溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點(diǎn)擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

網(wǎng)絡(luò)安全新常態(tài)下的Android應(yīng)用供應(yīng)鏈安全是怎樣的

發(fā)布時(shí)間:2021-12-27 14:59:24 來源:億速云 閱讀:128 作者:柒染 欄目:網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全新常態(tài)下的Android應(yīng)用供應(yīng)鏈安全是怎樣的,很多新手對此不是很清楚,為了幫助大家解決這個(gè)難題,下面小編將為大家詳細(xì)講解,有這方面需求的人可以來學(xué)習(xí)下,希望你能有所收獲。

前言    

時(shí)至2018年,移動(dòng)互聯(lián)網(wǎng)的發(fā)展已走過十年歷程,智能設(shè)備已深入人們生活的方方面面,其安全問題也時(shí)刻牽動(dòng)著人們的神經(jīng)。自2014年移動(dòng)端惡意軟件爆發(fā)時(shí)增長以來,Google、手機(jī)廠商和移動(dòng)安全廠商都投入了巨大的精力,與惡意開發(fā)者進(jìn)行了激烈的對抗。

過去幾年,經(jīng)過各方的共同努力,普通Android惡意軟件的迅猛增長趨勢已經(jīng)得到遏制,據(jù)騰訊手機(jī)管家數(shù)據(jù)顯示,2018年上半年Android平臺新增惡意樣本數(shù)468.70萬,較去年同期下降47.8%。但與此同時(shí),騰訊大數(shù)據(jù)監(jiān)測到基于Android應(yīng)用供應(yīng)鏈的其他環(huán)節(jié)的安全問題逐漸增多,顯示出惡意開發(fā)者已經(jīng)將更多的目光投向Android應(yīng)用供應(yīng)鏈的薄弱環(huán)節(jié)。鑒于供應(yīng)鏈安全問題較強(qiáng)的隱蔽性和影響的廣泛性,希望相關(guān)各方關(guān)注供應(yīng)鏈攻擊的新形式,做好有效的安全防御措施。

一、新常態(tài)下Android應(yīng)用安全威脅朝供應(yīng)鏈環(huán)節(jié)轉(zhuǎn)移

2017年永恒之藍(lán)勒索蠕蟲事件和《網(wǎng)絡(luò)安全法》的正式實(shí)施是網(wǎng)絡(luò)安全行業(yè)的一個(gè)分水嶺,廣大的政企機(jī)構(gòu)的攻防態(tài)勢和網(wǎng)絡(luò)安全的監(jiān)管形勢都發(fā)生了根本變化,我們稱之為網(wǎng)絡(luò)安全的新常態(tài)。2018年,網(wǎng)絡(luò)安全將全面進(jìn)入這種新常態(tài),安全威脅也越來越凸顯出攻擊復(fù)雜化、漏洞產(chǎn)業(yè)化、網(wǎng)絡(luò)軍火民用化等日益升級的特點(diǎn)。作為網(wǎng)絡(luò)安全行業(yè)重要領(lǐng)域的移動(dòng)安全,隨著攻防對抗進(jìn)入深水區(qū),面臨的安全威脅也呈現(xiàn)出新的特點(diǎn):

1. Android惡意樣本總體增長趨勢得到遏制

過去幾年,在Google、手機(jī)廠商和安全廠商的共同努力下,移動(dòng)端惡意軟件的迅猛增長趨勢得到了遏制。根據(jù)Google《2017年度Android安全報(bào)告》顯示,2017年,有超過70萬款應(yīng)用因違反相關(guān)規(guī)定從Google Play上下架,Android用戶在Google Play 上下載到潛在惡意應(yīng)用的幾率是0.02%,該比率較2016年下降0.02%。而根據(jù)騰訊手機(jī)管家數(shù)據(jù)顯示,2018年上半年Android平臺新增惡意樣本468.70萬,相比2017年上半年(899萬)下降47.8%,扭轉(zhuǎn)了2015年以來的迅猛增長勢頭。

網(wǎng)絡(luò)安全新常態(tài)下的Android應(yīng)用供應(yīng)鏈安全是怎樣的    

2. 更多的高端的移動(dòng)端惡意軟件

相較與Android惡意應(yīng)用總體數(shù)量呈下降趨勢,高端的、復(fù)雜移動(dòng)惡意軟件的攻擊卻有上升趨勢。近年來,安全研究人員和分析團(tuán)隊(duì)跟蹤了100多個(gè)APT組織及其活動(dòng),這些組織發(fā)起的攻擊活動(dòng)異常復(fù)雜,而且擁有豐富的武器資源,包括0day漏洞,fileless攻擊工具等,攻擊者還會結(jié)合傳統(tǒng)的黑客攻擊動(dòng)用更復(fù)雜的人力資源來完成數(shù)據(jù)的竊取任務(wù)。2016年8月Lookout發(fā)表了他們對一個(gè)復(fù)雜的移動(dòng)間諜軟件Pegasus的研究報(bào)告,這款間諜軟件與以色列的安全公司NSO Group有關(guān),結(jié)合了多個(gè)0day漏洞,能夠遠(yuǎn)程繞過現(xiàn)代移動(dòng)操作系統(tǒng)的安全防御,甚至能夠攻破一向以安全著稱的iOS系統(tǒng)。2017年4月,谷歌公布了其對Pegasus間諜軟件的安卓版Chrysaor的分析報(bào)告。除了上述兩款移動(dòng)端間諜軟件之外,還有許多其他的APT組織都開發(fā)了自定義的移動(dòng)端植入惡意軟件。評估認(rèn)為,在野的移動(dòng)端惡意軟件的總數(shù)可能高于目前公布的數(shù)量,可以預(yù)見的是,在2018年,攻擊量會繼續(xù)增加,將有更多的高級移動(dòng)端惡意軟件被發(fā)現(xiàn)。

