快捷搜索:  网络  后门  扫描  渗透  CVE  木马  黑客  as

收集安全新常态下Android应用供应链安全探秘

媒介

时至2018年,挪移互联网的发铺已走过十年历程,智能设备已深入人们生活的方方面面,其安全问题也时刻牵动着人们的神经。自2014年挪移端恶意软件爆发时增进以来,Google、手机厂商以及挪移安全厂商都投入了巨大的精力,与恶意开发者进行了激烈的匹敌。

过去几年,经过各方的共同起劲,普通Android恶意软件的迅猛增进趋向已经得到遏制,据腾讯手机管家数据显示,2018年上半年Android平台新增恶意样本数468.70万,较客岁同期下降47.8%。但与此同时,腾讯大数据监测到基于Android应用供应链的其他环节的安全问题逐渐增多,显示出恶意开发者已经将更多的眼光投向Android应用供应链的薄弱环节。鉴于供应链安全问题较强的隐蔽性以及影响的广泛性,希翼相干各方关注供应链攻击的新情势,做好有用的安全防御措施。

1、新常态下Android应用安全威胁朝供应链环节转移

2017年永恒之蓝勒索蠕虫事故以及《收集安全法》的正式实施是收集安全行业的一个分水岭,泛博的政企机构的攻防态势以及收集安全的监管形式都发生了根本变迁,我们称之为收集安全的新常态。2018年,收集安全将周全进入这类新常态,安全威胁也越来越凸显出攻击复杂化、漏洞产业化、收集军火民用化等日益升级的特点。作为收集安全行业重方法域的挪移安全,随着攻防匹敌进入深水区,数据库黑客,面临的安全威胁也呈现出新的特点:

1. Android恶意样本团体增进趋向得到遏制

过去几年,在Google、手机厂商以及安全厂商的共同起劲下,挪移端恶意软件的迅猛增进趋向得到了遏制。根据Google《2017年度Android安全讲演》显示,2017年,有超过70万款应用因背反相干规定从Google Play上下架,Android用户在Google Play 上下载到潜伏恶意应用的几率是0.02%,该比率较2016年下降0.02%。而根据腾讯手机管家数据显示,2018年上半年Android平台新增恶意样本468.70万,相比2017年上半年(899万)下降47.8%,旋转了2015年以来的迅猛增进势头。

2015-2018年上半年新增病毒包数趋向对比.png

2. 更多的高端的挪移端恶意软件

相较与Android恶意应用团体数量呈下降趋向,高端的、复杂挪移恶意软件的攻击却有上升趋向。近年来,安全研究人员以及阐发团队跟踪了100多个APT构造及其活动,这些构造提议的攻击活动异常复杂,而且拥有丰富的武器资源,包括0day漏洞,fileless攻击工具等,攻击者还会结合传统的黑客攻击动用更复杂的人力资源来实现数据的窃取义务。2016年8月Lookout发表了他们对一个复杂的挪移间谍软件Pegasus的研究讲演,这款间谍软件与以色列的安全公司NSO Group有关,结合了多个0day漏洞,能够遥程绕过当代挪移操作体系的安全防御,甚至能够攻破一向以安全著称的iOS体系。2017年4月,谷歌公布了其对Pegasus间谍软件的安卓版Chrysaor的阐发讲演。除了上述两款挪移端间谍软件之外,还有许多其他的APT构造都开发了自定义的挪移端植入恶意软件。评估认为,在野的挪移端恶意软件的总数可能高于目前公布的数量,可以预见的是,在2018年,攻击量会继续增添,将有更多的高级挪移端恶意软件被发现。

3. 更多的供应链薄弱环节被行使

在APT攻击活动的研究过程中,经常可以看到,恶意攻击者为了尝试突破某一目标可以花费很长一段时间,即使频频失败也会继续变换方式或路子继续尝试突破,直至找到合适的入侵方式或路子。同时,恶意攻击者也更多地将眼光投向供应链中最薄弱的一环,如手机OTA升级服务预装后门程序,第三方广告SDK窃取用户隐衷等,这种攻击借助“合法软件”的维护,很容易绕开安全产品的检测,进行大范围的传播以及攻击。经过腾讯大数据监测发现,近年来,与Android应用供应链相干的安全事故越来越多,恶意软件作者正越来越多地行使用户与软件供应商间的固有信任,通过层出不穷的攻击伎俩投递恶意载体,造成难以估量的丧失。

