能夠遠程繞過現代移動操作系統的安全防御,甚至能夠攻破一向以安全著稱的iOS系統。2017年4月,谷歌公布了其對Pegasus間諜軟件的安卓版Chrysaor的分析報告。除了上述兩款移動端間諜軟件之外,還有許多其他的APT組織都開發了自定義的移動端植入惡意軟件。評估認為,在野的移動端惡意軟件的總數可能高于目前公布的數量,可以預見的是,在2018年,攻擊量會繼續增加,將有更多的高級移動端惡意軟件被發現。
在APT攻擊活動的研究過程中,經常可以看到,惡意攻擊者為了嘗試突破某一目標可以花費很長一段時間,即使屢屢失敗也會繼續變換方式或途徑繼續嘗試突破,直至找到合適的入侵方式或途徑。同時,惡意攻擊者也更多地將目光投向供應鏈中最薄弱的一環,如手機OTA升級服務預裝后門程序,第三方廣告SDK竊取用戶隱私等,這類攻擊借助“合法軟件”的保護,很容易繞開安全產品的檢測,進行大范圍的傳播和攻擊。經過騰訊大數據監測發現,近年來,與Android應用供應鏈相關的安全事件越來越多,惡意軟件作者正越來越多地利用用戶與軟件供應商間的固有信任,通過層出不窮的攻擊手法投遞惡意載體,造成難以估量的損失。
綜上所述,在Android安全領域,過去幾年經Google、手機廠商和安全廠商的共同努力,普通的Android惡意軟件的迅猛增長趨勢得到了遏制,而惡意開發者則將更多的目光轉向了Android應用供應鏈的薄弱環節,以期增強攻擊的隱蔽性和繞過安全廠商的圍追堵截,擴大攻擊的傳播范圍。本文將列舉近年來與Android應用供應鏈安全的相關事件,分析Android應用供應鏈面臨的安全挑戰,并提出相應的防護對策和建議。
目前關于Android應用供應鏈還沒有明確的概念,我們根據傳統的供應鏈概念將其簡單抽象成如下幾個環節:
應用開發涉及到開發環境、開發工具、第三方庫等,并且開發實施的具體過程還包括需求分析、設計、實現和測試等。在這一環節中形成最終用戶可用的應用產品。
用戶通過應用商店、網絡下載、廠商預裝、Rom內置等渠道獲取到應用的過程。
用戶使用應用的整個生命周期,包括升級、維護等過程。
從最終用戶安全感知角度而言,Android端主要的安全威脅仍然是信息泄露、扣費短信、惡意廣告、挖礦木馬、勒索軟件等常見形態。透過現象看本質,正是因為移動生態環節中的一些安全脆弱點,導致了這些威脅的頻發和泛濫。前面定義了應用供應鏈的概念并抽象出了幾大相關環節,攻擊者針對上述各環節進行攻擊,都有可能影響到最終的應用產品和整個使用場景的安全。
下面,本文將通過相關的安全事件來分析從開發工具、第三方庫、分發渠道、應用使用過程等應用供應鏈相關環節引入的安全風險。
針對開發工具進行攻擊、影響最為廣泛的莫過于2015年的XcodeGhost(Xcode非官方版本惡意代碼污染事件),Xcode 是由蘋果公司發布的運行在操作系統Mac OS X上的集成開發工具(IDE),是開發OS X 和 iOS 應用程序的最主流工具。攻擊者通過向非官方版本的Xcode注入病毒Xcode Ghost,它的初始傳播途徑主要是通過非官方下載的 Xcode 傳播,通過 CoreService 庫文件進行感染。當應用開發者使用帶毒的Xcode工作時,編譯出的App都將被注入病毒代碼,從而產生眾多攜帶病毒的APP。
在Android應用開發方面,由于Android系統的開放性和官方開發工具獲取的便捷性,Android平臺上尚未發生影響重大的開發工具污染事件。但是當前一些廠商為了進一步簡化應用開發者的工作,對Android開發環境進行了進一步的封裝,比如App Inventor支持拖拽式開發,PhoneGap等平臺支持直接使用html開發應用等,這些開發平臺通常為了保證功能的實現,申請大量與用戶隱私相關的權限,導致應用存在隱私泄漏的安全風險。另一方面,手機編程工具AIDE和國內支持中文開發的易語言開發工具也進一步降低了惡意開發者的準入門檻,大量使用此類工具開發的惡意應用流入市場,對用戶造成安全風險。
Android應用的開發涉及到許多第三方SDK,包括支付、統計、廣告、社交、推送、地圖類等多種類型。根據對應用市場上各類型應用TOP 100使用的第三方SDK情況進行分析,發現各類SDK在應用中的集成比例從高到低依次為統計分析類、廣告類、社交類、支付類、位置類、推送類。