3. 更多的供應(yīng)鏈薄弱環(huán)節(jié)被利用

在APT攻擊活動(dòng)的研究過程中,經(jīng)??梢钥吹?,惡意攻擊者為了嘗試突破某一目標(biāo)可以花費(fèi)很長一段時(shí)間,即使屢屢失敗也會繼續(xù)變換方式或途徑繼續(xù)嘗試突破,直至找到合適的入侵方式或途徑。同時(shí),惡意攻擊者也更多地將目光投向供應(yīng)鏈中最薄弱的一環(huán),如手機(jī)OTA升級服務(wù)預(yù)裝后門程序,第三方廣告SDK竊取用戶隱私等,這類攻擊借助“合法軟件”的保護(hù),很容易繞開安全產(chǎn)品的檢測,進(jìn)行大范圍的傳播和攻擊。經(jīng)過騰訊大數(shù)據(jù)監(jiān)測發(fā)現(xiàn),近年來,與Android應(yīng)用供應(yīng)鏈相關(guān)的安全事件越來越多,惡意軟件作者正越來越多地利用用戶與軟件供應(yīng)商間的固有信任,通過層出不窮的攻擊手法投遞惡意載體,造成難以估量的損失。

綜上所述,在Android安全領(lǐng)域,過去幾年經(jīng)Google、手機(jī)廠商和安全廠商的共同努力,普通的Android惡意軟件的迅猛增長趨勢得到了遏制,而惡意開發(fā)者則將更多的目光轉(zhuǎn)向了Android應(yīng)用供應(yīng)鏈的薄弱環(huán)節(jié),以期增強(qiáng)攻擊的隱蔽性和繞過安全廠商的圍追堵截,擴(kuò)大攻擊的傳播范圍。本文將列舉近年來與Android應(yīng)用供應(yīng)鏈安全的相關(guān)事件,分析Android應(yīng)用供應(yīng)鏈面臨的安全挑戰(zhàn),并提出相應(yīng)的防護(hù)對策和建議。

二、Android應(yīng)用供應(yīng)鏈相關(guān)概念和環(huán)節(jié)劃分

目前關(guān)于Android應(yīng)用供應(yīng)鏈還沒有明確的概念,我們根據(jù)傳統(tǒng)的供應(yīng)鏈概念將其簡單抽象成如下幾個(gè)環(huán)節(jié):

1.開發(fā)環(huán)節(jié)

應(yīng)用開發(fā)涉及到開發(fā)環(huán)境、開發(fā)工具、第三方庫等,并且開發(fā)實(shí)施的具體過程還包括需求分析、設(shè)計(jì)、實(shí)現(xiàn)和測試等。在這一環(huán)節(jié)中形成最終用戶可用的應(yīng)用產(chǎn)品。

2.分發(fā)環(huán)節(jié)

用戶通過應(yīng)用商店、網(wǎng)絡(luò)下載、廠商預(yù)裝、Rom內(nèi)置等渠道獲取到應(yīng)用的過程。

3.使用環(huán)節(jié)

用戶使用應(yīng)用的整個(gè)生命周期,包括升級、維護(hù)等過程。

三、Android應(yīng)用供應(yīng)鏈生態(tài)重要安全事件

從最終用戶安全感知角度而言,Android端主要的安全威脅仍然是信息泄露、扣費(fèi)短信、惡意廣告、挖礦木馬、勒索軟件等常見形態(tài)。透過現(xiàn)象看本質(zhì),正是因?yàn)橐苿?dòng)生態(tài)環(huán)節(jié)中的一些安全脆弱點(diǎn),導(dǎo)致了這些威脅的頻發(fā)和泛濫。前面定義了應(yīng)用供應(yīng)鏈的概念并抽象出了幾大相關(guān)環(huán)節(jié),攻擊者針對上述各環(huán)節(jié)進(jìn)行攻擊,都有可能影響到最終的應(yīng)用產(chǎn)品和整個(gè)使用場景的安全。

下面,本文將通過相關(guān)的安全事件來分析從開發(fā)工具、第三方庫、分發(fā)渠道、應(yīng)用使用過程等應(yīng)用供應(yīng)鏈相關(guān)環(huán)節(jié)引入的安全風(fēng)險(xiǎn)。

