腾讯安全反欺诈实验室发布《网络安全新常态下Android运用供应链安全探秘》(下简称陈述),结合最新迸发的典型事例梳理了供应链进犯的常见方法及进犯趋势,并指出在软件供应链开发、分发、运用三大环节均有安全危险
7月25日,腾讯安全反欺诈实验室发布《网络安全新常态下Android运用供应链安全探秘》(下简称陈述),结合最新迸发的典型事例梳理了供应链进犯的常见方法及进犯趋势,并指出在软件供应链开发、分发、运用三大环节均有安全危险,迸发了多起影响严重的安全事情。鉴于供应链安全问题较强的隐蔽性和影响的广泛性,陈述一起呼吁相关各方重视供应链进犯的新形式,做好有用的安全防护办法。
移动安全要挟“量降质升” 不法分子瞄准供应链单薄环节
曩昔几年,经过手机厂商和移动安全厂商等各方的共同努力,一般Android歹意软件的迅猛增加趋势现已得到遏止。陈述征引腾讯手机管家的数据显现,2018年上半年Android途径新增歹意样本数468.70万,较去年同期下降47.8%,扭转了2015年以来的迅猛增加势头。
但高端、杂乱的移动歹意软件进犯却出现上升趋势,愈演愈烈的软件供应链进犯更是验证了移动安全要挟“量降质升”现象。陈述指出,歹意进犯者逐步将目光投向供应链中最单薄的一环,如手机OTA晋级效劳预装后门程序,第三方广告SDK盗取用户隐私等,这类进犯凭借“合法软件”的维护,很简略绕开安全产品的检测,进行大规模的传达和进犯。
经过腾讯大数据监测发现,近年来,与Android运用供应链相关的安全事情越来越多,歹意软件作者正越来越多有利地势用用户与软件供货商间的固有信赖,经过层出不穷的进犯方法投递歹意载体,形成难以估计的丢失。
现在关于Android运用供应链还没有清晰的概念,陈述依据传统的供应链概念将其简略笼统成开发、分发和运用环节,根本包含了软件开发规划、发布下载、用户运用等上下流全产业链。经过陈述收拾的关于Android运用供应链重要安全事情时序图能够发现,供应链各个环节,简直都迸发了严重安全事情。
(Android运用供应链重要安全事情时序图)
上游进犯或将影响上亿用户 歹意开发者逐步进入SDK开发环节
针对软件供应链上游开发工具进行进犯、影响最为广泛的莫过于2015年的Xcode非官方版别歹意代码污染事情。进犯者经过向非官方版别的Xcode注入病毒Xcode Ghost,当运用开发者运用带毒的Xcode作业时,编译出的APP都将被注入病毒代码,然后发生很多带着病毒的APP。
陈述指出,类似于Xcode Ghost这类污染开发工具针对软件供应链上游(开发环境)进行进犯的安全事情较少,但一旦进犯成功,却可能影响上亿用户。
而侵略第三方SDK则正在成为不法分子针对供应链上游建议进犯的重要挑选。陈述指出,一方面,第三方SDK的开发者的安全才能水平良莠不齐,且很多第三方SDK的开发者侧重于功用的完成,在安全方面的投入缺乏,近两年被爆出的有安全缝隙的第三方SDK主要有FFmpeg缝隙、友盟SDK、zipxx等,因为其被广泛集成到很多的APP中,缝隙的影响规模非常大;另一方面,部分歹意开发者进入了SDK开发环节,以供给第三方效劳的方法招引其他APP运用开发者来集成他们的SDK。凭借这些合法运用,歹意的SDK能够有用地逃避大部分运用 商场和安全厂商的检测,影响很多用户的安全。
2018年4月,腾讯安全反欺诈实验室自研的TRP-AI反病毒引擎捕获到一个歹意推送信息的软件开发工具包(SDK)——“寄生推”,它经过预留的“后门”云控敞开歹意功用,私自ROOT用户设备并植入歹意模块,进行歹意广告行为和运用推行,以完成牟取灰色收益。该事情感染超越300多款闻名运用,潜在影响用户超2000万。
下流进犯占有大头 不法分子无孔不入
供应链下流则是迸发安全事情的大头。陈述指出,Android运用分发途径在供应链中占有着十分重要的方位,也是安全问题频发的环节。Android运用分发途径很多,运用商场、厂商预装、破解网站、ROM内置等都是用户获取运用的常见方法。不只第三方站点下载、破解运用等灰色供应链中获取的软件极易被植入歹意代码,就连某些正规的运用商场,因为审阅不严等要素也被进犯者植入过含有歹意代码的“正规”软件。
除了用户直接获取运用的途径存在的安全要挟外,其他供给第三方效劳的厂商如OTA晋级、安全加固等也可能在效劳中预留后门程序,要挟用于的隐私和设备安全。这类进犯大多选用了白签名绕过查杀系统的机制,其行为也介于是非之间,从影响用户数来说远超一般的缝隙运用类进犯。
用户在运用运用进程,面对的运用晋级更新等状况也埋伏危险。2017年12月,Android途径爆出“核弹级”Janus缝隙,能在不影响运用签名的状况下,修正运用代码,导致运用的晋级装置可能被歹意篡改。相同,跟着越来越多的运用选用热补丁的方法更新运用代码,歹意开发者也趁虚而入,在运用更新方法上做手脚,下发歹意代码,要挟用户安全。
陈述最终呼吁,针对软件供应链进犯,无论是免费运用仍是付费运用,在供应链的各个环节都可能被进犯者运用,因而,需求对供应链全面设防,打造Android运用供应链的安全生态。在应对运用供应链进犯的整个场景中,需求手机厂商、运用开发者、运用商场、安全厂商、一般用户等各主体积极参与、通力合作。