而各種類型的APP在第三方SDK使用數量方面,金融借貸類平均使用的SDK數量最多,達到21.5,緊隨其后是新聞類APP,平均數量為21.2;往后是購物類、社交類、銀行類和游戲類,平均數量都超過15個;再后面的則是出行類、辦公類和安全工具類,平均使用的SDK數量相對較少,分別為11.4、9.7和6.7。
從統計得到的數據可以看到,Android應用在開發時都集成使用了數目眾多的第三方SDK,尤其是金融借貸類、購物類、銀行類等涉及用戶身份信息和財產安全的應用,使用的第三方SDK數量普遍在15個以上,最多的甚至達到30多個。而這些應用集成的第三方SDK中,不僅包含大廠商提供的SDK,而且還包含很多開源社區提供的SDK,這些SDK的安全性都沒有得到很好的驗證,一旦發生安全問題,將直接危害用戶的隱私和財產安全,造成嚴重的后果。
Android平臺數目龐大第三方SDK在加速APP應用產品成型、節省開發成本的同時,其相關安全問題也不容小視。總結近幾年Android平臺發生第三方SDK安全事件,其安全問題主要發生在以下幾個方面:
首先,第三方SDK的開發者的安全能力水平參差不齊,且眾多第三方SDK的開發者側重于功能的實現,在安全方面的投入不足,導致第三方SDK中可能存在著這樣或那樣的安全漏洞。近兩年被爆出的有安全漏洞的第三方SDK主要有FFmpeg漏洞、友盟SDK、zipxx等,由于其被廣泛集成到大量的APP中,漏洞的影響范圍非常大。
FFmpeg漏洞
| 安全事件 | FFmpeg漏洞 |
|---|---|
| 披露時間 | 2017年6月 |
| 事件描述 | FFmpeg的是一款全球領先的多媒體框架,支持解碼、編碼、轉碼、復用、解復用、流媒體、過濾器和播放幾乎任何格式的多媒體文件。2017年6月,neex向Hackerone平臺提交了俄羅斯最大社交網站VK.com的ffmpeg的遠程任意文件讀取漏洞。該漏洞利用了FFmpeg可以處理HLS播放列表的特性,而播放列表(Playlist)中可以引用外部文件。通過在播放列表中添加本地任意文件的引用,并將該文件上傳到視頻網站,可以觸發本地文件讀取從來獲得服務器文件內容。同時,該漏洞亦可觸發SSRF漏洞,造成非常大的危害。 |
| 影響范圍 | 主流的視頻應用幾乎都采用了該開源框架,一旦被爆出安全漏洞,影響無法估量 |
| 參考鏈接 | https://hackerone.com/reports/226756 http://www.freebuf.com/column/142775.html |
友盟SDK未導出組件暴露漏洞
| 安全事件 | 友盟SDK未導出組件暴露漏洞 |
|---|---|
| 披露時間 | 2017年12月 |
| 事件描述 | 2017年12月,國內消息推送廠商友盟的SDK被爆出存在可越權調用未導出組件的漏洞,利用該漏洞可以實現對使用了友盟SDK的應用進行多種惡意攻擊,包括:任意組件的惡意調用、虛假消息的通知、遠程代碼執行等。 |
| 影響范圍 | 7千多款APP應用受影響,涉及多種類型的應用 |
| 參考鏈接 | http://www.freebuf.com/articles/system/156332.html |
ZipperDown漏洞
| 安全事件 | ZipperDown漏洞 |
|---|---|
| 披露時間 | 2018年5月 |
| 事件描述 | 2018年5月,盤古實驗室爆出SSZipArchive和ZipArchive兩個開源庫解壓縮過程中沒有考慮到文件名中包含“../”的情況,造成了文件釋放過程中路徑穿越,導致惡意Zip文件可以在App沙盒范圍內,覆蓋任意可寫文件。 |
| 影響范圍 | 影響多款流行應用 |
| 參考鏈接 | https://zipperdown.org/ |
其次,部分SDK開發者出于某種目的,在其開發的SDK中預留了后門用于收集用戶信息和執行越權操作。相關安全事件:
百度SDK Wormhole事件
| 安全事件 | 百度moplus SDK被爆出存在(Wormhole)漏洞 |
|---|---|
| 披露時間 | 2015年11月 |