網(wǎng)絡(luò)安全新常態(tài)下的Android應(yīng)用供應(yīng)鏈安全是怎樣的

3.1 開發(fā)工具相關(guān)安全調(diào)研

針對開發(fā)工具進(jìn)行攻擊、影響最為廣泛的莫過于2015年的XcodeGhost(Xcode非官方版本惡意代碼污染事件),Xcode 是由蘋果公司發(fā)布的運(yùn)行在操作系統(tǒng)Mac OS X上的集成開發(fā)工具(IDE),是開發(fā)OS X 和 iOS 應(yīng)用程序的最主流工具。攻擊者通過向非官方版本的Xcode注入病毒Xcode Ghost,它的初始傳播途徑主要是通過非官方下載的 Xcode 傳播,通過 CoreService 庫文件進(jìn)行感染。當(dāng)應(yīng)用開發(fā)者使用帶毒的Xcode工作時(shí),編譯出的App都將被注入病毒代碼,從而產(chǎn)生眾多攜帶病毒的APP。

在Android應(yīng)用開發(fā)方面,由于Android系統(tǒng)的開放性和官方開發(fā)工具獲取的便捷性,Android平臺上尚未發(fā)生影響重大的開發(fā)工具污染事件。但是當(dāng)前一些廠商為了進(jìn)一步簡化應(yīng)用開發(fā)者的工作,對Android開發(fā)環(huán)境進(jìn)行了進(jìn)一步的封裝,比如App Inventor支持拖拽式開發(fā),PhoneGap等平臺支持直接使用html開發(fā)應(yīng)用等,這些開發(fā)平臺通常為了保證功能的實(shí)現(xiàn),申請大量與用戶隱私相關(guān)的權(quán)限,導(dǎo)致應(yīng)用存在隱私泄漏的安全風(fēng)險(xiǎn)。另一方面,手機(jī)編程工具AIDE和國內(nèi)支持中文開發(fā)的易語言開發(fā)工具也進(jìn)一步降低了惡意開發(fā)者的準(zhǔn)入門檻,大量使用此類工具開發(fā)的惡意應(yīng)用流入市場,對用戶造成安全風(fēng)險(xiǎn)。

3.2 第三方sdk安全事件

 Android應(yīng)用的開發(fā)涉及到許多第三方SDK,包括支付、統(tǒng)計(jì)、廣告、社交、推送、地圖類等多種類型。根據(jù)對應(yīng)用市場上各類型應(yīng)用TOP 100使用的第三方SDK情況進(jìn)行分析,發(fā)現(xiàn)各類SDK在應(yīng)用中的集成比例從高到低依次為統(tǒng)計(jì)分析類、廣告類、社交類、支付類、位置類、推送類。

網(wǎng)絡(luò)安全新常態(tài)下的Android應(yīng)用供應(yīng)鏈安全是怎樣的

而各種類型的APP在第三方SDK使用數(shù)量方面,金融借貸類平均使用的SDK數(shù)量最多,達(dá)到21.5,緊隨其后是新聞?lì)怉PP,平均數(shù)量為21.2;往后是購物類、社交類、銀行類和游戲類,平均數(shù)量都超過15個(gè);再后面的則是出行類、辦公類和安全工具類,平均使用的SDK數(shù)量相對較少,分別為11.4、9.7和6.7。

網(wǎng)絡(luò)安全新常態(tài)下的Android應(yīng)用供應(yīng)鏈安全是怎樣的

從統(tǒng)計(jì)得到的數(shù)據(jù)可以看到,Android應(yīng)用在開發(fā)時(shí)都集成使用了數(shù)目眾多的第三方SDK,尤其是金融借貸類、購物類、銀行類等涉及用戶身份信息和財(cái)產(chǎn)安全的應(yīng)用,使用的第三方SDK數(shù)量普遍在15個(gè)以上,最多的甚至達(dá)到30多個(gè)。而這些應(yīng)用集成的第三方SDK中,不僅包含大廠商提供的SDK,而且還包含很多開源社區(qū)提供的SDK,這些SDK的安全性都沒有得到很好的驗(yàn)證,一旦發(fā)生安全問題,將直接危害用戶的隱私和財(cái)產(chǎn)安全,造成嚴(yán)重的后果。

Android平臺數(shù)目龐大第三方SDK在加速APP應(yīng)用產(chǎn)品成型、節(jié)省開發(fā)成本的同時(shí),其相關(guān)安全問題也不容小視??偨Y(jié)近幾年Android平臺發(fā)生第三方SDK安全事件,其安全問題主要發(fā)生在以下幾個(gè)方面:

首先,第三方SDK的開發(fā)者的安全能力水平參差不齊,且眾多第三方SDK的開發(fā)者側(cè)重于功能的實(shí)現(xiàn),在安全方面的投入不足,導(dǎo)致第三方SDK中可能存在著這樣或那樣的安全漏洞。近兩年被爆出的有安全漏洞的第三方SDK主要有FFmpeg漏洞、友盟SDK、zipxx等,由于其被廣泛集成到大量的APP中,漏洞的影響范圍非常大。

FFmpeg漏洞

安全事件 FFmpeg漏洞
披露時(shí)間2017年6月
事件描述FFmpeg的是一款全球領(lǐng)先的多媒體框架,支持解碼、編碼、轉(zhuǎn)碼、復(fù)用、解復(fù)用、流媒體、過濾器和播放幾乎任何格式的多媒體文件。2017年6月,neex向Hackerone平臺提交了俄羅斯最大社交網(wǎng)站VK.com的ffmpeg的遠(yuǎn)程任意文件讀取漏洞。該漏洞利用了FFmpeg可以處理HLS播放列表的特性,而播放列表(Playlist)中可以引用外部文件。通過在播放列表中添加本地任意文件的引用,并將該文件上傳到視頻網(wǎng)站,可以觸發(fā)本地文件讀取從來獲得服務(wù)器文件內(nèi)容。同時(shí),該漏洞亦可觸發(fā)SSRF漏洞,造成非常大的危害。
影響范圍主流的視頻應(yīng)用幾乎都采用了該開源框架,一旦被爆出安全漏洞,影響無法估量
參考鏈接https://hackerone.com/reports/226756 http://www.freebuf.com/column/142775.html

