安卓軟體供應鏈全線均爆重大安全事件 上游攻擊或將影響上億用戶
7月25日,騰訊安全反詐騙實驗室發布《網路安全新常態下Android應用供應鏈安全探秘》(下簡稱報告),結合最新爆發的典型案例梳理了供應鏈攻擊的常見手段及攻擊趨勢,並指出在軟體供應鏈開發、分發、使用三大環節均有安全隱患,爆發了多起影響重大的安全事件。鑒於供應鏈安全問題較強的隱蔽性和影響的廣泛性,報告同時呼籲相關各方關注供應鏈攻擊的新形式,做好有效的安全防禦措施。
移動安全威脅「量降質升」 不法分子瞄準供應鏈薄弱環節
過去幾年,經過手機廠商和移動安全廠商等各方的共同努力,普通Android惡意軟體的迅猛增長趨勢已經得到遏制。報告援引騰訊手機管家的數據顯示,2018年上半年Android平台新增惡意樣本數468.70萬,較去年同期下降47.8%,扭轉了2015年以來的迅猛增長勢頭。
但高端、複雜的移動惡意軟體攻擊卻呈現上升趨勢,愈演愈烈的軟體供應鏈攻擊更是驗證了移動安全威脅「量降質升」現象。報告指出,惡意攻擊者逐漸將目光投向供應鏈中最薄弱的一環,如手機OTA升級服務預裝後門程序,第三方廣告SDK竊取用戶隱私等,這類攻擊藉助「合法軟體」的保護,很容易繞開安全產品的檢測,進行大範圍的傳播和攻擊。
經過騰訊大數據監測發現,近年來,與Android應用供應鏈相關的安全事件越來越多,惡意軟體作者正越來越多地利用用戶與軟體供應商間的固有信任,通過層出不窮的攻擊手法投遞惡意載體,造成難以估量的損失。
目前關於Android應用供應鏈還沒有明確的概念,報告根據傳統的供應鏈概念將其簡單抽象成開發、分發和使用環節,基本包含了軟體開發設計、發布下載、用戶使用等上下游全產業鏈。通過報告整理的關於Android應用供應鏈重要安全事件時序圖可以發現,供應鏈各個環節,幾乎都爆發了重大安全事件。
(Android應用供應鏈重要安全事件時序圖)
上游攻擊或將影響上億用戶 惡意開發者逐漸滲入SDK開發環節
針對軟體供應鏈上游開發工具進行攻擊、影響最為廣泛的莫過於2015年的Xcode非官方版本惡意代碼污染事件。攻擊者通過向非官方版本的Xcode注入病毒Xcode Ghost,當應用開發者使用帶毒的Xcode工作時,編譯出的APP都將被注入病毒代碼,從而產生眾多攜帶病毒的APP。
報告指出,類似於Xcode Ghost這類污染開發工具針對軟體供應鏈上游(開發環境)進行攻擊的安全事件較少,但一旦攻擊成功,卻可能影響上億用戶。
而入侵第三方SDK則正在成為不法分子針對供應鏈上游發起攻擊的重要選擇。報告指出,一方面,第三方SDK的開發者的安全能力水平參差不齊,且眾多第三方SDK的開發者側重於功能的實現,在安全方面的投入不足,近兩年被爆出的有安全漏洞的第三方SDK主要有FFmpeg漏洞、友盟SDK、zipxx等,由於其被廣泛集成到大量的APP中,漏洞的影響範圍非常大;另一方面,部分惡意開發者滲入了SDK開發環節,以提供第三方服務的方式吸引其他APP應用開發者來集成他們的SDK。藉助這些合法應用,惡意的SDK可以有效地躲避大部分應用市場和安全廠商的檢測,影響大量用戶的安全。
2018年4月,騰訊安全反詐騙實驗室自研的TRP-AI反病毒引擎捕獲到一個惡意推送信息的軟體開發工具包(SDK)——「寄生推」,它通過預留的「後門」雲控開啟惡意功能,私自ROOT用戶設備並植入惡意模塊,進行惡意廣告行為和應用推廣,以實現牟取灰色收益。該事件感染超過300多款知名應用,潛在影響用戶超2000萬。
下游攻擊佔據大頭 不法分子無孔不入
供應鏈下游則是爆發安全事件的大頭。報告指出,Android應用分發渠道在供應鏈中佔據著十分重要的位置,也是安全問題頻發的環節。Android應用分發渠道眾多,應用市場、廠商預裝、破解網站、ROM內置等都是用戶獲取應用的常見方式。不僅第三方站點下載、破解應用等灰色供應鏈中獲取的軟體極易被植入惡意代碼,就連某些正規的應用市場,由於審核不嚴等因素也被攻擊者植入過含有惡意代碼的「正規」軟體。
除了用戶直接獲取應用的渠道存在的安全威脅外,其他提供第三方服務的廠商如OTA升級、安全加固等也可能在服務中預留後門程序,威脅用於的隱私和設備安全。這類攻擊大多採用了白簽名繞過查殺體系的機制,其行為也介於黑白之間,從影響用戶數來說遠超一般的漏洞利用類攻擊。
用戶在使用應用過程,面臨的應用升級更新等情況也潛伏隱患。2017年12月,Android平台爆出「核彈級」Janus漏洞,能在不影響應用簽名的情況下,修改應用代碼,導致應用的升級安裝可能被惡意篡改。同樣,隨著越來越多的應用採用熱補丁的方式更新應用代碼,惡意開發者也趁虛而入,在應用更新方式上做手腳,下發惡意代碼,威脅用戶安全。
報告最後呼籲,針對軟體供應鏈攻擊,無論是免費應用還是付費應用,在供應鏈的各個環節都可能被攻擊者利用,因此,需要對供應鏈全面設防,打造Android應用供應鏈的安全生態。在應對應用供應鏈攻擊的整個場景中,需要手機廠商、應用開發者、應用市場、安全廠商、普通用戶等各主體積极參与、通力合作。
※看世界盃的正確姿勢
※索尼電視實力斬獲2018「消費者喜愛電視品牌」及「十佳電視」雙項大獎
TAG:PChome電腦之家 |