| 事件描述 | 2015年11月,百度moplus SDK被爆出存在(Wormhole)漏洞,影響多款用戶量過億的應用。通過對Wormhole這個安全漏洞的研究,發現Moplus SDK具有后門功能,攻擊者可以利用此后門對受害用戶手機進行遠程靜默安裝應用、啟動任意應用、打開任意網頁、靜默添加聯系人、獲取用用戶隱私信息等。 |
| 影響范圍 | 14000款app遭植入,安卓設備感染量未知 |
| 參考鏈接 | http://www.freebuf.com/vuls/83789.html https://www.secpulse.com/archives/40062.html |
Igexin SDK竊取用戶隱私
| 安全事件 | Igexin SDK竊取用戶隱私 |
|---|---|
| 披露時間 | 2017年8月 |
| 事件描述 | 2017年8月,國內一家名為Igexin的廣告SDK被移動安全廠商Lookout報出存在秘密竊取用戶數據的行為。Igexin SDK借著合法應用的掩護上架應用市場,在應用運行過程中會連接Igexin的服務器,下載并動態加載執行惡意代碼,收集上報用戶設備上的各種隱私數據,包括設備信息、通話日志記錄等。 |
| 影響范圍 | 報告指出Google Play上超過500款應用使用了Igexin 的廣告SDK,這些應用的總下載次數超過1億次。 |
| 參考鏈接 | https://blog.lookout.com/igexin-malicious-sdk |
再次,部分惡意開發者滲入了SDK開發環節,以提供第三方服務的方式吸引其他APP應用開發者來集成他們的SDK。借助這些合法應用,惡意的SDK可以有效地躲避大部分應用市場和安全廠商的檢測,影響大量用戶的安全。
“Ya Ya Yun”惡意SDK
| 安全事件 | “Ya Ya Yun”惡意SDK |
|---|---|
| 披露時間 | 2018年1月 |
| 事件描述 | Doctor Web病毒分析師在Google Play上發現了幾款游戲在運行時秘密地下載和啟動執行各種惡意行為的附加模塊。分析發現作惡模塊是一個叫做呀呀云(Ya Ya Yun)的框架(SDK)的一部分。該SDK秘密地從遠程服務器下載惡意模塊,通過后臺打開網站并模擬點擊來盜刷廣告,獲取灰色收益。 |
| 影響范圍 | Google Play上超27款游戲應用包含此惡意SDK,影響超450萬個用戶 |
| 參考鏈接 | https://news.drweb.com/show/?i=11685&lng=en&c=14 |
“寄生推”惡意SDK
| 安全事件 | “寄生推”惡意SDK |
|---|---|
| 披露時間 | 2018年4月 |
| 事件描述 | 2018年4月,騰訊安全反詐騙實驗室的TRP-AI反病毒引擎捕獲到一個惡意推送信息的軟件開發工具包(SDK)——“寄生推”,它通過預留的“后門”云控開啟惡意功能,私自ROOT用戶設備并植入惡意模塊,進行惡意廣告行為和應用推廣,以實現牟取灰色收益。 |
| 影響范圍 | 超過300多款知名應用受“寄生推”SDK感染,潛在影響用戶超2000萬。 |
| 參考鏈接 | http://www.freebuf.com/articles/terminal/168984.html |
Android應用分發渠道在供應鏈中占據著十分重要的位置,也是安全問題頻發的環節。Android應用分發渠道眾多,應用市場、廠商預裝、破解網站、ROM內置等都是用戶獲取應用的常見方式。不僅第三方站點下載、破解應用等灰色供應鏈中獲取的軟件極易被植入惡意代碼,就連某些正規的應用市場,由于審核不嚴等因素也被攻擊者植入過含有惡意代碼的“正規”軟件。
WireX Android Botnet
| 安全事件 | WireX Android Botnet 污染 Google Play 應用市場事件 |
|---|---|
| 披露時間 | 2017年8月 |
| 事件描述 | 2017年8月17日,名為WireX BotNet的僵尸網絡通過偽裝普通安卓應用的方式大量感染安卓設備并發動了較大規模的DDoS攻擊,此舉引起了部分CDN提供商的注意,此后來自Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ, Team Cymru等組織聯合對該事件進行分析,并于8月28日發布了該事件的安全報告。 |