友盟SDK未導(dǎo)出組件暴露漏洞

安全事件 友盟SDK未導(dǎo)出組件暴露漏洞
披露時(shí)間2017年12月
事件描述2017年12月,國內(nèi)消息推送廠商友盟的SDK被爆出存在可越權(quán)調(diào)用未導(dǎo)出組件的漏洞,利用該漏洞可以實(shí)現(xiàn)對使用了友盟SDK的應(yīng)用進(jìn)行多種惡意攻擊,包括:任意組件的惡意調(diào)用、虛假消息的通知、遠(yuǎn)程代碼執(zhí)行等。
影響范圍7千多款A(yù)PP應(yīng)用受影響,涉及多種類型的應(yīng)用
參考鏈接http://www.freebuf.com/articles/system/156332.html

ZipperDown漏洞

安全事件 ZipperDown漏洞
披露時(shí)間2018年5月
事件描述2018年5月,盤古實(shí)驗(yàn)室爆出SSZipArchive和ZipArchive兩個(gè)開源庫解壓縮過程中沒有考慮到文件名中包含“../”的情況,造成了文件釋放過程中路徑穿越,導(dǎo)致惡意Zip文件可以在App沙盒范圍內(nèi),覆蓋任意可寫文件。
影響范圍影響多款流行應(yīng)用
參考鏈接https://zipperdown.org/

其次,部分SDK開發(fā)者出于某種目的,在其開發(fā)的SDK中預(yù)留了后門用于收集用戶信息和執(zhí)行越權(quán)操作。相關(guān)安全事件:

百度SDK Wormhole事件

安全事件 百度moplus SDK被爆出存在(Wormhole)漏洞
披露時(shí)間2015年11月
事件描述2015年11月,百度moplus SDK被爆出存在(Wormhole)漏洞,影響多款用戶量過億的應(yīng)用。通過對Wormhole這個(gè)安全漏洞的研究,發(fā)現(xiàn)Moplus SDK具有后門功能,攻擊者可以利用此后門對受害用戶手機(jī)進(jìn)行遠(yuǎn)程靜默安裝應(yīng)用、啟動(dòng)任意應(yīng)用、打開任意網(wǎng)頁、靜默添加聯(lián)系人、獲取用用戶隱私信息等。
影響范圍14000款app遭植入,安卓設(shè)備感染量未知 
參考鏈接http://www.freebuf.com/vuls/83789.html https://www.secpulse.com/archives/40062.html

Igexin SDK竊取用戶隱私

安全事件 Igexin SDK竊取用戶隱私
披露時(shí)間2017年8月
事件描述2017年8月,國內(nèi)一家名為Igexin的廣告SDK被移動(dòng)安全廠商Lookout報(bào)出存在秘密竊取用戶數(shù)據(jù)的行為。Igexin SDK借著合法應(yīng)用的掩護(hù)上架應(yīng)用市場,在應(yīng)用運(yùn)行過程中會連接Igexin的服務(wù)器,下載并動(dòng)態(tài)加載執(zhí)行惡意代碼,收集上報(bào)用戶設(shè)備上的各種隱私數(shù)據(jù),包括設(shè)備信息、通話日志記錄等。
影響范圍報(bào)告指出Google Play上超過500款應(yīng)用使用了Igexin 的廣告SDK,這些應(yīng)用的總下載次數(shù)超過1億次。
參考鏈接https://blog.lookout.com/igexin-malicious-sdk

再次,部分惡意開發(fā)者滲入了SDK開發(fā)環(huán)節(jié),以提供第三方服務(wù)的方式吸引其他APP應(yīng)用開發(fā)者來集成他們的SDK。借助這些合法應(yīng)用,惡意的SDK可以有效地躲避大部分應(yīng)用市場和安全廠商的檢測,影響大量用戶的安全。

“Ya Ya Yun”惡意SDK

安全事件 “Ya Ya Yun”惡意SDK
披露時(shí)間2018年1月
事件描述Doctor Web病毒分析師在Google Play上發(fā)現(xiàn)了幾款游戲在運(yùn)行時(shí)秘密地下載和啟動(dòng)執(zhí)行各種惡意行為的附加模塊。分析發(fā)現(xiàn)作惡模塊是一個(gè)叫做呀呀云(Ya Ya Yun)的框架(SDK)的一部分。該SDK秘密地從遠(yuǎn)程服務(wù)器下載惡意模塊,通過后臺打開網(wǎng)站并模擬點(diǎn)擊來盜刷廣告,獲取灰色收益。
影響范圍Google Play上超27款游戲應(yīng)用包含此惡意SDK,影響超450萬個(gè)用戶
參考鏈接https://news.drweb.com/show/?i=11685&lng=en&c=14

