7月25日�,騰訊安全反詐騙實(shí)驗(yàn)室發(fā)布《網(wǎng)絡(luò)安全新常態(tài)下Android應(yīng)用供應(yīng)鏈安全探秘》(下簡(jiǎn)稱(chēng)報(bào)告),結(jié)合最新爆發(fā)的典型案例梳理了供應(yīng)鏈攻擊的常見(jiàn)手段及攻擊趨勢(shì)���,并指出在軟件供應(yīng)鏈開(kāi)發(fā)�����、分發(fā)�����、使用三大環(huán)節(jié)均有安全隱患����,爆發(fā)了多起影響重大的安全事件���。鑒于供應(yīng)鏈安全問(wèn)題較強(qiáng)的隱蔽性和影響的廣泛性���,報(bào)告同時(shí)呼吁相關(guān)各方關(guān)注供應(yīng)鏈攻擊的新形式,做好有效的安全防御措施。
移動(dòng)安全威脅“量降質(zhì)升” 不法分子瞄準(zhǔn)供應(yīng)鏈薄弱環(huán)節(jié)
過(guò)去幾年�����,經(jīng)過(guò)手機(jī)廠商和移動(dòng)安全廠商等各方的共同努力��,普通Android惡意軟件的迅猛增長(zhǎng)趨勢(shì)已經(jīng)得到遏制�����。報(bào)告援引騰訊手機(jī)管家的數(shù)據(jù)顯示���,2018年上半年Android平臺(tái)新增惡意樣本數(shù)468.70萬(wàn)�,較去年同期下降47.8%��,扭轉(zhuǎn)了2015年以來(lái)的迅猛增長(zhǎng)勢(shì)頭��。
但高端���、復(fù)雜的移動(dòng)惡意軟件攻擊卻呈現(xiàn)上升趨勢(shì)�,愈演愈烈的軟件供應(yīng)鏈攻擊更是驗(yàn)證了移動(dòng)安全威脅“量降質(zhì)升”現(xiàn)象�。報(bào)告指出�,惡意攻擊者逐漸將目光投向供應(yīng)鏈中最薄弱的一環(huán),如手機(jī)OTA升級(jí)服務(wù)預(yù)裝后門(mén)程序,第三方廣告SDK竊取用戶(hù)隱私等����,這類(lèi)攻擊借助“合法軟件”的保護(hù),很容易繞開(kāi)安全產(chǎn)品的檢測(cè)�����,進(jìn)行大范圍的傳播和攻擊�����。
經(jīng)過(guò)騰訊大數(shù)據(jù)監(jiān)測(cè)發(fā)現(xiàn)�����,近年來(lái)��,與Android應(yīng)用供應(yīng)鏈相關(guān)的安全事件越來(lái)越多��,惡意軟件作者正越來(lái)越多地利用用戶(hù)與軟件供應(yīng)商間的固有信任����,通過(guò)層出不窮的攻擊手法投遞惡意載體,造成難以估量的損失���。
目前關(guān)于Android應(yīng)用供應(yīng)鏈還沒(méi)有明確的概念��,報(bào)告根據(jù)傳統(tǒng)的供應(yīng)鏈概念將其簡(jiǎn)單抽象成開(kāi)發(fā)�、分發(fā)和使用環(huán)節(jié),基本包含了軟件開(kāi)發(fā)設(shè)計(jì)���、發(fā)布下載����、用戶(hù)使用等上下游全產(chǎn)業(yè)鏈�����。通過(guò)報(bào)告整理的關(guān)于Android應(yīng)用供應(yīng)鏈重要安全事件時(shí)序圖可以發(fā)現(xiàn)���,供應(yīng)鏈各個(gè)環(huán)節(jié)��,幾乎都爆發(fā)了重大安全事件�����。
(Android應(yīng)用供應(yīng)鏈重要安全事件時(shí)序圖)
上游攻擊或?qū)⒂绊懮蟽|用戶(hù) 惡意開(kāi)發(fā)者逐漸滲入SDK開(kāi)發(fā)環(huán)節(jié)
針對(duì)軟件供應(yīng)鏈上游開(kāi)發(fā)工具進(jìn)行攻擊�、影響最為廣泛的莫過(guò)于2015年的Xcode非官方版本惡意代碼污染事件�。攻擊者通過(guò)向非官方版本的Xcode注入病毒Xcode Ghost�����,當(dāng)應(yīng)用開(kāi)發(fā)者使用帶毒的Xcode工作時(shí),編譯出的APP都將被注入病毒代碼��,從而產(chǎn)生眾多攜帶病毒的APP��。
報(bào)告指出��,類(lèi)似于XcodeGhost這類(lèi)污染開(kāi)發(fā)工具針對(duì)軟件供應(yīng)鏈上游(開(kāi)發(fā)環(huán)境)進(jìn)行攻擊的安全事件較少�����,但一旦攻擊成功��,卻可能影響上億用戶(hù)�����。
而入侵第三方SDK則正在成為不法分子針對(duì)供應(yīng)鏈上游發(fā)起攻擊的重要選擇�。報(bào)告指出,一方面�,第三方SDK的開(kāi)發(fā)者的安全能力水平參差不齊,且眾多第三方SDK的開(kāi)發(fā)者側(cè)重于功能的實(shí)現(xiàn)���,在安全方面的投入不足���,近兩年被爆出的有安全漏洞的第三方SDK主要有FFmpeg漏洞�、友盟SDK���、zipxx等����,由于其被廣泛集成到大量的APP中��,漏洞的影響范圍非常大;另一方面��,部分惡意開(kāi)發(fā)者滲入了SDK開(kāi)發(fā)環(huán)節(jié)��,以提供第三方服務(wù)的方式吸引其他APP應(yīng)用開(kāi)發(fā)者來(lái)集成他們的SDK��。借助這些合法應(yīng)用���,惡意的SDK可以有效地躲避大部分應(yīng)用市場(chǎng)和安全廠商的檢測(cè)���,影響大量用戶(hù)的安全。
2018年4月�,騰訊安全反詐騙實(shí)驗(yàn)室自研的TRP-AI反病毒引擎捕獲到一個(gè)惡意推送信息的軟件開(kāi)發(fā)工具包(SDK)——“寄生推”���,它通過(guò)預(yù)留的“后門(mén)”云控開(kāi)啟惡意功能,私自ROOT用戶(hù)設(shè)備并植入惡意模塊�,進(jìn)行惡意廣告行為和應(yīng)用推廣,以實(shí)現(xiàn)牟取灰色收益�。該事件感染超過(guò)300多款知名應(yīng)用����,潛在影響用戶(hù)超2000萬(wàn)。
下游攻擊占據(jù)大頭 不法分子無(wú)孔不入
供應(yīng)鏈下游則是爆發(fā)安全事件的大頭�。報(bào)告指出,Android應(yīng)用分發(fā)渠道在供應(yīng)鏈中占據(jù)著十分重要的位置���,也是安全問(wèn)題頻發(fā)的環(huán)節(jié)����。Android應(yīng)用分發(fā)渠道眾多����,應(yīng)用市場(chǎng)、廠商預(yù)裝�、破解網(wǎng)站、ROM內(nèi)置等都是用戶(hù)獲取應(yīng)用的常見(jiàn)方式����。不僅第三方站點(diǎn)下載���、破解應(yīng)用等灰色供應(yīng)鏈中獲取的軟件極易被植入惡意代碼,就連某些正規(guī)的應(yīng)用市場(chǎng)��,由于審核不嚴(yán)等因素也被攻擊者植入過(guò)含有惡意代碼的“正規(guī)”軟件���。
除了用戶(hù)直接獲取應(yīng)用的渠道存在的安全威脅外��,其他提供第三方服務(wù)的廠商如OTA升級(jí)���、安全加固等也可能在服務(wù)中預(yù)留后門(mén)程序,威脅用于的隱私和設(shè)備安全�。這類(lèi)攻擊大多采用了白簽名繞過(guò)查殺體系的機(jī)制,其行為也介于黑白之間��,從影響用戶(hù)數(shù)來(lái)說(shuō)遠(yuǎn)超一般的漏洞利用類(lèi)攻擊�。
用戶(hù)在使用應(yīng)用過(guò)程,面臨的應(yīng)用升級(jí)更新等情況也潛伏隱患���。2017年12月����,Android平臺(tái)爆出“核彈級(jí)”Janus漏洞,能在不影響應(yīng)用簽名的情況下��,修改應(yīng)用代碼�����,導(dǎo)致應(yīng)用的升級(jí)安裝可能被惡意篡改�。同樣,隨著越來(lái)越多的應(yīng)用采用熱補(bǔ)丁的方式更新應(yīng)用代碼��,惡意開(kāi)發(fā)者也趁虛而入��,在應(yīng)用更新方式上做手腳�,下發(fā)惡意代碼�,威脅用戶(hù)安全。
報(bào)告最后呼吁��,針對(duì)軟件供應(yīng)鏈攻擊���,無(wú)論是免費(fèi)應(yīng)用還是付費(fèi)應(yīng)用�,在供應(yīng)鏈的各個(gè)環(huán)節(jié)都可能被攻擊者利用�,因此,需要對(duì)供應(yīng)鏈全面設(shè)防��,打造Android應(yīng)用供應(yīng)鏈的安全生態(tài)。在應(yīng)對(duì)應(yīng)用供應(yīng)鏈攻擊的整個(gè)場(chǎng)景中����,需要手機(jī)廠商、應(yīng)用開(kāi)發(fā)者�、應(yīng)用市場(chǎng)、安全廠商��、普通用戶(hù)等各主體積極參與�����、通力合作�。
關(guān)鍵詞:
供應(yīng)鏈
全線(xiàn)
上億
全球最新:沈陽(yáng):紓困解難服務(wù)企業(yè)真心貼心暖心
