7月25日��,騰訊安全反詐騙實驗室發(fā)布《網(wǎng)絡(luò)安全新常態(tài)下Android應(yīng)用供應(yīng)鏈安全探秘》(下簡稱報告)���,結(jié)合最新爆發(fā)的典型案例梳理了供應(yīng)鏈攻擊的常見手段及攻擊趨勢,并指出在軟件供應(yīng)鏈開發(fā)��、分發(fā)�、使用三大環(huán)節(jié)均有安全隱患,爆發(fā)了多起影響重大的安全事件�����。鑒于供應(yīng)鏈安全問題較強的隱蔽性和影響的廣泛性�,報告同時呼吁相關(guān)各方關(guān)注供應(yīng)鏈攻擊的新形式,做好有效的安全防御措施����。
移動安全威脅“量降質(zhì)升” 不法分子瞄準供應(yīng)鏈薄弱環(huán)節(jié)
過去幾年,經(jīng)過手機廠商和移動安全廠商等各方的共同努力���,普通Android惡意軟件的迅猛增長趨勢已經(jīng)得到遏制����。報告援引騰訊手機管家的數(shù)據(jù)顯示����,2018年上半年Android平臺新增惡意樣本數(shù)468.70萬,較去年同期下降47.8%�,扭轉(zhuǎn)了2015年以來的迅猛增長勢頭。
但高端���、復(fù)雜的移動惡意軟件攻擊卻呈現(xiàn)上升趨勢�����,愈演愈烈的軟件供應(yīng)鏈攻擊更是驗證了移動安全威脅“量降質(zhì)升”現(xiàn)象�����。報告指出����,惡意攻擊者逐漸將目光投向供應(yīng)鏈中最薄弱的一環(huán),如手機OTA升級服務(wù)預(yù)裝后門程序�,第三方廣告SDK竊取用戶隱私等,這類攻擊借助“合法軟件”的保護����,很容易繞開安全產(chǎn)品的檢測,進行大范圍的傳播和攻擊����。
經(jīng)過騰訊大數(shù)據(jù)監(jiān)測發(fā)現(xiàn),近年來��,與Android應(yīng)用供應(yīng)鏈相關(guān)的安全事件越來越多����,惡意軟件作者正越來越多地利用用戶與軟件供應(yīng)商間的固有信任,通過層出不窮的攻擊手法投遞惡意載體����,造成難以估量的損失。
目前關(guān)于Android應(yīng)用供應(yīng)鏈還沒有明確的概念����,報告根據(jù)傳統(tǒng)的供應(yīng)鏈概念將其簡單抽象成開發(fā)�����、分發(fā)和使用環(huán)節(jié),基本包含了軟件開發(fā)設(shè)計�、發(fā)布下載、用戶使用等上下游全產(chǎn)業(yè)鏈����。通過報告整理的關(guān)于Android應(yīng)用供應(yīng)鏈重要安全事件時序圖可以發(fā)現(xiàn),供應(yīng)鏈各個環(huán)節(jié)��,幾乎都爆發(fā)了重大安全事件����。
(Android應(yīng)用供應(yīng)鏈重要安全事件時序圖)
上游攻擊或?qū)⒂绊懮蟽|用戶 惡意開發(fā)者逐漸滲入SDK開發(fā)環(huán)節(jié)
針對軟件供應(yīng)鏈上游開發(fā)工具進行攻擊、影響最為廣泛的莫過于2015年的Xcode非官方版本惡意代碼污染事件����。攻擊者通過向非官方版本的Xcode注入病毒Xcode Ghost,當應(yīng)用開發(fā)者使用帶毒的Xcode工作時�����,編譯出的APP都將被注入病毒代碼,從而產(chǎn)生眾多攜帶病毒的APP��。
報告指出��,類似于XcodeGhost這類污染開發(fā)工具針對軟件供應(yīng)鏈上游(開發(fā)環(huán)境)進行攻擊的安全事件較少�����,但一旦攻擊成功���,卻可能影響上億用戶��。