“寄生推”惡意SDK

安全事件 寄生推”惡意SDK
披露時(shí)間2018年4月
事件描述2018年4月,騰訊安全反詐騙實(shí)驗(yàn)室的TRP-AI反病毒引擎捕獲到一個(gè)惡意推送信息的軟件開發(fā)工具包(SDK)——“寄生推”,它通過預(yù)留的“后門”云控開啟惡意功能,私自ROOT用戶設(shè)備并植入惡意模塊,進(jìn)行惡意廣告行為和應(yīng)用推廣,以實(shí)現(xiàn)牟取灰色收益。
影響范圍超過300多款知名應(yīng)用受“寄生推”SDK感染,潛在影響用戶超2000萬。
參考鏈接http://www.freebuf.com/articles/terminal/168984.html

3.3 應(yīng)用分發(fā)渠道安全事件

Android應(yīng)用分發(fā)渠道在供應(yīng)鏈中占據(jù)著十分重要的位置,也是安全問題頻發(fā)的環(huán)節(jié)。Android應(yīng)用分發(fā)渠道眾多,應(yīng)用市場、廠商預(yù)裝、破解網(wǎng)站、ROM內(nèi)置等都是用戶獲取應(yīng)用的常見方式。不僅第三方站點(diǎn)下載、破解應(yīng)用等灰色供應(yīng)鏈中獲取的軟件極易被植入惡意代碼,就連某些正規(guī)的應(yīng)用市場,由于審核不嚴(yán)等因素也被攻擊者植入過含有惡意代碼的“正規(guī)”軟件。

WireX Android Botnet

安全事件 WireX Android Botnet 污染 Google Play 應(yīng)用市場事件
披露時(shí)間 2017年8月
事件描述2017年8月17日,名為WireX BotNet的僵尸網(wǎng)絡(luò)通過偽裝普通安卓應(yīng)用的方式大量感染安卓設(shè)備并發(fā)動(dòng)了較大規(guī)模的DDoS攻擊,此舉引起了部分CDN提供商的注意,此后來自Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ, Team  Cymru等組織聯(lián)合對該事件進(jìn)行分析,并于8月28日發(fā)布了該事件的安全報(bào)告。
影響范圍發(fā)現(xiàn)大約有300種不同的移動(dòng)應(yīng)用程序分散在Google Play商店中,WireX引發(fā)的DDoS事件源自至少7萬個(gè)獨(dú)立IP地址,8月17日攻擊數(shù)據(jù)的分析顯示,來自100多個(gè)國家的設(shè)備感染了WireX BotNet。
參考鏈接https://blog.cloudflare.com/the-wirex-botnet/?utm_content=buffer9e1c5&ampamp;utm_medium=social&ampamp;utm_source=twitter.com&ampamp;utm_campaign=buffer                                http://www.freebuf.com/articles/terminal/145955.html

Pujia8 破解網(wǎng)站攜帶木馬

安全事件 Pujia8 破解網(wǎng)站攜帶木馬
披露時(shí)間2017年11月
事件描述2017年11月,騰訊反詐騙實(shí)驗(yàn)室發(fā)現(xiàn)某游戲破解網(wǎng)站上多款游戲應(yīng)用被植入了Root模塊,在運(yùn)行時(shí),利用 CVE-2015-1805等內(nèi)核漏洞強(qiáng)行ROOT用戶設(shè)備,并將無圖標(biāo)惡意應(yīng)用植入到設(shè)備系統(tǒng)目錄,長期潛伏用戶設(shè)備進(jìn)行惡意廣告和流氓推廣行為。
影響范圍涉及多款破解游戲應(yīng)用,影響百萬用戶
參考鏈接http://www.freebuf.com/articles/network/154029.html

除了用戶直接獲取應(yīng)用的渠道存在的安全威脅外,其他提供第三方服務(wù)的廠商如OTA升級、安全加固等也可能在服務(wù)中預(yù)留后門程序,威脅用于的隱私和設(shè)備安全。                    
               

廣升被爆向Android設(shè)備預(yù)裝后門

安全事件 廣升被爆向Android設(shè)備預(yù)裝后門,竊取用戶隱私
披露時(shí)間2016年11月
事件描述上海廣升信息技術(shù)有限公司是全球領(lǐng)先的FOTA技術(shù)服務(wù)提供商之一,核心業(yè)務(wù)為廣升FOTA無線升級,通過升級包差分,空中下載,遠(yuǎn)程升級技術(shù),為具有連網(wǎng)功能的設(shè)備如手機(jī)、平板電腦等智能終端提供固件差分包升級服務(wù)。     2016年11月,信息安全公司Kryptowire在一些價(jià)格低廉的Android設(shè)備上發(fā)現(xiàn)了后門程序,該后門會每隔72小時(shí)收集設(shè)備上的隱私信息,包括短信內(nèi)容、聯(lián)系人信息、通話記錄、IMEI、IMSI、位置、安裝的應(yīng)用和使用的應(yīng)用等,上傳到該后門開發(fā)商的服務(wù)器中。后門的開發(fā)商是上海廣升信息技術(shù)股份有限公司,該公司法律顧問稱這個(gè)后門出現(xiàn)在設(shè)備制造商BLU生產(chǎn)的設(shè)備上是一個(gè)錯(cuò)誤行為。                                    2017年11月, Malwarebytes 移動(dòng)安全團(tuán)隊(duì)公布的報(bào)告稱大量 Android 設(shè)備仍然含有了提供 FOTA 服務(wù)的上海廣升公司的后門。
影響范圍部分使用了廣升FOTA技術(shù)服務(wù)的中低端Android設(shè)備
參考鏈接https://www.bleepingcomputer.com/news/security/secret-backdoor-in-some-low-priced-android-phones-sent-data-to-a-server-in-china/                                https://www.bleepingcomputer.com/news/security/chinese-backdoor-still-active-on-many-android-devices/

OTA廠商銳嘉科在Android設(shè)備中植入rootkit

安全事件 OTA廠商銳嘉科在Android設(shè)備中植入rootkit
披露時(shí)間2016年11月
事件描述2016年11月,AnubisNetworks的安全研究人員發(fā)現(xiàn)多個(gè)品牌的Android手機(jī)固件OTA升級機(jī)制存在安全問題,而這種不安全的的OTA升級機(jī)制和中國一家名為銳嘉科(Ragentek Group)的公司有關(guān)。 報(bào)告稱,安裝該惡意軟件的設(shè)備可被黑客進(jìn)行中間人攻擊,并且以root權(quán)限執(zhí)行任意代碼以此來獲得對Android設(shè)備的絕對控制權(quán),其主要原因是因?yàn)樵O(shè)備在OTA更新的時(shí)候沒有采取嚴(yán)格的加密措施導(dǎo)致的。
影響范圍三百萬臺被植入該后門的安卓設(shè)備
參考鏈接http://www.freebuf.com/news/120639.html

某加固服務(wù)被爆出夾帶廣告

安全事件 某加固服務(wù)被爆出夾帶廣告
披露時(shí)間2017年1月
事件描述2017年初,有開發(fā)者反饋,開發(fā)的應(yīng)用在使用了某加固服務(wù)后,被嵌入了充電廣告。根據(jù)開發(fā)者的挖掘,該加固服務(wù)在加固應(yīng)用時(shí),會在開發(fā)者不知情的情況下植入代碼用于拉取廣告、下載拉活其他應(yīng)用、程序異常上報(bào)、獲取應(yīng)用程序信息等行為。
影響范圍涉及使用該版本加固服務(wù)的所有應(yīng)用
參考鏈接http://www.dgtle.com/article-17069-1.html

3.4 使用環(huán)節(jié)的安全問題

用戶在使用應(yīng)用的過程中,也可能面臨應(yīng)用升級更新的情況,2017年12月,Android平臺爆出“核彈級”Janus漏洞,能在不影響應(yīng)用簽名的情況下,修改應(yīng)用代碼,導(dǎo)致應(yīng)用的升級安裝可能被惡意篡改。同樣,隨著越來越多的應(yīng)用采用熱補(bǔ)丁的方式更新應(yīng)用代碼,惡意開發(fā)者也趁虛而入,在應(yīng)用更新方式上做手腳,下發(fā)惡意代碼,威脅用戶安全。

Janus簽名漏洞

安全事件 Android平臺爆出Janus簽名漏洞,應(yīng)用升級可能被惡意篡改
披露時(shí)間2017年12月
事件描述 2017年12月,Android平臺被爆出“核彈級”漏洞Janus(CVE-2017-13156),該漏洞允許攻擊者任意修改Android應(yīng)用中的代碼,而不會影響其簽名。正常情況下 根據(jù)Android簽名機(jī)制,開發(fā)者發(fā)布一個(gè)應(yīng)用,需要使用他的私鑰對其進(jìn)行簽名。惡意攻擊者如果嘗試修改了這個(gè)應(yīng)用中的任何一個(gè)文件(包括代碼和資源等),那么他就必須對APK進(jìn)行重新簽名,否則修改過的應(yīng)用是無法安裝到任何Android設(shè)備上的。但是通過Janus漏洞,惡意攻擊者可以篡改Android應(yīng)用中的代碼,而不會影響其簽名,并通過應(yīng)用升級過程,覆蓋安裝原有應(yīng)用。
影響范圍系統(tǒng)版本Android 5.0~8.0,采用v1簽名的APK應(yīng)用
參考鏈接http://www.freebuf.com/articles/paper/158133.html

兒童游戲系列應(yīng)用

安全事件 兒童游戲應(yīng)用,動(dòng)態(tài)更新下載惡意代碼
披露時(shí)間2018年5月
事件描述2018年5月,騰訊安全反詐騙實(shí)驗(yàn)室曝光了“兒童游戲”系列惡意應(yīng)用。這類應(yīng)用表面上是兒童益智類的小游戲,在國內(nèi)大部分應(yīng)用市場都有上架,但實(shí)際上,這些應(yīng)用在使用過程中可以通過云端控制更新惡意代碼包,在背地里做著用戶無法感知的惡意行為:加載惡意廣告插件,通過將廣告展示界面設(shè)置為不可見,進(jìn)行廣告盜刷行為,瘋狂消耗用戶流量;動(dòng)態(tài)加載惡意ROOT子包,獲取手機(jī)ROOT權(quán)限,替換系統(tǒng)文件,將惡意的ELF文件植入用戶手機(jī)。
影響范圍涉及一百多款兒童游戲應(yīng)用,累計(jì)影響用戶數(shù)達(dá)百萬
參考鏈接http://www.freebuf.com/articles/terminal/173104.html

四、供應(yīng)鏈安全的發(fā)展趨勢和帶來的新挑戰(zhàn)

網(wǎng)絡(luò)安全新常態(tài)下的Android應(yīng)用供應(yīng)鏈安全是怎樣的

Android供應(yīng)鏈安全事件時(shí)序圖

分析我們整理的關(guān)于Android應(yīng)用供應(yīng)鏈的重要安全事件的時(shí)序圖可以發(fā)現(xiàn),針對供應(yīng)鏈攻擊的安全事件在影響面、嚴(yán)重程度上都絕不低于傳統(tǒng)的惡意應(yīng)用本身和針對操作系統(tǒng)的漏洞攻擊,針對Android應(yīng)用供應(yīng)鏈的攻擊的呈現(xiàn)出以下趨勢:

1、針對供應(yīng)鏈下游(分發(fā)環(huán)節(jié))攻擊的安全事件占據(jù)了供應(yīng)鏈攻擊的大頭,受影響用戶數(shù)多在百萬級別,且層出不窮。類似于XcodeGhost這類污染開發(fā)工具針對軟件供應(yīng)鏈上游(開發(fā)環(huán)境)進(jìn)行攻擊的安全事件較少,但攻擊一旦成功,卻可能影響上億用戶。

2、第三方SDK安全事件和廠商預(yù)留后門也是Android供應(yīng)鏈中頻發(fā)的安全事件,這類攻擊大多采用了白簽名繞過查殺體系的機(jī)制,其行為也介于黑白之間,從影響用戶數(shù)來說遠(yuǎn)超一般的漏洞利用類攻擊。

3、從攻擊的隱蔽性來講,基于供應(yīng)鏈各環(huán)節(jié)的攻擊較傳統(tǒng)的惡意應(yīng)用來說,隱蔽性更強(qiáng),潛伏周期更久,攻擊的發(fā)現(xiàn)和清理也都比較復(fù)雜。

4、針對供應(yīng)鏈各環(huán)節(jié)被揭露出來的攻擊在近幾年都呈上升趨勢,在趨于更加復(fù)雜化的互聯(lián)網(wǎng)環(huán)境下,軟件供應(yīng)鏈所暴露給攻擊者的攻擊面越來越多,并且越來越多的攻擊者也發(fā)現(xiàn)針對供應(yīng)鏈的攻擊相對針對應(yīng)用本身或系統(tǒng)的漏洞攻擊可能更加容易,成本更低。

針對供應(yīng)鏈的攻擊事件增多,攻擊的深度和廣度的延伸也給移動(dòng)安全廠商帶來了更大的挑戰(zhàn)。無論是基于特征碼查殺、啟發(fā)式殺毒這類以靜態(tài)特征對抗靜態(tài)代碼的第一代安全技術(shù),還是以云查和機(jī)器學(xué)習(xí)對抗樣本變種、使用白名單和“非白即黑”的限制策略等主動(dòng)防御手段為主的第二代安全技術(shù),在面對更具有針對性、隱蔽性的攻擊時(shí),都顯得捉襟見肘。在這種新的攻擊環(huán)境下,我們極需一種新時(shí)代的安全體系來保護(hù)組織和用戶的安全。

五、打造Android供應(yīng)鏈安全生態(tài)

針對軟件供應(yīng)鏈攻擊,無論是免費(fèi)應(yīng)用還是付費(fèi)應(yīng)用,在供應(yīng)鏈的各個(gè)環(huán)節(jié)都可能被攻擊者利用,因此,需要對供應(yīng)鏈全面設(shè)防,打造Android應(yīng)用供應(yīng)鏈的安全生態(tài)。在應(yīng)對應(yīng)用供應(yīng)鏈攻擊的整個(gè)場景中,需要手機(jī)廠商、應(yīng)用開發(fā)者、應(yīng)用市場、安全廠商、最終用戶等各主體積極參與、通力合作。

手機(jī)廠商

受到Android系統(tǒng)的諸多特性的影響,系統(tǒng)版本的碎片化問題十分嚴(yán)重。各大手機(jī)廠商對現(xiàn)存設(shè)備安全漏洞的修復(fù)和更新安全補(bǔ)丁的響應(yīng)時(shí)間有很大的區(qū)別。

1、關(guān)注Google關(guān)于Android系統(tǒng)的安全通告,及時(shí)對系統(tǒng)已知的安全漏洞進(jìn)行修復(fù);

2、關(guān)注自身維護(hù)機(jī)型的安全動(dòng)態(tài),如被揭露出存在嚴(yán)重的安全問題,通過配置或加入其他安全性控制作為緩解措施,必要時(shí)對系統(tǒng)進(jìn)行相應(yīng)的安全升級;

3、遵守相關(guān)安全法規(guī),嚴(yán)禁開發(fā)人員在手機(jī)系統(tǒng)中留下調(diào)試后門之類的安全風(fēng)險(xiǎn),防止被惡意利用,保證可信安全的手機(jī)系統(tǒng)環(huán)境。

應(yīng)用開發(fā)商/者

 培養(yǎng)開發(fā)人員的安全意識,在開發(fā)過程的各個(gè)環(huán)節(jié)建立檢查點(diǎn),把安全性的評估作為一個(gè)必要評審項(xiàng)。開發(fā)環(huán)節(jié)嚴(yán)格遵守開發(fā)規(guī)范,防止類似調(diào)試后門等安全威脅的產(chǎn)生。開發(fā)完成的應(yīng)用發(fā)布前交給獨(dú)立的內(nèi)部或外部測評組織進(jìn)行安全性評估,及時(shí)解決所發(fā)現(xiàn)的問題。

通過正規(guī)渠道發(fā)布應(yīng)用,對應(yīng)用簽名證書做好保密措施,規(guī)范應(yīng)用發(fā)布流程,防止應(yīng)用簽名證書泄露導(dǎo)致應(yīng)用被篡改。軟件升級更新時(shí),要校驗(yàn)下載回來的升級包,保證不運(yùn)行被劫持的升級包。

應(yīng)用市場

由于Android系統(tǒng)的開發(fā)性和一些特殊的原因,各大手機(jī)廠商的應(yīng)用市場、應(yīng)用寶和眾多第三方應(yīng)用市場是國內(nèi)應(yīng)用分發(fā)的主要渠道。應(yīng)用市場在Android應(yīng)用供應(yīng)鏈生態(tài)在處于十分關(guān)鍵的位置,也是安全問題頻發(fā)的環(huán)節(jié)。針對應(yīng)用市場,我們給出了以下建議:

1、規(guī)范應(yīng)用審核和發(fā)布流程,各環(huán)節(jié)嚴(yán)格把控,禁止具有安全風(fēng)險(xiǎn)的應(yīng)用進(jìn)入應(yīng)用市場;

2、完善的應(yīng)用開發(fā)商/者的管理規(guī)范,實(shí)施有效的獎(jiǎng)懲措施,打擊惡意開發(fā)者,防止惡意開發(fā)者渾水摸魚;

3、提升自身惡意應(yīng)用檢測能力或使用成熟的安全廠商提供的檢測服務(wù),預(yù)防惡意應(yīng)用進(jìn)入應(yīng)用市場。

安全廠商

長期以來安全廠商大多以應(yīng)用安全和操作系統(tǒng)本身的漏洞為中心提供產(chǎn)品和服務(wù),針對供應(yīng)鏈環(huán)節(jié)的安全問題似乎并沒有投入足夠的關(guān)注。通過上述對應(yīng)用供應(yīng)鏈各環(huán)節(jié)的重大安全事件分析可以看到,應(yīng)用開發(fā)、交付、使用等環(huán)節(jié)都存在巨大的安全威脅,其導(dǎo)致的危害并不低于安全漏洞所導(dǎo)致的情況,因此僅關(guān)注軟件及操作系統(tǒng)本身的安全威脅是遠(yuǎn)遠(yuǎn)不夠的。所以,安全廠商需要從完整的軟件供應(yīng)鏈角度形成全景的安全視野,才能解決更多縱深的安全風(fēng)險(xiǎn)。安全廠商可以加強(qiáng)如下幾點(diǎn):

1.提升發(fā)現(xiàn)安全問題的能力,不僅限于通常意義惡意軟件和系統(tǒng)上的安全漏洞,而是要關(guān)注應(yīng)用供應(yīng)鏈的各個(gè)環(huán)節(jié),針對應(yīng)用在終端上的行為,而非樣本本身進(jìn)行防御;

2.提供創(chuàng)新型的產(chǎn)品和服務(wù),為用戶實(shí)現(xiàn)全面細(xì)致的態(tài)勢感知,立足于安全威脅本身,鏈接威脅背后的組織、目的和技術(shù)手段,進(jìn)行持續(xù)監(jiān)控,發(fā)現(xiàn)可能的未知攻擊,并幫助用戶完成安全事件的快速檢測和響應(yīng)。

為應(yīng)對未來嚴(yán)峻的安全挑戰(zhàn),騰訊安全立足終端安全,推出自研AI反病毒引擎——騰訊TRP引擎,TRP引擎通過對系統(tǒng)層的敏感行為進(jìn)行監(jiān)控,配合能力成熟的AI技術(shù)對設(shè)備上各類應(yīng)用的行為進(jìn)行深度學(xué)習(xí),能有效識別惡意應(yīng)用的風(fēng)險(xiǎn)行為,并實(shí)時(shí)阻斷惡意行為,為用戶提供更高智能的實(shí)時(shí)終端安全防護(hù)。

最終用戶

最終用戶身處供應(yīng)鏈的最末端,作為應(yīng)用的使用者,也是惡意應(yīng)用的直接危害對象,我們給出了以下建議:

1、盡可能使用正版和官方應(yīng)用市場提供的APP應(yīng)用;

2、不要安裝非可信渠道的應(yīng)用和點(diǎn)擊可疑的URL;

3、移動(dòng)設(shè)備及時(shí)進(jìn)行安全更新;

4、安裝手機(jī)管家等安全軟件,實(shí)時(shí)進(jìn)行保護(hù)。

看完上述內(nèi)容是否對您有幫助呢?如果還想對相關(guān)知識有進(jìn)一步的了解或閱讀更多相關(guān)文章,請關(guān)注億速云行業(yè)資訊頻道,感謝您對億速云的支持。

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI