騰訊安全自研曝光APP漏洞風險,騰訊Apkpecker提供自動化應用檢測服務

  • 人閱讀
  • 2020-07-21 17:47:12

  • 來源:西盟科技資訊

  • 相關關鍵詞

7月16日晚,央視3·15晚會拉開大幕,再次敲響了消費領域的警鐘。據央視報道,上海市消費者權益保護委員會委托第三方對市場上的App進行檢測,發(fā)現某些第三方開發(fā)的SDK包存在違規(guī)收集用戶個人信息的情況。日前,工信部已要求嚴厲查處涉事企業(yè),并責成國內主要應用商店展開“地毯式”排查,及時通知APP運營開發(fā)者自查自糾,及時發(fā)現、處理違規(guī)收集用戶個人信息的SDK。

第三方SDK泄露隱私問題的暴露,意味著安全風險檢測在應用開發(fā)與運營過程中非常關鍵,APP需要全方位、全生命周期的安全檢測與管理,以確保廣大用戶的信息安全。

騰訊安全自研的自動化Android應用漏洞掃描系統(tǒng)——ApkPecker,能夠進行高效的安全漏洞掃描,精準定位漏洞并提供修復建議,提升應用安全性。針對第三方SDK,ApkPecker可以精準識別各類風險漏洞,助力應用開發(fā)者及時防御,有效對抗。

  大量APP存在SDK漏洞,移動應用需要全方位檢測

移動應用從開發(fā)、上架到用戶實際交互使用涉及多個環(huán)節(jié),每個環(huán)節(jié)都存在引發(fā)安全問題的諸多因素。

SDK(Software Development Kit),全名軟件開發(fā)工具包,是用來輔助開發(fā)某一類軟件的相關文檔、范例和工具的集合。有了這些第三方的SDK,APP就能高效而低成本地實現社交、支付、地圖等功能;但由于開發(fā)者的安全能力有限、安全能力不足,同時也會不可避免地帶來一些未知風險。

以央視3·15曝光的SDK問題為例,第三方SDK除了會讀取設備的運營商信息、電話號碼、短信記錄外,還會上傳用戶手機中的短信內容,包括帶有驗證碼的短信。短信驗證碼是App驗證用戶身份的重要手段,通過短信驗證碼可以完成開通業(yè)務、支付款項等多項敏感操作,一旦泄露將嚴重危害用戶的財務安全。

騰訊安全自研曝光APP漏洞風險,騰訊Apkpecker提供自動化應用檢測服務

(圖:2020年3·15晚會視頻截圖)

伴隨移動應用開發(fā)技術的飛速發(fā)展,除第三方SDK泄露隱私外,惡意破解、盜版、核心代碼被竊取、惡意代碼注入、APP劫持、移動業(yè)務攻擊等安全風險,可能存在于應用開發(fā)、分發(fā)與使用的各個環(huán)節(jié)。因此,移動應用安全防御需要產業(yè)鏈各個角色參與。

騰訊ApkPecker高效、準確助力行業(yè)加固移動應用安全

騰訊安全自研的面向攻擊面的Android應用檢測系統(tǒng)ApkPecker,可以幫助行業(yè)上下游完成相關安全風險檢測與控制工作。在Apkpecker的助力下,廣大移動應用開發(fā)商可以對各種移動應用風險進行有力的防御,建立從APP開發(fā)到用戶交互的產品全生命周期的安全管理,開展實時的安全風險檢測與控制,為用戶的手機信息、財產安全保駕護航。

據了解,ApkPecker漏洞檢測流程包括構建控制流圖、靜態(tài)數據流分析和污點分析、漏洞挖掘以及出具漏洞檢測結果四個關鍵步驟。其中,控制流圖主要針對Android應用生命周期和應用攻擊面建模;數據流分析和污點分析能夠構建所關注的數據流向,提供數據源到漏洞點的數據流路徑構建能力,包括Forward 和Backward 兩種分析模式;漏洞挖掘覆蓋了公開組建、外置存儲空間、WebView回調、JavaScriptInterface回調、開放Socket端口等全面的攻擊面,基本覆蓋Android應用中出現的問題。

ApkPecker的核心優(yōu)勢有三。一是檢測方法更精確,通過控制流分析、數據流分析和靜態(tài)污點分析,ApkPecker能夠盡可能地恢復數據信息,進行多層級的綜合判斷。二是漏洞檢測點更有效,ApkPecker基于騰訊安全以往經驗的總結,能夠發(fā)現危害性、利用性更高的漏洞。三是攻擊路徑更完整、更易于驗證。ApkPecker跟蹤從攻擊面入口到漏洞觸發(fā)的完整路徑,能夠大大提高漏洞分析的效率。

通過一系列高效、完備、準確的漏洞檢測流程,ApkPeckerP已經具備了控制管理和APP漏洞自動挖掘能力,能夠實現程序源文件、內部數據交互、APP防御、第三方SDK等多維度的漏洞檢測。

騰訊安全自研曝光APP漏洞風險,騰訊Apkpecker提供自動化應用檢測服務

(圖:ApkPecker移動應用安全檢測報告)

目前,Apkpecker的安全檢測能力已被持續(xù)驗證并獲得認可。譬如,Apkpecker于去年8月集成了騰訊金剛檢測系統(tǒng),為騰訊自研APP安全保駕護航;在國內外100+知名APP中發(fā)現160+可利用安全漏洞,漏洞反饋獲得Google 官方認可;檢測到PayPal旗下Venmo應用價值1W美元的遠程賬號劫持漏洞等。

Apkpecker由騰訊安全聯合實驗室旗下的科恩實驗室研發(fā)。作為騰訊安全旗下的信息安全團隊,騰訊安全科恩實驗室的技術實力和科研成果處于國際領先水平,是世界范圍內由廠商官方確認發(fā)現計算機漏洞數量最多、最了解突破現代安全保護技術的專業(yè)安全團隊之一。隨著更多ICT新技術進入產業(yè)互聯網,騰訊安全科恩實驗室還將向智能網聯汽車、安卓應用生態(tài)、IoT等行業(yè)開放核心技術能力,并根據產業(yè)實際痛點和深度研究推出相關行業(yè)信息安全解決方案,為各行業(yè)安全生態(tài)建設和健康發(fā)展貢獻力量。

(免責聲明:本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網站出現的信息,均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時,應及時向本網站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后,將會依法盡快聯系相關文章源頭核實,溝通刪除相關內容或斷開相關鏈接。 )