综上所述,在Android安全领域,过去几年经Google、手机厂商以及安全厂商的共同起劲,普通的Android恶意软件的迅猛增进趋向得到了遏制,而恶意开发者则将更多的眼光转向了Android应用供应链的薄弱环节,以期增强攻击的隐蔽性以及绕过安全厂商的围追堵截,扩铺攻击的传播范围。本文将列举近年来与Android应用供应链安全的相干事故,阐发Android应用供应链面临的安全挑战,并提出相应的防护对策以及建议。

二、Android应用供应链相干概念以及环节划分

目前关于Android应用供应链尚无明确的概念,我们根据传统的供应链概念将其简单抽象成以下几个环节:

1.开发环节

应用开发触及到开发环境、开发工具、第三方库等,并且开发实施的详细过程还包括需求阐发、设计、完成以及测试等。在这一环节中形成终极用户可用的应用产品。

2.分发环节

用户通过应用市肆、收集下载、厂商预装、Rom内置等渠道获取到应用的过程。

3.使用环节

用户使用应用的全部性命周期,包括升级、珍爱等过程。

3、Android应用供应链生态重要安全事故

从终极用户安全感知角度而言,Android端首要的安全威胁仍旧是信息泄露、扣费短信、恶意广告、挖矿木马、勒索软件等常见形态。透过征象看本质,恰是因为挪移生态环节中的一些安全脆缺陷,导致了这些威胁的频发以及泛滥。前面定义了应用供应链的概念并抽象出了几大相干环节,攻击者针对上述各环节进行攻击,都有可能影响到终极的应用产品以及全部使用处景的安全。

下面,本文将通过相干的安全事故来阐发从开发工具、第三方库、分发渠道、应用使用过程等应用供应链相干环节引入的安全危害。

1.png

3.1 开发工具相干安全调研

针对开发工具进行攻击、影响最为广泛的莫过于2015年的XcodeGhost(Xcode非官方版本恶意代码污染事故),Xcode 是由苹果公司发布的运行在操作体系Mac OS X上的集成开发工具(IDE),是开发OS X 以及 iOS 应用程序的最支流工具。攻击者通过向非官方版本的Xcode注入病毒Xcode Ghost,它的初始传播路子主若是通过非官方下载的 Xcode 传播,通过 CoreService 库文件进行感染。当应用开发者使用带毒的Xcode工作时,编译出的App都将被注入病毒代码,从而产生众多携带病毒的APP。

在Android应用开发方面,由于Android体系的开放性以及官方开发工具获取的便捷性,Android平台上还没有发生影响重大的开发工具污染事故。然则当前一些厂商为了进一步简化应用开发者的工作,对Android开发环境进行了进一步的封装,譬如App Inventor支持拖拽式开发,PhoneGap等平台支持直接使用html开发应用等,这些开发平台一般是了保障功能的完成,申请大批与用户隐衷相干的权限,导致应用存在隐衷泄漏的安全危害。另一方面,手机编程工具AIDE以及国内支持中文开发的易说话开发工具也进一步降低了恶意开发者的准入门槛,大批使用此类工具开发的恶意应用流入市场,对用户造成安全危害。

3.2 第三方sdk安全事故

 Android应用的开发触及到许多第三方SDK,包括支付、统计、广告、交际、推送、地图类等多种类型。根据对应用市场上各类型应用TOP 100使用的第三方SDK情形进行阐发,发现各类SDK在应用中的集成比例从高到低依次为统计阐发类、广告类、交际类、支付类、地位类、推送类。

2.png

而种种类型的APP在第三方SDK使用数量方面,金融借贷类平均使用的SDK数量至多,达到21.5,紧随其后是消息类APP,平均数量为21.2;今后是购物类、交际类、银行类以及游戏类,平均数量都超过15个;再后面的则是出行类、办公类以及安全工具类,平均使用的SDK数量相对于较少,分别为11.四、9.7以及6.7。