而入侵第三方SDK則正在成為不法分子針對供應(yīng)鏈上游發(fā)起攻擊的重要選擇����。報告指出����,一方面,第三方SDK的開發(fā)者的安全能力水平參差不齊���,且眾多第三方SDK的開發(fā)者側(cè)重于功能的實現(xiàn)�����,在安全方面的投入不足��,近兩年被爆出的有安全漏洞的第三方SDK主要有FFmpeg漏洞���、友盟SDK��、zipxx等��,由于其被廣泛集成到大量的APP中,漏洞的影響范圍非常大;另一方面���,部分惡意開發(fā)者滲入了SDK開發(fā)環(huán)節(jié)��,以提供第三方服務(wù)的方式吸引其他APP應(yīng)用開發(fā)者來集成他們的SDK�����。借助這些合法應(yīng)用���,惡意的SDK可以有效地躲避大部分應(yīng)用市場和安全廠商的檢測,影響大量用戶的安全��。
2018年4月���,騰訊安全反詐騙實驗室自研的TRP-AI反病毒引擎捕獲到一個惡意推送信息的軟件開發(fā)工具包(SDK)——“寄生推”��,它通過預(yù)留的“后門”云控開啟惡意功能�,私自ROOT用戶設(shè)備并植入惡意模塊,進行惡意廣告行為和應(yīng)用推廣�,以實現(xiàn)牟取灰色收益。該事件感染超過300多款知名應(yīng)用���,潛在影響用戶超2000萬�����。
下游攻擊占據(jù)大頭 不法分子無孔不入
供應(yīng)鏈下游則是爆發(fā)安全事件的大頭���。報告指出,Android應(yīng)用分發(fā)渠道在供應(yīng)鏈中占據(jù)著十分重要的位置���,也是安全問題頻發(fā)的環(huán)節(jié)�����。Android應(yīng)用分發(fā)渠道眾多���,應(yīng)用市場���、廠商預(yù)裝、破解網(wǎng)站�����、ROM內(nèi)置等都是用戶獲取應(yīng)用的常見方式�����。不僅第三方站點下載���、破解應(yīng)用等灰色供應(yīng)鏈中獲取的軟件極易被植入惡意代碼,就連某些正規(guī)的應(yīng)用市場����,由于審核不嚴等因素也被攻擊者植入過含有惡意代碼的“正規(guī)”軟件。
除了用戶直接獲取應(yīng)用的渠道存在的安全威脅外��,其他提供第三方服務(wù)的廠商如OTA升級��、安全加固等也可能在服務(wù)中預(yù)留后門程序�����,威脅用于的隱私和設(shè)備安全。這類攻擊大多采用了白簽名繞過查殺體系的機制�����,其行為也介于黑白之間�,從影響用戶數(shù)來說遠超一般的漏洞利用類攻擊。
用戶在使用應(yīng)用過程��,面臨的應(yīng)用升級更新等情況也潛伏隱患�。2017年12月,Android平臺爆出“核彈級”Janus漏洞��,能在不影響應(yīng)用簽名的情況下��,修改應(yīng)用代碼��,導(dǎo)致應(yīng)用的升級安裝可能被惡意篡改��。同樣�,隨著越來越多的應(yīng)用采用熱補丁的方式更新應(yīng)用代碼,惡意開發(fā)者也趁虛而入����,在應(yīng)用更新方式上做手腳,下發(fā)惡意代碼�����,威脅用戶安全。
報告最后呼吁�����,針對軟件供應(yīng)鏈攻擊����,無論是免費應(yīng)用還是付費應(yīng)用,在供應(yīng)鏈的各個環(huán)節(jié)都可能被攻擊者利用�����,因此�,需要對供應(yīng)鏈全面設(shè)防,打造Android應(yīng)用供應(yīng)鏈的安全生態(tài)�����。在應(yīng)對應(yīng)用供應(yīng)鏈攻擊的整個場景中��,需要手機廠商��、應(yīng)用開發(fā)者����、應(yīng)用市場、安全廠商�����、普通用戶等各主體積極參與��、通力合作��?���! ?/p>
關(guān)鍵詞:
供應(yīng)鏈
全線
上億
前5個月大連經(jīng)濟運行延續(xù)穩(wěn)定恢復(fù)態(tài)勢|熱門看點