| 影響范圍 | 發現大約有300種不同的移動應用程序分散在Google Play商店中,WireX引發的DDoS事件源自至少7萬個獨立IP地址,8月17日攻擊數據的分析顯示,來自100多個國家的設備感染了WireX BotNet。 |
| 參考鏈接 | https://blog.cloudflare.com/the-wirex-botnet/?utm_content=buffer9e1c5&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer http://www.freebuf.com/articles/terminal/145955.html |
Pujia8 破解網站攜帶木馬
| 安全事件 | Pujia8 破解網站攜帶木馬 |
|---|---|
| 披露時間 | 2017年11月 |
| 事件描述 | 2017年11月,騰訊反詐騙實驗室發現某游戲破解網站上多款游戲應用被植入了Root模塊,在運行時,利用 CVE-2015-1805等內核漏洞強行ROOT用戶設備,并將無圖標惡意應用植入到設備系統目錄,長期潛伏用戶設備進行惡意廣告和流氓推廣行為。 |
| 影響范圍 | 涉及多款破解游戲應用,影響百萬用戶 |
| 參考鏈接 | http://www.freebuf.com/articles/network/154029.html |
除了用戶直接獲取應用的渠道存在的安全威脅外,其他提供第三方服務的廠商如OTA升級、安全加固等也可能在服務中預留后門程序,威脅用于的隱私和設備安全。
廣升被爆向Android設備預裝后門
| 安全事件 | 廣升被爆向Android設備預裝后門,竊取用戶隱私 |
|---|---|
| 披露時間 | 2016年11月 |
| 事件描述 | 上海廣升信息技術有限公司是全球領先的FOTA技術服務提供商之一,核心業務為廣升FOTA無線升級,通過升級包差分,空中下載,遠程升級技術,為具有連網功能的設備如手機、平板電腦等智能終端提供固件差分包升級服務。 2016年11月,信息安全公司Kryptowire在一些價格低廉的Android設備上發現了后門程序,該后門會每隔72小時收集設備上的隱私信息,包括短信內容、聯系人信息、通話記錄、IMEI、IMSI、位置、安裝的應用和使用的應用等,上傳到該后門開發商的服務器中。后門的開發商是上海廣升信息技術股份有限公司,該公司法律顧問稱這個后門出現在設備制造商BLU生產的設備上是一個錯誤行為。 2017年11月, Malwarebytes 移動安全團隊公布的報告稱大量 Android 設備仍然含有了提供 FOTA 服務的上海廣升公司的后門。 |
| 影響范圍 | 部分使用了廣升FOTA技術服務的中低端Android設備 |
| 參考鏈接 | https://www.bleepingcomputer.com/news/security/secret-backdoor-in-some-low-priced-android-phones-sent-data-to-a-server-in-china/ https://www.bleepingcomputer.com/news/security/chinese-backdoor-still-active-on-many-android-devices/ |
OTA廠商銳嘉科在Android設備中植入rootkit
| 安全事件 | OTA廠商銳嘉科在Android設備中植入rootkit |
|---|---|
| 披露時間 | 2016年11月 |
| 事件描述 | 2016年11月,AnubisNetworks的安全研究人員發現多個品牌的Android手機固件OTA升級機制存在安全問題,而這種不安全的的OTA升級機制和中國一家名為銳嘉科(Ragentek Group)的公司有關。 報告稱,安裝該惡意軟件的設備可被黑客進行中間人攻擊,并且以root權限執行任意代碼以此來獲得對Android設備的絕對控制權,其主要原因是因為設備在OTA更新的時候沒有采取嚴格的加密措施導致的。 |
| 影響范圍 | 三百萬臺被植入該后門的安卓設備 |
| 參考鏈接 | http://www.freebuf.com/news/120639.html |
某加固服務被爆出夾帶廣告
| 安全事件 | 某加固服務被爆出夾帶廣告 |
|---|---|
| 披露時間 | 2017年1月 |
| 事件描述 | 2017年初,有開發者反饋,開發的應用在使用了某加固服務后,被嵌入了充電廣告。根據開發者的挖掘,該加固服務在加固應用時,會在開發者不知情的情況下植入代碼用于拉取廣告、下載拉活其他應用、程序異常上報、獲取應用程序信息等行為。 |
| 影響范圍 | 涉及使用該版本加固服務的所有應用 |
| 參考鏈接 | http://www.dgtle.com/article-17069-1.html |
用戶在使用應用的過程中,也可能面臨應用升級更新的情況,2017年12月,Android平臺爆出“核彈級”Janus漏洞,能在不影響應用簽名的情況下,修改應用代碼,導致應用的升級安裝可能被惡意篡改。同樣,隨著越來越多的應用采用熱補丁的方式更新應用代碼,惡意開發者也趁虛而入,在應用更新方式上做手腳,下發惡意代碼,威脅用戶安全。
Janus簽名漏洞
| 安全事件 | Android平臺爆出Janus簽名漏洞,應用升級可能被惡意篡改 |
|---|---|
| 披露時間 | 2017年12月 |
| 事件描述 | 2017年12月,Android平臺被爆出“核彈級”漏洞Janus(CVE-2017-13156),該漏洞允許攻擊者任意修改Android應用中的代碼,而不會影響其簽名。正常情況下 根據Android簽名機制,開發者發布一個應用,需要使用他的私鑰對其進行簽名。惡意攻擊者如果嘗試修改了這個應用中的任何一個文件(包括代碼和資源等),那么他就必須對APK進行重新簽名,否則修改過的應用是無法安裝到任何Android設備上的。但是通過Janus漏洞,惡意攻擊者可以篡改Android應用中的代碼,而不會影響其簽名,并通過應用升級過程,覆蓋安裝原有應用。 |
| 影響范圍 | 系統版本Android 5.0~8.0,采用v1簽名的APK應用 |
| 參考鏈接 | http://www.freebuf.com/articles/paper/158133.html |
兒童游戲系列應用
| 安全事件 | 兒童游戲應用,動態更新下載惡意代碼 |
|---|---|
| 披露時間 | 2018年5月 |
| 事件描述 | 2018年5月,騰訊安全反詐騙實驗室曝光了“兒童游戲”系列惡意應用。這類應用表面上是兒童益智類的小游戲,在國內大部分應用市場都有上架,但實際上,這些應用在使用過程中可以通過云端控制更新惡意代碼包,在背地里做著用戶無法感知的惡意行為:加載惡意廣告插件,通過將廣告展示界面設置為不可見,進行廣告盜刷行為,瘋狂消耗用戶流量;動態加載惡意ROOT子包,獲取手機ROOT權限,替換系統文件,將惡意的ELF文件植入用戶手機。 |
| 影響范圍 | 涉及一百多款兒童游戲應用,累計影響用戶數達百萬 |
| 參考鏈接 | http://www.freebuf.com/articles/terminal/173104.html |
Android供應鏈安全事件時序圖
分析我們整理的關于Android應用供應鏈的重要安全事件的時序圖可以發現,針對供應鏈攻擊的安全事件在影響面、嚴重程度上都絕不低于傳統的惡意應用本身和針對操作系統的漏洞攻擊,針對Android應用供應鏈的攻擊的呈現出以下趨勢:
1、針對供應鏈下游(分發環節)攻擊的安全事件占據了供應鏈攻擊的大頭,受影響用戶數多在百萬級別,且層出不窮。類似于XcodeGhost這類污染開發工具針對軟件供應鏈上游(開發環境)進行攻擊的安全事件較少,但攻擊一旦成功,卻可能影響上億用戶。
2、第三方SDK安全事件和廠商預留后門也是Android供應鏈中頻發的安全事件,這類攻擊大多采用了白簽名繞過查殺體系的機制,其行為也介于黑白之間,從影響用戶數來說遠超一般的漏洞利用類攻擊。
3、從攻擊的隱蔽性來講,基于供應鏈各環節的攻擊較傳統的惡意應用來說,隱蔽性更強,潛伏周期更久,攻擊的發現和清理也都比較復雜。
4、針對供應鏈各環節被揭露出來的攻擊在近幾年都呈上升趨勢,在趨于更加復雜化的互聯網環境下,軟件供應鏈所暴露給攻擊者的攻擊面越來越多,并且越來越多的攻擊者也發現針對供應鏈的攻擊相對針對應用本身或系統的漏洞攻擊可能更加容易,成本更低。
針對供應鏈的攻擊事件增多,攻擊的深度和廣度的延伸也給移動安全廠商帶來了更大的挑戰。無論是基于特征碼查殺、啟發式殺毒這類以靜態特征對抗靜態代碼的第一代安全技術,還是以云查和機器學習對抗樣本變種、使用白名單和“非白即黑”的限制策略等主動防御手段為主的第二代安全技術,在面對更具有針對性、隱蔽性的攻擊時,都顯得捉襟見肘。在這種新的攻擊環境下,我們極需一種新時代的安全體系來保護組織和用戶的安全。
針對軟件供應鏈攻擊,無論是免費應用還是付費應用,在供應鏈的各個環節都可能被攻擊者利用,因此,需要對供應鏈全面設防,打造Android應用供應鏈的安全生態。在應對應用供應鏈攻擊的整個場景中,需要手機廠商、應用開發者、應用市場、安全廠商、最終用戶等各主體積極參與、通力合作。
受到Android系統的諸多特性的影響,系統版本的碎片化問題十分嚴重。各大手機廠商對現存設備安全漏洞的修復和更新安全補丁的響應時間有很大的區別。
1、關注Google關于Android系統的安全通告,及時對系統已知的安全漏洞進行修復;
2、關注自身維護機型的安全動態,如被揭露出存在嚴重的安全問題,通過配置或加入其他安全性控制作為緩解措施,必要時對系統進行相應的安全升級;
3、遵守相關安全法規,嚴禁開發人員在手機系統中留下調試后門之類的安全風險,防止被惡意利用,保證可信安全的手機系統環境。
培養開發人員的安全意識,在開發過程的各個環節建立檢查點,把安全性的評估作為一個必要評審項。開發環節嚴格遵守開發規范,防止類似調試后門等安全威脅的產生。開發完成的應用發布前交給獨立的內部或外部測評組織進行安全性評估,及時解決所發現的問題。
通過正規渠道發布應用,對應用簽名證書做好保密措施,規范應用發布流程,防止應用簽名證書泄露導致應用被篡改。軟件升級更新時,要校驗下載回來的升級包,保證不運行被劫持的升級包。
由于Android系統的開發性和一些特殊的原因,各大手機廠商的應用市場、應用寶和眾多第三方應用市場是國內應用分發的主要渠道。應用市場在Android應用供應鏈生態在處于十分關鍵的位置,也是安全問題頻發的環節。針對應用市場,我們給出了以下建議:
1、規范應用審核和發布流程,各環節嚴格把控,禁止具有安全風險的應用進入應用市場;
2、完善的應用開發商/者的管理規范,實施有效的獎懲措施,打擊惡意開發者,防止惡意開發者渾水摸魚;
3、提升自身惡意應用檢測能力或使用成熟的安全廠商提供的檢測服務,預防惡意應用進入應用市場。
長期以來安全廠商大多以應用安全和操作系統本身的漏洞為中心提供產品和服務,針對供應鏈環節的安全問題似乎并沒有投入足夠的關注。通過上述對應用供應鏈各環節的重大安全事件分析可以看到,應用開發、交付、使用等環節都存在巨大的安全威脅,其導致的危害并不低于安全漏洞所導致的情況,因此僅關注軟件及操作系統本身的安全威脅是遠遠不夠的。所以,安全廠商需要從完整的軟件供應鏈角度形成全景的安全視野,才能解決更多縱深的安全風險。安全廠商可以加強如下幾點:
1.提升發現安全問題的能力,不僅限于通常意義惡意軟件和系統上的安全漏洞,而是要關注應用供應鏈的各個環節,針對應用在終端上的行為,而非樣本本身進行防御;
2.提供創新型的產品和服務,為用戶實現全面細致的態勢感知,立足于安全威脅本身,鏈接威脅背后的組織、目的和技術手段,進行持續監控,發現可能的未知攻擊,并幫助用戶完成安全事件的快速檢測和響應。
為應對未來嚴峻的安全挑戰,騰訊安全立足終端安全,推出自研AI反病毒引擎——騰訊TRP引擎,TRP引擎通過對系統層的敏感行為進行監控,配合能力成熟的AI技術對設備上各類應用的行為進行深度學習,能有效識別惡意應用的風險行為,并實時阻斷惡意行為,為用戶提供更高智能的實時終端安全防護。
最終用戶身處供應鏈的最末端,作為應用的使用者,也是惡意應用的直接危害對象,我們給出了以下建議:
1、盡可能使用正版和官方應用市場提供的APP應用;
2、不要安裝非可信渠道的應用和點擊可疑的URL;
3、移動設備及時進行安全更新;
4、安裝手機管家等安全軟件,實時進行保護。
看完上述內容是否對您有幫助呢?如果還想對相關知識有進一步的了解或閱讀更多相關文章,請關注億速云行業資訊頻道,感謝您對億速云的支持。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