3.png

从统计得到的数据可以看到,Android应用在开发时都集成使用了数目众多的第三方SDK,尤为是金融借贷类、购物类、银行类等触及用户身份信息以及财产安全的应用,使用的第三方SDK数量普遍在15个以上,至多的甚至达到30多个。而这些应用集成的第三方SDK中,不仅包含大厂商提供的SDK,而且还包含很多开源社区提供的SDK,这些SDK的安全性都没有得到很好的验证,一旦发生安全问题,将直接风险用户的隐衷以及财产安全,造成严重的后果。

Android平台数目庞大第三方SDK在加速APP应用产品成型、节省开发成本的同时,其相干安全问题也不容藐视。总结近几年Android平台发生第三方SDK安全事故,其安全问题首要发生在下列几个方面:

起首,第三方SDK的开发者的安全能力水平错落不齐,且众多第三方SDK的开发者侧重于功能的完成,在安全方面的投入不足,导致第三方SDK中可能存在着如许或那样的安全漏洞。近两年被爆出的有安全漏洞的第三方SDK首要有FFmpeg漏洞、友盟SDK、zipxx等,由于其被广泛集成到大批的APP中,漏洞的影响范围无比大。

FFmpeg漏洞

安全事故 FFmpeg漏洞
表露时间 2017年6月
事故描摹 FFmpeg的是一款环球率先的多媒体框架,支持解码、编码、转码、复用、解复用、流媒体、过滤器以及播放几乎任何格式的多媒体文件。2017年6月,neex向Hackerone平台提交了俄罗斯最大交际网站VK.com的ffmpeg的遥程任意文件读取漏洞。该漏洞行使了FFmpeg可以处理HLS播放列表的特性,而播放列表(Playlist)中可以引用外部文件。通过在播放列表中添加内陆任意文件的引用,并将该文件上传到视频网站,可以触发内陆文件读取从来获得服务器文件内容。同时,该漏洞亦可触发SSRF漏洞,造成无比大的风险。
影响范围 支流的视频应用几乎都采用了该开源框架,一旦被爆出安全漏洞,影响没法估量
参考链接 https://hackerone.com/reports/226756 http://www.freebuf.com/column/142775.html

友盟SDK未导出组件暴露漏洞

安全事故 友盟SDK未导出组件暴露漏洞
表露时间 2017年12月
事故描摹 2017年12月,国内新闻推送厂商友盟的SDK被爆出存在可越权调用未导出组件的漏洞,行使该漏洞可以完成对使用了友盟SDK的应用进行多种恶意攻击,包括:任意组件的恶意调用、虚假新闻的通知、遥程代码执行等。
影响范围 7千多款APP应用受影响,触及多种类型的应用
参考链接 http://www.freebuf.com/articles/system/156332.html

ZipperDown漏洞

安全事故 ZipperDown漏洞
表露时间 2018年5月
事故描摹 2018年5月,盘古实验室爆出SSZipArchive以及ZipArchive两个开源库解压缩过程中没有考虑到文件名中包含“../”的情形,造成了文件开释过程中路径穿越,导致恶意Zip文件可以在App沙盒范围内,笼盖任意可写文件。
影响范围 影响多款流行应用
参考链接 https://zipperdown.org/

其次,部分SDK开发者出于某种目的,在其开发的SDK中预留了后门用于网络用户信息以及执行越权操作。相干安全事故:

百度SDK Wormhole事故

安全事故 百度moplus SDK被爆出存在(Wormhole)漏洞
表露时间 2015年11月
事故描摹 2015年11月,百度moplus SDK被爆出存在(Wormhole)漏洞,影响多款用户量过亿的应用。通过对Wormhole这个安全漏洞的研究,发现Moplus SDK具有后门功能,攻击者可以行使此后门对受害用户手机进行遥程静默装置应用、启动任意应用、关上任意网页、静默添加联系人、获取用用户隐衷信息等。
影响范围 14000款app遭植入,安卓设备感染量未知 
参考链接 http://www.freebuf.com/vuls/83789.html https://www.secpulse.com/archives/40062.html

Igexin SDK窃取用户隐衷

安全事故 Igexin SDK窃取用户隐衷
表露时间 2017年8月
事故描摹 2017年8月,国内一家名为Igexin的广告SDK被挪移安全厂商Lookout报出存在隐秘窃取用户数据的举动。Igexin SDK借着合法应用的掩护上架应用市场,在应用运行过程中会连接Igexin的服务器,下载并动态加载执行恶意代码,网络上报用户设备上的种种隐衷数据,包括设备信息、通话日记记录等。
影响范围 讲演指出Google Play上超过500款应用使用了Igexin 的广告SDK,这些应用的总下载次数超过1亿次。
参考链接 https://blog.lookout.com/igexin-malicious-sdk

再次,部分恶意开发者渗透了SDK开发环节,以提供第三方服务的方式吸取其他APP应用开发者来集成他们的SDK。借助这些合法应用,恶意的SDK可以有用地藏避大部分应用市场以及安全厂商的检测,影响大批用户的安全。

“Ya Ya Yun”恶意SDK

安全事故 “Ya Ya Yun”恶意SDK
表露时间 2018年1月
事故描摹 Doctor Web病毒阐发师在Google Play上发现了几款游戏在运行时隐秘公开载以及启动执行种种恶意举动的附加模块。阐发发现作歹模块是一个鸣做呀呀云(Ya Ya Yun)的框架(SDK)的一部分。该SDK隐秘地从遥程服务器下载恶意模块,通过后台关上彀站并摹拟点击来盗刷广告,获取灰色收益。
影响范围 Google Play上超27款游戏应用包含此恶意SDK,影响超450万个用户
参考链接 https://news.drweb.com/show/?i=11685&lng=en&c=14

“寄生推”恶意SDK

安全事故 寄生推”恶意SDK
表露时间 2018年4月
事故描摹 2018年4月,腾讯安全反骗取实验室的TRP-AI反病毒引擎拿获到一个恶意推送信息的软件开发工具包(SDK)——“寄生推”,它通过预留的“后门”云控开启恶意功能,擅自ROOT用户设备并植入恶意模块,进行恶意广告举动以及应用推行,以完成攫取灰色收益。
影响范围 超过300多款知名应用受“寄生推”SDK感染,潜伏影响用户超2000万。
参考链接 http://www.freebuf.com/articles/terminal/168984.html

3.3 应用分发渠道安全事故

Android应用分发渠道在供应链中盘踞着十分重要的地位,也是安全问题频发的环节。Android应用分发渠道众多,应用市场、厂商预装、破解网站、ROM内置等都是用户获取应用的常见方式。不仅第三方站点下载、破解应用等灰色供应链中获取的软件极易被植入恶意代码,就连某些正轨的应用市场,由于考核不严等身分也被攻击者植入过含有恶意代码的“正轨”软件。

WireX Android Botnet

安全事故 WireX Android Botnet 污染 Google Play 应用市场事故
表露时间  2017年8月
事故描摹 2017年8月17日,名为WireX BotNet的僵尸收集通过伪装普通安卓应用的方式大批感染安卓设备并发动了较大规模的DDoS攻击,此举引起了部分CDN提供商的注意,此后来自Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ, Team  Cymru等构造联合对该事故进行阐发,并于8月28日发布了该事故的安全讲演。
影响范围 发现大约有300种不同的挪移应用程序疏散在Google Play市肆中,WireX诱发的DDoS事故源自最少7万个自力IP地址,8月17日攻击数据的阐发显示,来自100多个国家的设备感染了WireX BotNet。
参考链接 https://blog.cloudflare.com/the-wirex-botnet/?utm_content=buffer9e1c5&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer http://www.freebuf.com/articles/terminal/145955.html

Pujia8 破解网站携带木马

安全事故 Pujia8 破解网站携带木马
表露时间 2017年11月
事故描摹 2017年11月,腾讯反骗取实验室发现某游戏破解网站上多款游戏应用被植入了Root模块,在运行时,行使 CVE-2015-1805等内核漏洞强行ROOT用户设备,并将无图标恶意应用植入到设备体系目录,长期潜在用户设备进行恶意广告以及流氓推行举动。
影响范围 触及多款破解游戏应用,影响百万用户
参考链接 http://www.freebuf.com/articles/network/154029.html

除了用户直接获取应用的渠道存在的安全威胁外,其他提供第三方服务的厂商如OTA升级、安全加固等也可能在服务中预留后门程序,威胁用于的隐衷以及设备安全。

广升被爆向Android设备预装后门

安全事故 广升被爆向Android设备预装后门,窃取用户隐衷
表露时间 2016年11月
事故描摹 上海广升信息手艺有限公司是环球率先的FOTA手艺服务提供商之一,核心营业为广升FOTA无线升级,通过升级包差分,空中下载,遥程升级手艺,为具有连网功能的设备如手机、平板电脑等智能终端提供固件差分包升级服务。     2016年11月,信息安全公司Kryptowire在一些价格低廉的Android设备上发现了后门程序,该后门会每一隔72小时网络设备上的隐衷信息,包括短信内容、联系人信息、通话记录、IMEI、IMSI、地位、装置的应用以及使用的应用等,上传到该后门开发商的服务器中。后门的开发商是上海广升信息手艺株式会社,该公司执法顾问称这个后门出现在设备建造商BLU生产的设备上是一个错误举动。     2017年11月, Malwarebytes 挪移安全团队公布的讲演称大批 Android 设备仍旧含有了提供 FOTA 服务的上海广升公司的后门。
影响范围 部分使用了广升FOTA手艺服务的中低端Android设备
参考链接 https://www.bleepingcomputer.com/news/security/secret-backdoor-in-some-low-priced-android-phones-sent-data-to-a-server-in-china/ https://www.bleepingcomputer.com/news/security/chinese-backdoor-still-active-on-many-android-devices/

OTA厂商锐嘉科在Android设备中植入rootkit

安全事故 OTA厂商锐嘉科在Android设备中植入rootkit
表露时间 2016年11月
事故描摹 2016年11月,AnubisNetworks的安全研究人员发现多个品牌的Android手机固件OTA升级机制存在安全问题,而这类不安全的的OTA升级机制以及中国一家名为锐嘉科(Ragentek Group)的公司有关。 讲演称,装置该恶意软件的设备可被黑客进行中间人攻击,并且以root权限执行任意代码以此来获得对Android设备的尽对控制权,其首要缘故起因是因为设备在OTA更新的时辰没有采取严格的加密措施导致的。
影响范围 三百万台被植入该后门的安卓设备
参考链接 http://www.freebuf.com/news/120639.html

某加固服务被爆出夹带广告

安全事故 某加固服务被爆出夹带广告
表露时间 2017年1月
事故描摹 2017年初,有开发者反馈,开发的应用在使用了某加固服务后,被嵌入了充电广告。根据开发者的挖掘,该加固服务在加固应用时,会在开发者不知情的情形下植入代码用于拉取广告、下载拉活其他应用、程序异常上报、获取应用程序信息等举动。
影响范围 触及使用该版本加固服务的所有应用
参考链接 http://www.dgtle.com/article-17069-1.html

3.4 使用环节的安全问题

用户在使用应用的过程中,也可能面临应用升级更新的情形,2017年12月,Android平台爆出“核弹级”Janus漏洞,能在不影响应用署名的情形下,修改应用代码,导致应用的升级装置可能被恶意篡改。一样,随着越来越多的应用采用热补丁的方式更新应用代码,恶意开发者也趁虚而入,在应用更新方式上做四肢行为,下发恶意代码,威胁用户安全。

Janus署名漏洞

安全事故 Android平台爆出Janus署名漏洞,应用升级可能被恶意篡改
表露时间 2017年12月
事故描摹  2017年12月,Android平台被爆出“核弹级”漏洞Janus(CVE-2017-13156),该漏洞允许攻击者任意修改Android应用中的代码,而不会影响其署名。正常情形下 根据Android署名机制,开发者发布一个应用,需要使用他的私钥对其进行署名。恶意攻击者要是尝试修改了这个应用中的任何一个文件(包括代码以及资源等),那么他就必须对APK进行重新署名,否则修改过的应用是没法装置到任何Android设备上的。然则通过Janus漏洞,恶意攻击者可以篡改Android应用中的代码,而不会影响其署名,并通过应用升级过程,笼盖装置原有应用。
影响范围 体系版本Android 5.0~8.0,采用v1署名的APK应用
参考链接 http://www.freebuf.com/articles/paper/158133.html

儿童游戏系列应用

安全事故 儿童游戏应用,动态更新下载恶意代码
表露时间 2018年5月
事故描摹 2018年5月,腾讯安全反骗取实验室暴光了“儿童游戏”系列恶意应用。这种应用外观上是儿童益智类的小游戏,在国内大部分应用市场都有上架,但实际上,这些应用在使用过程中可以通过云端控制更新恶意代码包,在违地里做着用户没法感知的恶意举动:加载恶意广告插件,通过将广告铺示界面配置为不可见,进行广告盗刷举动,疯狂消费用户流量;动态加载恶意ROOT子包,获取手机ROOT权限,替代体系文件,将恶意的ELF文件植入用户手机。
影响范围 触及一百多款儿童游戏应用,累计影响用户数达百万
参考链接 http://www.freebuf.com/articles/terminal/173104.html

4、供应链安全的发铺趋向以及带来的新挑战

4.png

Android供应链安全事故时序图

阐发我们收拾整理的关于Android应用供应链的重要安全事故的时序图可以发现,针对供应链攻击的安全事故在影响面、严重程度上都尽不低于传统的恶意应用本身以及针对操作体系的漏洞攻击,针对Android应用供应链的攻击的呈现出下列趋向:

一、针对供应链下游(分发环节)攻击的安全事故盘踞了供应链攻击的大头,受影响用户数多在百万级别,且层出不穷。类似于XcodeGhost这种污染开发工具针对软件供应链上游(开发环境)进行攻击的安全事故较少,但攻击一旦成功,却可能影响上亿用户。

2、第三方SDK安全事故以及厂商预留后门也是Android供应链中频发的安全事故,这种攻击大多采用了白署名绕过查杀系统的机制,其举动也介于黑白之间,从影响用户数来说遥超一般的漏洞行使类攻击。

三、从攻击的隐蔽性来讲,基于供应链各环节的攻击较传统的恶意应用来说,隐蔽性更强,潜在周期更久,攻击的发现以及清理也都比较复杂。

四、针对供应链各环节被揭破出来的攻击在近几年都呈上升趋向,在趋于愈加复杂化的互联网环境下,软件供应链所暴露给攻击者的攻击面越来越多,并且越来越多的攻击者也发现针对供应链的攻击相对于针对应用本身或体系的漏洞攻击可能愈加容易,成本更低。

针对供应链的攻击事故增多,攻击的深度以及广度的延伸也给挪移安全厂商带来了更大的挑战。无论是基于特征码查杀、启发式杀毒这种以静态特征匹敌静态代码的第一代安全手艺,照样以云查以及机器学习匹敌样本变种、使用白名单以及“非白即黑”的制约策略等主动防御手段为主的第二代安全手艺,在面对更具有针对性、隐蔽性的攻击时,都显得捉襟见肘。在这类新的攻击环境下,我们极需一种新时代的安全系统来维护构造以及用户的安全。

5、打造Android供应链安全生态

针对软件供应链攻击,无论是免费应用照样付费应用,在供应链的各个环节都可能被攻击者行使,因此,需要对供应链周全设防,打造Android应用供应链的安全生态。在应准许用供应链攻击的全部场景中,需要手机厂商、应用开发者、应用市场、安全厂商、终极用户等各主体踊跃参与、通力合作。

手机厂商

受到Android体系的诸多特性的影响,体系版本的碎片化问题十分严重。各大手机厂商对现存设备安全漏洞的修复以及更新安全补丁的响应时间有很大的区分。

一、关注Google关于Android体系的安全通告,及时对体系已知的安全漏洞进行修复;

2、关注自身珍爱机型的安全动态,如被揭破出存在严重的安全问题,通过设置或加入其他安全性控制造为缓解措施,必要时对体系进行相应的安全升级;

三、遵命相干安全律例,严禁开发人员在手机体系中留下调试后门之类的安全危害,防止被恶意行使,保障可托安全的手机体系环境。

应用开发商/者

 培育开发人员的安全意识,在开发过程的各个环节确立检查点,把安全性的评估作为一个必要评审项。开发环节严格遵命开发规范,防止类似调试后门等安全威胁的产生。开发实现的应用发布前交给自力的内部或外部测评构造进行安全性评估,及时解决所发现的问题。

通过正轨渠道发布应用,对应用署名证书做好失密措施,规范应用发布流程,防止应用署名证书泄露导致应用被篡改。软件升级更新时,要校验下载归来的升级包,保障不运行被挟制的升级包。

应用市场

由于Android体系的开发性以及一些特殊的缘故起因,各大手机厂商的应用市场、应用宝以及众多第三方应用市场是国内应用分发的首要渠道。应用市场在Android应用供应链生态在处于十分症结的地位,也是安全问题频发的环节。针对应用市场,我们给出了下列建议:

一、规范应用考核以及发布流程,各环节严格把控,禁止具有安全危害的应用进入应用市场;

2、完美的应用开发商/者的治理规范,实施有用的奖惩措施,袭击恶意开发者,防止恶意开发者浑水摸鱼;

三、抬举自身恶意应用检测能力或使用成熟的安全厂商提供的检测服务,防备恶意应用进入应用市场。

安全厂商

长期以来安全厂商大多以应用安全以及操作体系本身的漏洞为中心提供产品以及服务,针对供应链环节的安全问题似乎并没有投入充足的关注。通过上述对应用供应链各环节的重大安全事故阐发可以看到,应用开发、交付、使用等环节都存在巨大的安全威胁,其导致的风险并不低于安全漏洞所导致的情形,因此仅关注软件及操作体系本身的安全威胁是遥遥不够的。所以,安全厂商需要从完备的软件供应链角度形成全景的安全视野,才能解决更多纵深的安全危害。安全厂商可以加强以下几点:

1.抬举发现安全问题的能力,不仅限于通常意义恶意软件以及体系上的安全漏洞,而是要关注应用供应链的各个环节,针对应用在终端上的举动,而非样本本身进行防御;

2.提供创新型的产品以及服务,为用户完成周全详尽的态势感知,立足于安全威胁本身,链接威胁违后的构造、目的以及手艺手段,进行持续监控,发现可能的未知攻击,并帮助用户实现安全事故的快速检测以及响应。

为应答未来严峻的安全挑战,腾讯安全立足终端安全,推出自研AI反病毒引擎——腾讯TRP引擎,TRP引擎通过对体系层的敏感举动进行监控,配合能力成熟的AI手艺对设备上各类应用的举动进行深度学习,能有用识别恶意应用的危害举动,并实时阻断恶意举动,为用户提供更高智能的实时终端安全防护。

5.png

同时针对恶意软件开发者以及黑产从业人员,腾讯反骗取实验室基于海量的样本APK数据、URL数据以及手机号码黑库确立了神羊情报体系,可以根据恶意软件的恶意举动、传播URL以及样本信息进行聚类阐发,溯源追踪恶意攻击的攻击链条、使用的手艺手段、违后的开发团队/者,提供具体的威胁情报,予以精确袭击,维护厂商以及泛博用户免受恶意软件侵害。

终极用户

终极用户身处供应链的最末端,作为应用的使用者,也是恶意应用的直接风险对象,我们给出了下列建议:

一、绝可能使用正版以及官方应用市场提供的APP应用;

2、不要装置非可托渠道的应用以及点击可疑的URL;

三、挪移设备及时进行安全更新;

四、装置手机管家等安全软件,实时进行维护。

参考链接:

https://hackerone.com/reports/226756

http://www.freebuf.com/column/142775.html

http://www.freebuf.com/articles/system/156332.html

https://zipperdown.org/

http://www.freebuf.com/vuls/83789.htmlhttps://www.secpulse.com/archives/40062.html

https://blog.lookout.com/igexin-malicious-sdk

https://news.drweb.com/show/?i=11685&lng=en&c=14

http://www.freebuf.com/articles/terminal/168984.html

https://blog.cloudflare.com/the-wirex-botnet/?utm_content=buffer9e1c5&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer

http://www.freebuf.com/articles/terminal/145955.html

http://www.freebuf.com/articles/network/154029.html

https://www.bleepingcomputer.com/news/security/secret-backdoor-in-some-low-priced-android-phones-sent-data-to-a-server-in-china/

https://www.bleepingcomputer.com/news/security/chinese-backdoor-still-active-on-many-android-devices/

http://www.freebuf.com/news/120639.html

http://www.dgtle.com/article-17069-1.html

http://www.freebuf.com/articles/paper/158133.html

http://www.freebuf.com/articles/terminal/173104.html

*

您可能还会对下面的文章感兴趣: