《2018年Android應用安全白皮書》重磅發(fā)布：超98%Android應用存有安全風險

伴隨惡意程序、資費消耗、數(shù)據(jù)泄露等移動端應用安全威脅與日俱增，Android應用端安全防護的價值也在持續(xù)引發(fā)行業(yè)內(nèi)外人士的探討。在6月12日舉辦的第四屆騰訊安全國際技術峰會(TenSec 2019)上，騰訊安全科恩實驗室對外發(fā)布了《2018年Android應用安全白皮書》(以下簡稱《白皮書》)，深度剖析了Android應用存在的安全風險及原因，并提出了針對性的解決建議。

《白皮書》基于騰訊安全科恩實驗室自研的Android應用自動化漏洞掃描系統(tǒng)—ApkPecker，選取了2018年下載量較高的1404個App應用，進行漏洞掃描發(fā)現(xiàn)：超98%的應用存有不同類型的安全風險，主要原因包括系統(tǒng)開發(fā)隱患、漏洞監(jiān)測困難、避雷能力不足、修復管理滯后等。建議各大應用廠商建立從APP開發(fā)到用戶交互的產(chǎn)品全生命周期的安全管理，開展實時的安全風險檢測與控制，避免造成不必要的損失。

超98%Android應用存有安全風險 影音播放類應用風險最高

相關數(shù)據(jù)顯示，2018年全球App下載量近五成來源于中國。移動應用與社會大眾和各行業(yè)的關聯(lián)日趨緊密。然而，Android平臺的惡意程序數(shù)量也增長迅猛，據(jù)G DATA最新的統(tǒng)計數(shù)據(jù)顯示，從2012年到2018年第三季度末，Android系統(tǒng)應用發(fā)現(xiàn)超過320萬個新的惡意樣本，日均發(fā)現(xiàn)超過11000個。受開源組件安全隱患、開發(fā)過程漏洞入侵、應用克隆等因素的影響，以漏洞為代表的安全威脅已滲透到了移動應用的開發(fā)及用戶交互等各個環(huán)節(jié)，成為移動應用行業(yè)發(fā)展的制約因素。

《白皮書》數(shù)據(jù)顯示，影音播放類Android應用存在的安全風險數(shù)量最多，其次是通訊社交和網(wǎng)上購物類應用。相對于其他類型的移動應用，這三類應用的產(chǎn)品功能和交互方式都較豐富，且具有較高的用戶黏性。存在其中的安全風險一旦爆發(fā)，影響的用戶量級和范圍將大大超乎預期。

在安全風險的類型方面，拒絕服務漏洞、隱式Intent信息泄露以及二進制三類安全風險的數(shù)量最多，且影響的APP數(shù)量也位列前三。其中，超80%的移動應用皆存有隱式Intent信息泄漏風險。利用這些已深度侵入到Android應用內(nèi)的漏洞，攻擊者即可實現(xiàn)對用戶信息的綁架、資費的惡意扣取與消耗等，甚至將多種風險進行整合構建，形成貫穿應用開發(fā)、上架和用戶交互等全流程的攻擊鏈路，從而容易引發(fā)高達億級的應用安全危機。

組件安全風險仍達七成，開發(fā)周期缺乏安全機制是主因

根據(jù)Android應用自動化漏洞掃描系統(tǒng)——ApkPecker的檢測數(shù)據(jù)發(fā)現(xiàn)，Android應用面臨的安全風險主要可分為應用場景漏洞利用、服務后臺漏洞攻擊等部分。其中，《白皮書》顯示在本次針對1404款Android應用進行的樣本檢測中發(fā)現(xiàn)，用戶信息保密機制的缺乏增加了移動應用的安全壓力。由此引發(fā)的安全事件頻發(fā)，給用戶的信息賬號和資金帶來了極大危害。

與此同時，《白皮書》還結合安全風險的觸發(fā)場景，著重對數(shù)據(jù)泄漏、組件間通信，以及SDK、Native第三方庫漏洞等頻繁出現(xiàn)在當前移動應用中的安全風險進行了詳細分析，指出在檢測的1404個樣本中，有74%的應用存在拒絕服務攻擊風險。開發(fā)人員對公開組件外部輸入數(shù)據(jù)的校驗和異常處理，是引發(fā)組件間通信惡意安全事件的主要原因，同時還將加大漏洞組合利用的風險，造成更大量級的信息泄漏。

而因移動應用開發(fā)者在直接調用第三方庫進行應用開發(fā)使并未注意其代碼的安全性，從而導致在檢測的樣本中，有近五成的應用存有SDK庫漏洞，且超58%的應用受Native庫漏洞威脅，極大地增加了APP安全管理的難度，其表現(xiàn)出的碎片化、難追溯特點甚至將導致安全風險的惡性循環(huán)。

此外，移動應用后臺服務端存有的平臺、應用、業(yè)務邏輯以及DDos/CC攻擊等風險也是引發(fā)Android應用安全事件的重要誘因。由此，《白皮書》指出移動應用的安全風險并不是相互獨立和彼此割裂的，多種安全風險構建成完整攻擊鏈的趨勢愈加明顯。Android移動應用安全需要整個產(chǎn)業(yè)閉環(huán)自上而下的共同維護與防御實踐。

《白皮書》最后提醒各大Android應用開發(fā)廠商以及應用商店等平臺，風險防御成功與否是由短板攻擊面決定的。使用基于面向攻擊面的靜態(tài)檢測工具，建立貫穿移動應用全生命周期的安全風向評估模型，是高效檢測Android移動應用風險，精準防范安全威脅的有效途徑。ApkPecker 作為一款全自動Android應用漏洞掃描工具，能夠輸出高質量漏洞掃描報告，精準定位漏洞并提供修復建議，從而助力移動安全人員提升應用安全性。

同時，騰訊安全科恩實驗室還基于移動應用滲透測試經(jīng)驗以及前沿攻擊模式分析與總結，提出了適用于移動應用面向攻擊面靜態(tài)檢測的安全自查雷達圖，協(xié)助Android應用開發(fā)者全面、客觀、高效地掌握移動應用靜態(tài)檢測安全風險的實時動態(tài)，為其突破安全檢測高誤報率瓶頸提供助益。在此基礎上，騰訊安全科恩實驗室將繼續(xù)開放核心安全技術與能力，為各行業(yè)數(shù)字化轉型變革的安全和健康發(fā)展貢獻力量。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。