《2018年Android应用安全白皮书》解读

  • 时间:
  • 浏览:1
  • 来源:1分赛车网投平台-3分彩投注平台_3分快3娱乐平台

伴随恶意守护任务管理器、资费消耗、数据泄露等移动端应用安全威胁与日俱增,Android应用端安全防护的价值也在持续引发行业内外人士的探讨。在6月12日举办的第四届腾讯安全国际技术峰会(TenSec 2019)上,腾讯安全科恩实验室对外发布了《2018年Android应用安全白皮书》(以下简称《白皮书》),强度剖析了Android应用占据 的安全风险及导致 ,并提出了针对性的处理建议。

《白皮书》基于腾讯安全科恩实验室自研的Android应用自动化漏洞扫描系统—ApkPecker,选用了2018年下载量较高的140有2个多App应用,进行漏洞扫描发现:超98%的应用存有不类似型的安全风险,主要导致 包括系统开发隐患、漏洞监测困难、避雷能力缺乏、修复管理滞后等。建议各大应用厂商建立从APP开发到用户交互的产品全生命周期的安全管理,开展实时的安全风险检测与控制,处理造成从从不的损失。

超98%Android应用存有安全风险影音播放类应用风险最高

相关数据显示,2018年全球App下载量近五成来源于中国。移动应用与社会大众和各行业的关联日趋紧密。然而,Android平台的恶意守护任务管理器数量也增长迅勐,据G DATA最新的统计数据显示,从2012年到2018年第三季度末,Android系统应用发现超过38万个新的恶意样本,日均发现超过160 0个。受开源组件安全隐患、开发过程漏洞入侵、应用好友克隆等因素的影响,以漏洞为代表的安全威胁已渗透到了移动应用的开发及用户交互等各个环节,成为移动应用行业发展的制约因素。

《白皮书》数据显示,影音播放类Android应用占据 的安全风险数量最多,其次是通讯社交和网上购物类应用。相对于或者 类型的移动应用,这三类应用的产品功能和交互最好的办法 都较充足,且具有较高的用户黏性。占据 其中的安全风险一旦爆发,影响的用户量级和范围将大大超乎预期。

在安全风险的类型方面,拒绝服务漏洞、隐式Intent信息泄露以及二进制三类安全风险的数量最多,且影响的APP数量也位列前三。其中,超60 %的移动应用皆存有隐式Intent信息泄漏风险。利用什么已强度侵入到Android应用内的漏洞,攻击者即可实现对用户信息的绑架、资费的恶意扣取与消耗等,甚至将多种风险进行整合构建,形成贯穿应用开发、上架和用户交互等全流程的攻击链路,从而容易引发高达亿级的应用安全危机。

组件安全风险仍达七成,开发周期缺乏安全机制是主因

根据Android应用自动化漏洞扫描系统——ApkPecker的检测数据发现,Android应用面临的安全风险主要可分为应用场景漏洞利用、服务后台漏洞攻击等部分。其中,《白皮书》显示在本次针对1404款Android应用进行的样本检测中发现,用户信息保密机制的缺乏增加了移动应用的安全压力。由此引发的安全事件频发,给用户的信息账号和资金带来了极大危害。

与此一同,《白皮书》还结合安全风险的触发场景,着重对数据泄漏、组件间通信,以及SDK、Native第三方库漏洞等频繁出现在当前移动应用中的安全风险进行了删改分析,指出在检测的140有2个多样本中,有74%的应用占据 拒绝服务攻击风险。开发人员对公开组件內部输入数据的校验和异常处理,是引发组件间通信恶意安全事件的主要导致 ,一同还将加大漏洞组合利用的风险,造成更大量级的信息泄漏。

而因移动应用开发者在直接调用第三方库进行应用开发使并未注意其代码的安全性,从而导致 在检测的样本中,有近五成的应用存有SDK库漏洞,且超58%的应用受Native库漏洞威胁,极大地增加了APP安全管理的难度,其表现出的碎片化、难追溯特点甚至将导致 安全风险的恶性循环。

此外,移动应用后台服务端存有的平台、应用、业务逻辑以及DDos/CC攻击等风险也是引发Android应用安全事件的重要诱因。由此,《白皮书》指出移动应用的安全风险从有的是相互独立和彼此割裂的,多种安全风险构建成删改攻击链的趋势愈加明显。Android移动应用安全都要整个产业闭环自上而下的一同维护与防御实践。

《白皮书》最后提醒各大Android应用开发厂商以及应用商店等平台,风险防御成功与非 是由短板攻击面决定的。使用基于面向攻击面的静态检测工具,建立贯穿移动应用全生命周期的安全风向评估模型,是高效检测Android移动应用风险,精准防范安全威胁的有效途径。ApkPecker作为一款全自动Android应用漏洞扫描工具,能能输出高质量漏洞扫描报告,精准定位漏洞并提供修复建议,从而助力移动安全人员提升应用安全性。

一同,腾讯安全科恩实验室还基于移动应用渗透测试经验以及前沿攻击模式分析与总结,提出了适用于移动应用面向攻击面静态检测的安全自查雷达图,协助Android应用开发者全面、客观、高效地掌握移动应用静态检测安全风险的实时动态,为其突破安全检测高误报率瓶颈提供助益。在此基础上,腾讯安全科恩实验室将继续开放核心安全技术与能力,为各行业数字化转型变革的安全和健康发展贡献力量。

注:文章内的所有配图皆为网络转载图片,侵权即删!

猜你喜欢

天味食品2019年三季报见光死 披露当天开盘跌停

10月29日,天味食品(803317.SH)对外披露了2019年三季报。受三季报业绩影响,天味食品股价开盘跌停,截至午间收盘,报80.38元,跌幅10.00%。 三季报显示,

2019-12-11

房地产交易数据:乌鲁木齐(月)

数据名(时间)单位起止时间操作乌鲁木齐:商品住宅成交套数:当月值(月)套201212-204003进入查看乌鲁木齐:商品住宅成交套数:新市区:当月值(月)套201212-204

2019-12-10

三度挂牌转让 上海能源所转让玉泉煤业100%股权

6月17日,记者了解到,北京产权交易所消息显示,山西阳泉盂县玉泉煤业有限公司(简称“玉泉煤业”)80%股权及相关债权第三次挂牌转让。其中,山西能源持有玉泉煤业70%股权和债权对

2019-12-10

快手为什么投资知乎 这里有3个理由

8月12日,快手在知乎的F轮融资中领投了知乎。在这轮总额4.34亿美元的融资中,除了快手你这些 新投资方,老投资方腾讯、今日资本跟投,新投资方还有百度。百度投资知乎是既有策略

2019-12-10

爆个料,马化腾打算扶持一个「新滴滴」

图片版权所属:站长之家本文来自微信公众号“科技唆麻”(ID:techsuoma);查看原文(转载),请点击“稿源:科技唆麻”。文| 科技唆麻肯能说,2018年移动出行领域的关键

2019-12-10