6月12日,腾讯安全科恩实验室释出了《2018年Android应用安全白皮书》。超98%的App存有不同型别的安全风险,影音播放类Android App存在的安全风险数量最多,其次是通讯社交和网上购物类App。白皮书建议各大应用厂商建立从APP开发到使用者互动的产品全生命周期的安全管理,开展实时的安全风险检测与控制,避免造成不必要的损失。
超98%Android应用存有安全风险 影音播放类应用风险最高
相关资料显示,2018年全球App下载量近五成来源于中国。移动应用与社会大众和各行业的关联日趋紧密。然而,Android平台的恶意程式数量也增长迅猛,据G DATA最新的统计资料显示,从2012年到2018年第三季度末,Android系统应用发现超过320万个新的恶意样本,日均发现超过11000个。受开源元件安全隐患、开发过程漏洞入侵、应用克隆等因素的影响,以漏洞为代表的安全威胁已渗透到了移动应用的开发及使用者互动等各个环节,成为移动应用行业发展的制约因素。
《白皮书》资料显示,影音播放类Android应用存在的安全风险数量最多,其次是通讯社交和网上购物类应用。相对于其他型别的移动应用,这三类应用的产品功能和互动方式都较丰富,且具有较高的使用者黏性。存在其中的安全风险一旦爆发,影响的使用者量级和范围将大大超乎预期。
在安全风险的型别方面,拒绝服务漏洞、隐式Intent资讯泄露以及二进位制三类安全风险的数量最多,且影响的APP数量也位列前三。其中,超80%的移动应用皆存有隐式Intent资讯泄漏风险。利用这些已深度侵入到Android应用内的漏洞,攻击者即可实现对使用者资讯的绑架、资费的恶意扣取与消耗等,甚至将多种风险进行整合构建,形成贯穿应用开发、上架和使用者互动等全流程的攻击链路,从而容易引发高达亿级的应用安全危机。
元件安全风险仍达七成,开发周期缺乏安全机制是主因
根据Android应用自动化漏洞扫描系统——ApkPecker的检测资料发现,Android应用面临的安全风险主要可分为应用场景漏洞利用、服务后台漏洞攻击等部分。其中,《白皮书》显示在本次针对1404款Android应用进行的样本检测中发现,使用者资讯保密机制的缺乏增加了移动应用的安全压力。由此引发的安全事件频发,给使用者的资讯账号和资金带来了极大危害。
与此同时,《白皮书》还结合安全风险的触发场景,着重对资料泄漏、元件间通讯,以及SDK、Native第三方库漏洞等频繁出现在当前移动应用中的安全风险进行了详细分析,指出在检测的1404个样本中,有74%的应用存在拒绝服务攻击风险。开发人员对公开元件外部输入资料的校验和异常处理,是引发元件间通讯恶意安全事件的主要原因,同时还将加大漏洞组合利用的风险,造成更大量级的资讯泄漏。
而因移动应用开发者在直接呼叫第三方库进行应用开发使并未注意其程式码的安全性,从而导致在检测的样本中,有近五成的应用存有SDK库漏洞,且超58%的应用受Native库漏洞威胁,极大地增加了APP安全管理的难度,其表现出的碎片化、难追溯特点甚至将导致安全风险的恶性循环。
此外,移动应用后台服务端存有的平台、应用、业务逻辑以及DDos/CC攻击等风险也是引发Android应用安全事件的重要诱因。由此,《白皮书》指出移动应用的安全风险并不是相互独立和彼此割裂的,多种安全风险构建成完整攻击链的趋势愈加明显。Android移动应用安全需要整个产业闭环自上而下的共同维护与防御实践。
建议厂商建立全生命周期的安全评估模型
《白皮书》还提醒各大Android应用开发厂商以及应用商店等平台,风险防御成功与否是由短板攻击面决定的。使用基于面向攻击面的静态检测工具,建立贯穿移动应用全生命周期的安全风向评估模型,是高效检测Android移动应用风险,精准防范安全威胁的有效途径。ApkPecker 作为一款全自动Android应用漏洞扫描工具,能够输出高质量漏洞扫描报告,精准定位漏洞并提供修复建议,从而助力移动安全人员提升应用安全性。
同时,腾讯安全科恩实验室还基于移动应用渗透测试经验以及前沿攻击模式分析与总结,提出了适用于移动应用面向攻击面静态检测的安全自查雷达图,协助Android应用开发者全面、客观、高效地掌握移动应用静态检测安全风险的实时动态,为其突破安全检测高误报率瓶颈提供助益。在此基础上,腾讯安全科恩实验室将继续开放核心安全技术与能力,为各行业数字化转型变革的安全和健康发展贡献力量。
文/北京青年报记者 温婧
