欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

网络安全新常态下Android应用供应链安全探秘

来源:本站整理 作者:佚名 时间:2018-07-24 TAG: 我要投稿

前言
时至2018年,移动互联网的发展已走过十年历程,智能设备已深入人们生活的方方面面,其安全问题也时刻牵动着人们的神经。自2014年移动端恶意软件爆发时增长以来,Google、手机厂商和移动安全厂商都投入了巨大的精力,与恶意开发者进行了激烈的对抗。
过去几年,经过各方的共同努力,普通Android恶意软件的迅猛增长趋势已经得到遏制,据腾讯手机管家数据显示,2018年上半年Android平台新增恶意样本数468.70万,较去年同期下降47.8%。但与此同时,腾讯大数据监测到基于Android应用供应链的其他环节的安全问题逐渐增多,显示出恶意开发者已经将更多的目光投向Android应用供应链的薄弱环节。鉴于供应链安全问题较强的隐蔽性和影响的广泛性,希望相关各方关注供应链攻击的新形式,做好有效的安全防御措施。
一、新常态下Android应用安全威胁朝供应链环节转移
2017年永恒之蓝勒索蠕虫事件和《网络安全法》的正式实施是网络安全行业的一个分水岭,广大的政企机构的攻防态势和网络安全的监管形势都发生了根本变化,我们称之为网络安全的新常态。2018年,网络安全将全面进入这种新常态,安全威胁也越来越凸显出攻击复杂化、漏洞产业化、网络军火民用化等日益升级的特点。作为网络安全行业重要领域的移动安全,随着攻防对抗进入深水区,面临的安全威胁也呈现出新的特点:
1. Android恶意样本总体增长趋势得到遏制
过去几年,在Google、手机厂商和安全厂商的共同努力下,移动端恶意软件的迅猛增长趋势得到了遏制。根据Google《2017年度Android安全报告》显示,2017年,有超过70万款应用因违反相关规定从Google Play上下架,Android用户在Google Play 上下载到潜在恶意应用的几率是0.02%,该比率较2016年下降0.02%。而根据腾讯手机管家数据显示,2018年上半年Android平台新增恶意样本468.70万,相比2017年上半年(899万)下降47.8%,扭转了2015年以来的迅猛增长势头。

2. 更多的高端的移动端恶意软件
相较与Android恶意应用总体数量呈下降趋势,高端的、复杂移动恶意软件的攻击却有上升趋势。近年来,安全研究人员和分析团队跟踪了100多个APT组织及其活动,这些组织发起的攻击活动异常复杂,而且拥有丰富的武器资源,包括0day漏洞,fileless攻击工具等,攻击者还会结合传统的黑客攻击动用更复杂的人力资源来完成数据的窃取任务。2016年8月Lookout发表了他们对一个复杂的移动间谍软件Pegasus的研究报告,这款间谍软件与以色列的安全公司NSO Group有关,结合了多个0day漏洞,能够远程绕过现代移动操作系统的安全防御,甚至能够攻破一向以安全著称的iOS系统。2017年4月,谷歌公布了其对Pegasus间谍软件的安卓版Chrysaor的分析报告。除了上述两款移动端间谍软件之外,还有许多其他的APT组织都开发了自定义的移动端植入恶意软件。评估认为,在野的移动端恶意软件的总数可能高于目前公布的数量,可以预见的是,在2018年,攻击量会继续增加,将有更多的高级移动端恶意软件被发现。
3. 更多的供应链薄弱环节被利用
在APT攻击活动的研究过程中,经常可以看到,恶意攻击者为了尝试突破某一目标可以花费很长一段时间,即使屡屡失败也会继续变换方式或途径继续尝试突破,直至找到合适的入侵方式或途径。同时,恶意攻击者也更多地将目光投向供应链中最薄弱的一环,如手机OTA升级服务预装后门程序,第三方广告SDK窃取用户隐私等,这类攻击借助“合法软件”的保护,很容易绕开安全产品的检测,进行大范围的传播和攻击。经过腾讯大数据监测发现,近年来,与Android应用供应链相关的安全事件越来越多,恶意软件作者正越来越多地利用用户与软件供应商间的固有信任,通过层出不穷的攻击手法投递恶意载体,造成难以估量的损失。
综上所述,在Android安全领域,过去几年经Google、手机厂商和安全厂商的共同努力,普通的Android恶意软件的迅猛增长趋势得到了遏制,而恶意开发者则将更多的目光转向了Android应用供应链的薄弱环节,以期增强攻击的隐蔽性和绕过安全厂商的围追堵截,扩大攻击的传播范围。本文将列举近年来与Android应用供应链安全的相关事件,分析Android应用供应链面临的安全挑战,并提出相应的防护对策和建议。
二、Android应用供应链相关概念和环节划分
目前关于Android应用供应链还没有明确的概念,我们根据传统的供应链概念将其简单抽象成如下几个环节:
1.开发环节
应用开发涉及到开发环境、开发工具、第三方库等,并且开发实施的具体过程还包括需求分析、设计、实现和测试等。在这一环节中形成最终用户可用的应用产品。
2.分发环节
用户通过应用商店、网络下载、厂商预装、Rom内置等渠道获取到应用的过程。
3.使用环节
用户使用应用的整个生命周期,包括升级、维护等过程。
三、Android应用供应链生态重要安全事件
从最终用户安全感知角度而言,Android端主要的安全威胁仍然是信息泄露、扣费短信、恶意广告、挖矿木马、勒索软件等常见形态。透过现象看本质,正是因为移动生态环节中的一些安全脆弱点,导致了这些威胁的频发和泛滥。前面定义了应用供应链的概念并抽象出了几大相关环节,攻击者针对上述各环节进行攻击,都有可能影响到最终的应用产品和整个使用场景的安全。
下面,本文将通过相关的安全事件来分析从开发工具、第三方库、分发渠道、应用使用过程等应用供应链相关环节引入的安全风险。

3.1 开发工具相关安全调研
针对开发工具进行攻击、影响最为广泛的莫过于2015年的XcodeGhost(Xcode非官方版本恶意代码污染事件),Xcode 是由苹果公司发布的运行在操作系统

[1] [2] [3] [4] [5]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载