作者:腾讯科恩实验室
公众号:https://mp.weixin.qq.com/s/sb2hndSGn_IpMWmSGC4rPg

伴随恶意程序、资费消耗、数据泄露等移动端应用安全威胁与日俱增,Android 应用端安全防护的价值也在持续引发行业内外人士的探讨。在 6 月 11-12 日举办的第四届腾讯安全国际技术峰会(TenSec 2019)上,腾讯安全科恩实验室对外发布了《 2018 年 Android 应用安全白皮书》(以下简称《白皮书》),深度剖析了 Android 应用存在的安全风险及原因,并提出了针对性的解决建议。

《白皮书》基于腾讯安全科恩实验室自研的 Android 应用自动化漏洞扫描系统——ApkPecker ,选取了 2018 年下载量较高的 1404 个 App 应用,进行漏洞扫描发现:超 98% 的应用存有不同类型的安全风险,主要原因包括系统开发隐患、漏洞监测困难、避雷能力不足、修复管理滞后等。

建议各大应用厂商建立从 App 开发到用户交互的产品全生命周期的安全管理,开展实时的安全风险检测与控制,避免造成不必要的损失。

一、超 98% Android 应用存有安全风险

影音播放类应用风险最高

相关数据显示,2018 年全球 App 下载量近五成来源于中国。移动应用与社会大众和各行业的关联日趋紧密。然而,Android 平台的恶意程序数量也增长迅猛,据G DATA 最新的统计数据显示,从 2012 年到 2018 年第三季度末,Android 系统应用发现超过 320 万个新的恶意样本,日均发现超过 11000 个。受开源组件安全隐患、开发过程漏洞入侵、应用克隆等因素的影响,以漏洞为代表的安全威胁已渗透到了移动应用的开发及用户交互等各个环节,成为移动应用行业发展的制约因素。

《白皮书》数据显示,影音播放类 Android 应用存在的安全风险数量最多,其次是通讯社交和网上购物类应用。相对于其他类型的移动应用,这三类应用的产品功能和交互方式都较丰富,且具有较高的用户黏性。存在其中的安全风险一旦爆发,影响的用户量级和范围将大大超乎预期。

在安全风险的类型方面,拒绝服务漏洞、隐式 Intent 信息泄露以及二进制三类安全风险的数量最多,且影响的 App 数量也位列前三。其中,超 80% 的移动应用皆存有隐式 Intent 信息泄漏风险。利用这些已深度侵入到 Android 应用内的漏洞,攻击者即可实现对用户信息的绑架、资费的恶意扣取与消耗等,甚至将多种风险进行整合构建,形成贯穿应用开发、上架和用户交互等全流程的攻击链路,从而容易引发高达亿级的应用安全危机。

二、组件安全风险仍达七成

开发周期缺乏安全机制是主因

根据 Android 应用自动化漏洞扫描系统—— ApkPecker 的检测数据发现,Android 应用面临的安全风险主要可分为应用场景漏洞利用、服务后台漏洞攻击等部分。其中,《白皮书》显示在本次针对 1404 款 Android 应用进行的样本检测中发现,用户信息保密机制的缺乏增加了移动应用的安全压力。由此引发的安全事件频发,给用户的信息账号和资金带来了极大危害。

与此同时,《白皮书》还结合安全风险的触发场景,着重对数据泄漏、组件间通信,以及 SDK、Native 第三方库漏洞等频繁出现在当前移动应用中的安全风险进行了详细分析,指出在检测的 1404 个样本中,有 74% 的应用存在拒绝服务攻击风险。开发人员对公开组件外部输入数据的校验和异常处理,是引发组件间通信恶意安全事件的主要原因,同时还将加大漏洞组合利用的风险,造成更大量级的信息泄漏。

而因移动应用开发者在直接调用第三方库进行应用开发使并未注意其代码的安全性,从而导致在检测的样本中,有近五成的应用存有 SDK 库漏洞,且超 58% 的应用受 Native 库漏洞威胁,极大地增加了 App 安全管理的难度,其表现出的碎片化、难追溯特点甚至将导致安全风险的恶性循环。

此外,移动应用后台服务端存有的平台、应用、业务逻辑以及 DDoS/CC 攻击等风险也是引发 Android 应用安全事件的重要诱因。由此,《白皮书》指出移动应用的安全风险并不是相互独立和彼此割裂的,多种安全风险构建成完整攻击链的趋势愈加明显。Android 移动应用安全需要整个产业闭环自上而下的共同维护与防御实践。

《白皮书》最后提醒各大 Android 应用开发厂商以及应用商店等平台,风险防御成功与否是由短板攻击面决定的。使用基于面向攻击面的静态检测工具,建立贯穿移动应用全生命周期的安全风向评估模型,是高效检测 Android 移动应用风险,精准防范安全威胁的有效途径。ApkPecker 作为一款全自动 Android 应用漏洞扫描工具,能够输出高质量漏洞扫描报告,精准定位漏洞并提供修复建议,从而助力移动安全人员提升应用安全性。

同时,腾讯安全科恩实验室还基于移动应用渗透测试经验以及前沿攻击模式分析与总结,提出了适用于移动应用面向攻击面静态检测的安全自查雷达图,协助 Android 应用开发者全面、客观、高效地掌握移动应用静态检测安全风险的实时动态,为其突破安全检测高误报率瓶颈提供助益。

在此基础上,腾讯安全科恩实验室将继续开放核心安全技术与能力,为各行业数字化转型变革的安全和健康发展贡献力量。

《2018年Android应用安全白皮书》PDF原文:下载地址
ApkPekcer网址:apkpecker.qq.com


Paper 本文由 Seebug Paper 发布,如需转载请注明来源。本文地址:https://paper.seebug.org/953/