《2018年Android应用安全白皮书》重磅发布:超98%Android应用存有安全风险
随着恶意程序、费用消耗、数据泄露等移动应用安全威胁的增加,Android应用安全防护的价值不断引发行业内外的讨论。在6月12日举行的第四届腾讯安全国际技术峰会(TenSec2019)上,腾讯安全科恩实验室发布了《2018年Android应用安全白皮书》(以下简称白皮书),深入分析了Android应用安全风险及其原因,并提出了解决方案。白皮书基于腾讯安全科恩实验室开发的Android应用程序自动漏洞扫描系统ApkPecker,选择了2018年下载的1404个应用程序并进行漏洞扫描,结果发现98%以上的应用程序都存在不同类型的安全风险。主要原因有系统开发存在风险、漏洞监测难度、防雷能力不足、修复管理滞后等。建议领先的应用程序制造商在从应用程序开发到用户交互的整个产品生命周期中建立安全控制,并实施实时安全风险检测和控制,以避免不必要的损失。
视频播放应用风险最高的相关数据显示,超过98%的Android应用存在安全风险,2018年全球应用下载量近50%来自中国。移动应用程序与社会和行业的关系越来越密切。根据GDATA的最新统计数据,从2012年到2018年第三季度末,Android应用程序中检测到了超过320万个新的恶意样本,每天检测到超过11,000个。受开源组件安全风险、开发过程中的漏洞入侵、应用克隆等因素的影响,以漏洞为代表的安全威胁已经渗透到移动应用开发和用户交互等各个方面,成为移动应用行业发展的制约因素。白皮书中的数据显示,Android应用面临的安全风险最大,其次是社交网络应用和在线购物应用。与其他类型的移动应用相比,这三种应用的产品功能和交互方式更加丰富,用户粘性更高。一旦出现安全风险,用户的规模和范围将远远超出预期。
从安全风险类型来看,拒绝服务漏洞、隐含意图泄露和二进制是最常见的三种类型,受影响的应用程序数量也排在前三位。超过80%的移动应用程序都存在隐性意图信息泄露的风险。利用这些深度渗透到Android应用程序中的漏洞,攻击者可以实现用户信息的绑架、恶意收取和消费,甚至将多重风险集成构建起来,形成贯穿应用程序开发、货架、用户交互全过程的攻击环节。它很容易引发1亿级的应用安全危机。
组件安全风险仍达到70%,开发周期中缺乏安全机制,根据Android应用自动漏洞扫描系统ApkPecker检测数据,Android应用面临的安全风险主要是应用场景漏洞的利用,它可以分为服务后台漏洞攻击。其中,白皮书在对1404款Android应用的样本测试中显示,用户信息缺乏保密性,加大了移动应用的安全压力。因此,安全事件频繁发生,对用户的信息账户和资金造成了很大的损害。同时,白皮书还结合安全风险触发场景,详细分析了当前移动应用中频繁发生的安全风险,如数据泄露、组件间通信、SDK和原生第三方库中的漏洞等。在我们检测到的1404个样本中,有74%的样本表明存在拒绝服务攻击的风险。开发人员对公共组件的外部输入数据进行校验和异常处理是组件间通信恶意安全事件的主要原因,增加了漏洞组合利用的风险,并导致大量信息泄露。
由于移动应用程序开发人员直接调用第三方库进行应用程序开发并不重视代码的安全性,因此在经过测试的样本中,近50%的应用程序存在SDK库漏洞。超过58%的应用受到原生库漏洞的威胁,大大增加了APP安全管理的难度,呈现出碎片化、难以追溯的特点,甚至导致安全风险的恶性循环。此外,移动应用程序后端服务器中存在的平台、应用程序和业务逻辑以及DDOS/CC攻击风险也是Android应用程序安全事件的重要来源。因此,移动应用的安全风险并不是独立隔离的,多个安全风险形成完整攻击链的趋势日益明显。Android移动应用程序安全性需要在整个行业中采用一种自上而下的闭环维护和防御实践。白皮书最后提醒领先的Android应用开发商和应用商店等平台,风险防御的成功取决于短板攻击面。利用基于攻击面的静态检测工具,建立移动应用程序整个生命周期的安全风向评估模型,是有效检测Android移动应用程序风险、准确防范安全威胁的有效途径。ApkPecker是一个全自动的Android应用程序漏洞扫描工具,可以输出高质量的漏洞扫描报告,准确识别漏洞并提供修复建议,帮助移动安全人员提高应用程序安全性。同时,腾讯安全科恩实验室基于移动应用渗透测试经验和对前沿攻击模式的分析总结,提出了一种适合移动应用攻击面静态检测的安全自检雷达图。它可以帮助Android应用开发者全面、客观、高效地掌握移动应用静态检测安全风险的实时动态,帮助他们突破安全检测误报率高的瓶颈。在此基础上,腾讯安全科恩实验室将继续开放核心安全技术和能力,为不同行业数字化转型的安全健康发展做出贡献。