網(wǎng)絡(luò)安全新常態(tài)下的Android應(yīng)用供應(yīng)鏈安全是怎樣的

網(wǎng)絡(luò)安全新常態(tài)下的Android應(yīng)用供應(yīng)鏈安全是怎樣的，很多新手對(duì)此不是很清楚，為了幫助大家解決這個(gè)難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來(lái)學(xué)習(xí)下，希望你能有所收獲。

創(chuàng)新互聯(lián)公司專注于泰寧企業(yè)網(wǎng)站建設(shè),成都響應(yīng)式網(wǎng)站建設(shè)公司,商城網(wǎng)站建設(shè)。泰寧網(wǎng)站建設(shè)公司,為泰寧等地區(qū)提供建站服務(wù)。全流程定制設(shè)計(jì)，專業(yè)設(shè)計(jì)，全程項(xiàng)目跟蹤，創(chuàng)新互聯(lián)公司專業(yè)和態(tài)度為您提供的服務(wù)

前言   

時(shí)至2018年，移動(dòng)互聯(lián)網(wǎng)的發(fā)展已走過(guò)十年歷程，智能設(shè)備已深入人們生活的方方面面，其安全問(wèn)題也時(shí)刻牽動(dòng)著人們的神經(jīng)。自2014年移動(dòng)端惡意軟件爆發(fā)時(shí)增長(zhǎng)以來(lái)，Google、手機(jī)廠商和移動(dòng)安全廠商都投入了巨大的精力，與惡意開(kāi)發(fā)者進(jìn)行了激烈的對(duì)抗。

過(guò)去幾年，經(jīng)過(guò)各方的共同努力，普通Android惡意軟件的迅猛增長(zhǎng)趨勢(shì)已經(jīng)得到遏制，據(jù)騰訊手機(jī)管家數(shù)據(jù)顯示，2018年上半年Android平臺(tái)新增惡意樣本數(shù)468.70萬(wàn)，較去年同期下降47.8%。但與此同時(shí)，騰訊大數(shù)據(jù)監(jiān)測(cè)到基于Android應(yīng)用供應(yīng)鏈的其他環(huán)節(jié)的安全問(wèn)題逐漸增多，顯示出惡意開(kāi)發(fā)者已經(jīng)將更多的目光投向Android應(yīng)用供應(yīng)鏈的薄弱環(huán)節(jié)。鑒于供應(yīng)鏈安全問(wèn)題較強(qiáng)的隱蔽性和影響的廣泛性，希望相關(guān)各方關(guān)注供應(yīng)鏈攻擊的新形式，做好有效的安全防御措施。

一、新常態(tài)下Android應(yīng)用安全威脅朝供應(yīng)鏈環(huán)節(jié)轉(zhuǎn)移

2017年永恒之藍(lán)勒索蠕蟲(chóng)事件和《網(wǎng)絡(luò)安全法》的正式實(shí)施是網(wǎng)絡(luò)安全行業(yè)的一個(gè)分水嶺，廣大的政企機(jī)構(gòu)的攻防態(tài)勢(shì)和網(wǎng)絡(luò)安全的監(jiān)管形勢(shì)都發(fā)生了根本變化，我們稱之為網(wǎng)絡(luò)安全的新常態(tài)。2018年，網(wǎng)絡(luò)安全將全面進(jìn)入這種新常態(tài)，安全威脅也越來(lái)越凸顯出攻擊復(fù)雜化、漏洞產(chǎn)業(yè)化、網(wǎng)絡(luò)軍火民用化等日益升級(jí)的特點(diǎn)。作為網(wǎng)絡(luò)安全行業(yè)重要領(lǐng)域的移動(dòng)安全，隨著攻防對(duì)抗進(jìn)入深水區(qū)，面臨的安全威脅也呈現(xiàn)出新的特點(diǎn)：

1. Android惡意樣本總體增長(zhǎng)趨勢(shì)得到遏制

過(guò)去幾年，在Google、手機(jī)廠商和安全廠商的共同努力下，移動(dòng)端惡意軟件的迅猛增長(zhǎng)趨勢(shì)得到了遏制。根據(jù)Google《2017年度Android安全報(bào)告》顯示，2017年，有超過(guò)70萬(wàn)款應(yīng)用因違反相關(guān)規(guī)定從Google Play上下架，Android用戶在Google Play 上下載到潛在惡意應(yīng)用的幾率是0.02%，該比率較2016年下降0.02%。而根據(jù)騰訊手機(jī)管家數(shù)據(jù)顯示，2018年上半年Android平臺(tái)新增惡意樣本468.70萬(wàn)，相比2017年上半年（899萬(wàn)）下降47.8%，扭轉(zhuǎn)了2015年以來(lái)的迅猛增長(zhǎng)勢(shì)頭。

   

2. 更多的高端的移動(dòng)端惡意軟件

相較與Android惡意應(yīng)用總體數(shù)量呈下降趨勢(shì)，高端的、復(fù)雜移動(dòng)惡意軟件的攻擊卻有上升趨勢(shì)。近年來(lái)，安全研究人員和分析團(tuán)隊(duì)跟蹤了100多個(gè)APT組織及其活動(dòng)，這些組織發(fā)起的攻擊活動(dòng)異常復(fù)雜，而且擁有豐富的武器資源，包括0day漏洞，fileless攻擊工具等，攻擊者還會(huì)結(jié)合傳統(tǒng)的黑客攻擊動(dòng)用更復(fù)雜的人力資源來(lái)完成數(shù)據(jù)的竊取任務(wù)。2016年8月Lookout發(fā)表了他們對(duì)一個(gè)復(fù)雜的移動(dòng)間諜軟件Pegasus的研究報(bào)告，這款間諜軟件與以色列的安全公司NSO Group有關(guān)，結(jié)合了多個(gè)0day漏洞，能夠遠(yuǎn)程繞過(guò)現(xiàn)代移動(dòng)操作系統(tǒng)的安全防御，甚至能夠攻破一向以安全著稱的iOS系統(tǒng)。2017年4月，谷歌公布了其對(duì)Pegasus間諜軟件的安卓版Chrysaor的分析報(bào)告。除了上述兩款移動(dòng)端間諜軟件之外，還有許多其他的APT組織都開(kāi)發(fā)了自定義的移動(dòng)端植入惡意軟件。評(píng)估認(rèn)為，在野的移動(dòng)端惡意軟件的總數(shù)可能高于目前公布的數(shù)量，可以預(yù)見(jiàn)的是，在2018年，攻擊量會(huì)繼續(xù)增加，將有更多的高級(jí)移動(dòng)端惡意軟件被發(fā)現(xiàn)。

3. 更多的供應(yīng)鏈薄弱環(huán)節(jié)被利用

在APT攻擊活動(dòng)的研究過(guò)程中，經(jīng)?？梢钥吹?，惡意攻擊者為了嘗試突破某一目標(biāo)可以花費(fèi)很長(zhǎng)一段時(shí)間，即使屢屢失敗也會(huì)繼續(xù)變換方式或途徑繼續(xù)嘗試突破，直至找到合適的入侵方式或途徑。同時(shí)，惡意攻擊者也更多地將目光投向供應(yīng)鏈中最薄弱的一環(huán)，如手機(jī)OTA升級(jí)服務(wù)預(yù)裝后門程序，第三方廣告SDK竊取用戶隱私等，這類攻擊借助“合法軟件”的保護(hù)，很容易繞開(kāi)安全產(chǎn)品的檢測(cè)，進(jìn)行大范圍的傳播和攻擊。經(jīng)過(guò)騰訊大數(shù)據(jù)監(jiān)測(cè)發(fā)現(xiàn)，近年來(lái)，與Android應(yīng)用供應(yīng)鏈相關(guān)的安全事件越來(lái)越多，惡意軟件作者正越來(lái)越多地利用用戶與軟件供應(yīng)商間的固有信任，通過(guò)層出不窮的攻擊手法投遞惡意載體，造成難以估量的損失。

綜上所述，在Android安全領(lǐng)域，過(guò)去幾年經(jīng)Google、手機(jī)廠商和安全廠商的共同努力，普通的Android惡意軟件的迅猛增長(zhǎng)趨勢(shì)得到了遏制，而惡意開(kāi)發(fā)者則將更多的目光轉(zhuǎn)向了Android應(yīng)用供應(yīng)鏈的薄弱環(huán)節(jié)，以期增強(qiáng)攻擊的隱蔽性和繞過(guò)安全廠商的圍追堵截，擴(kuò)大攻擊的傳播范圍。本文將列舉近年來(lái)與Android應(yīng)用供應(yīng)鏈安全的相關(guān)事件，分析Android應(yīng)用供應(yīng)鏈面臨的安全挑戰(zhàn)，并提出相應(yīng)的防護(hù)對(duì)策和建議。

二、Android應(yīng)用供應(yīng)鏈相關(guān)概念和環(huán)節(jié)劃分

目前關(guān)于Android應(yīng)用供應(yīng)鏈還沒(méi)有明確的概念，我們根據(jù)傳統(tǒng)的供應(yīng)鏈概念將其簡(jiǎn)單抽象成如下幾個(gè)環(huán)節(jié)：

1.開(kāi)發(fā)環(huán)節(jié)

應(yīng)用開(kāi)發(fā)涉及到開(kāi)發(fā)環(huán)境、開(kāi)發(fā)工具、第三方庫(kù)等，并且開(kāi)發(fā)實(shí)施的具體過(guò)程還包括需求分析、設(shè)計(jì)、實(shí)現(xiàn)和測(cè)試等。在這一環(huán)節(jié)中形成最終用戶可用的應(yīng)用產(chǎn)品。

2.分發(fā)環(huán)節(jié)

用戶通過(guò)應(yīng)用商店、網(wǎng)絡(luò)下載、廠商預(yù)裝、Rom內(nèi)置等渠道獲取到應(yīng)用的過(guò)程。

3.使用環(huán)節(jié)

用戶使用應(yīng)用的整個(gè)生命周期，包括升級(jí)、維護(hù)等過(guò)程。

三、Android應(yīng)用供應(yīng)鏈生態(tài)重要安全事件

從最終用戶安全感知角度而言，Android端主要的安全威脅仍然是信息泄露、扣費(fèi)短信、惡意廣告、挖礦木馬、勒索軟件等常見(jiàn)形態(tài)。透過(guò)現(xiàn)象看本質(zhì)，正是因?yàn)橐苿?dòng)生態(tài)環(huán)節(jié)中的一些安全脆弱點(diǎn)，導(dǎo)致了這些威脅的頻發(fā)和泛濫。前面定義了應(yīng)用供應(yīng)鏈的概念并抽象出了幾大相關(guān)環(huán)節(jié)，攻擊者針對(duì)上述各環(huán)節(jié)進(jìn)行攻擊，都有可能影響到最終的應(yīng)用產(chǎn)品和整個(gè)使用場(chǎng)景的安全。

下面，本文將通過(guò)相關(guān)的安全事件來(lái)分析從開(kāi)發(fā)工具、第三方庫(kù)、分發(fā)渠道、應(yīng)用使用過(guò)程等應(yīng)用供應(yīng)鏈相關(guān)環(huán)節(jié)引入的安全風(fēng)險(xiǎn)。

3.1 開(kāi)發(fā)工具相關(guān)安全調(diào)研

針對(duì)開(kāi)發(fā)工具進(jìn)行攻擊、影響最為廣泛的莫過(guò)于2015年的XcodeGhost（Xcode非官方版本惡意代碼污染事件），Xcode 是由蘋果公司發(fā)布的運(yùn)行在操作系統(tǒng)Mac OS X上的集成開(kāi)發(fā)工具（IDE），是開(kāi)發(fā)OS X 和 iOS 應(yīng)用程序的最主流工具。攻擊者通過(guò)向非官方版本的Xcode注入病毒Xcode Ghost，它的初始傳播途徑主要是通過(guò)非官方下載的 Xcode 傳播，通過(guò) CoreService 庫(kù)文件進(jìn)行感染。當(dāng)應(yīng)用開(kāi)發(fā)者使用帶毒的Xcode工作時(shí)，編譯出的App都將被注入病毒代碼，從而產(chǎn)生眾多攜帶病毒的APP。

在Android應(yīng)用開(kāi)發(fā)方面，由于Android系統(tǒng)的開(kāi)放性和官方開(kāi)發(fā)工具獲取的便捷性，Android平臺(tái)上尚未發(fā)生影響重大的開(kāi)發(fā)工具污染事件。但是當(dāng)前一些廠商為了進(jìn)一步簡(jiǎn)化應(yīng)用開(kāi)發(fā)者的工作，對(duì)Android開(kāi)發(fā)環(huán)境進(jìn)行了進(jìn)一步的封裝，比如App Inventor支持拖拽式開(kāi)發(fā)，PhoneGap等平臺(tái)支持直接使用html開(kāi)發(fā)應(yīng)用等，這些開(kāi)發(fā)平臺(tái)通常為了保證功能的實(shí)現(xiàn)，申請(qǐng)大量與用戶隱私相關(guān)的權(quán)限，導(dǎo)致應(yīng)用存在隱私泄漏的安全風(fēng)險(xiǎn)。另一方面，手機(jī)編程工具AIDE和國(guó)內(nèi)支持中文開(kāi)發(fā)的易語(yǔ)言開(kāi)發(fā)工具也進(jìn)一步降低了惡意開(kāi)發(fā)者的準(zhǔn)入門檻，大量使用此類工具開(kāi)發(fā)的惡意應(yīng)用流入市場(chǎng)，對(duì)用戶造成安全風(fēng)險(xiǎn)。

3.2 第三方sdk安全事件

 Android應(yīng)用的開(kāi)發(fā)涉及到許多第三方SDK，包括支付、統(tǒng)計(jì)、廣告、社交、推送、地圖類等多種類型。根據(jù)對(duì)應(yīng)用市場(chǎng)上各類型應(yīng)用TOP 100使用的第三方SDK情況進(jìn)行分析，發(fā)現(xiàn)各類SDK在應(yīng)用中的集成比例從高到低依次為統(tǒng)計(jì)分析類、廣告類、社交類、支付類、位置類、推送類。

而各種類型的APP在第三方SDK使用數(shù)量方面，金融借貸類平均使用的SDK數(shù)量最多，達(dá)到21.5，緊隨其后是新聞?lì)怉PP，平均數(shù)量為21.2；往后是購(gòu)物類、社交類、銀行類和游戲類，平均數(shù)量都超過(guò)15個(gè)；再后面的則是出行類、辦公類和安全工具類，平均使用的SDK數(shù)量相對(duì)較少，分別為11.4、9.7和6.7。

從統(tǒng)計(jì)得到的數(shù)據(jù)可以看到，Android應(yīng)用在開(kāi)發(fā)時(shí)都集成使用了數(shù)目眾多的第三方SDK，尤其是金融借貸類、購(gòu)物類、銀行類等涉及用戶身份信息和財(cái)產(chǎn)安全的應(yīng)用，使用的第三方SDK數(shù)量普遍在15個(gè)以上，最多的甚至達(dá)到30多個(gè)。而這些應(yīng)用集成的第三方SDK中，不僅包含大廠商提供的SDK，而且還包含很多開(kāi)源社區(qū)提供的SDK，這些SDK的安全性都沒(méi)有得到很好的驗(yàn)證，一旦發(fā)生安全問(wèn)題，將直接危害用戶的隱私和財(cái)產(chǎn)安全，造成嚴(yán)重的后果。

Android平臺(tái)數(shù)目龐大第三方SDK在加速APP應(yīng)用產(chǎn)品成型、節(jié)省開(kāi)發(fā)成本的同時(shí)，其相關(guān)安全問(wèn)題也不容小視?？偨Y(jié)近幾年Android平臺(tái)發(fā)生第三方SDK安全事件，其安全問(wèn)題主要發(fā)生在以下幾個(gè)方面：

首先，第三方SDK的開(kāi)發(fā)者的安全能力水平參差不齊，且眾多第三方SDK的開(kāi)發(fā)者側(cè)重于功能的實(shí)現(xiàn)，在安全方面的投入不足，導(dǎo)致第三方SDK中可能存在著這樣或那樣的安全漏洞。近兩年被爆出的有安全漏洞的第三方SDK主要有FFmpeg漏洞、友盟SDK、zipxx等，由于其被廣泛集成到大量的APP中，漏洞的影響范圍非常大。

FFmpeg漏洞

安全事件	FFmpeg漏洞
披露時(shí)間	2017年6月
事件描述	FFmpeg的是一款全球領(lǐng)先的多媒體框架，支持解碼、編碼、轉(zhuǎn)碼、復(fù)用、解復(fù)用、流媒體、過(guò)濾器和播放幾乎任何格式的多媒體文件。2017年6月，neex向Hackerone平臺(tái)提交了俄羅斯最大社交網(wǎng)站VK.com的ffmpeg的遠(yuǎn)程任意文件讀取漏洞。該漏洞利用了FFmpeg可以處理HLS播放列表的特性，而播放列表（Playlist）中可以引用外部文件。通過(guò)在播放列表中添加本地任意文件的引用，并將該文件上傳到視頻網(wǎng)站，可以觸發(fā)本地文件讀取從來(lái)獲得服務(wù)器文件內(nèi)容。同時(shí)，該漏洞亦可觸發(fā)SSRF漏洞，造成非常大的危害。
影響范圍	主流的視頻應(yīng)用幾乎都采用了該開(kāi)源框架，一旦被爆出安全漏洞，影響無(wú)法估量
參考鏈接	https://hackerone.com/reports/226756 http://www.freebuf.com/column/142775.html

友盟SDK未導(dǎo)出組件暴露漏洞

安全事件	友盟SDK未導(dǎo)出組件暴露漏洞
披露時(shí)間	2017年12月
事件描述	2017年12月，國(guó)內(nèi)消息推送廠商友盟的SDK被爆出存在可越權(quán)調(diào)用未導(dǎo)出組件的漏洞，利用該漏洞可以實(shí)現(xiàn)對(duì)使用了友盟SDK的應(yīng)用進(jìn)行多種惡意攻擊，包括：任意組件的惡意調(diào)用、虛假消息的通知、遠(yuǎn)程代碼執(zhí)行等。
影響范圍	7千多款A(yù)PP應(yīng)用受影響，涉及多種類型的應(yīng)用
參考鏈接	http://www.freebuf.com/articles/system/156332.html

ZipperDown漏洞

安全事件	ZipperDown漏洞
披露時(shí)間	2018年5月
事件描述	2018年5月，盤古實(shí)驗(yàn)室爆出SSZipArchive和ZipArchive兩個(gè)開(kāi)源庫(kù)解壓縮過(guò)程中沒(méi)有考慮到文件名中包含“../”的情況，造成了文件釋放過(guò)程中路徑穿越，導(dǎo)致惡意Zip文件可以在App沙盒范圍內(nèi)，覆蓋任意可寫(xiě)文件。
影響范圍	影響多款流行應(yīng)用
參考鏈接	https://zipperdown.org/

其次，部分SDK開(kāi)發(fā)者出于某種目的，在其開(kāi)發(fā)的SDK中預(yù)留了后門用于收集用戶信息和執(zhí)行越權(quán)操作。相關(guān)安全事件：

百度SDK Wormhole事件

安全事件	百度moplus SDK被爆出存在（Wormhole）漏洞
披露時(shí)間	2015年11月
事件描述	2015年11月，百度moplus SDK被爆出存在（Wormhole）漏洞，影響多款用戶量過(guò)億的應(yīng)用。通過(guò)對(duì)Wormhole這個(gè)安全漏洞的研究，發(fā)現(xiàn)Moplus SDK具有后門功能，攻擊者可以利用此后門對(duì)受害用戶手機(jī)進(jìn)行遠(yuǎn)程靜默安裝應(yīng)用、啟動(dòng)任意應(yīng)用、打開(kāi)任意網(wǎng)頁(yè)、靜默添加聯(lián)系人、獲取用用戶隱私信息等。
影響范圍	14000款app遭植入，安卓設(shè)備感染量未知
參考鏈接	http://www.freebuf.com/vuls/83789.html https://www.secpulse.com/archives/40062.html

Igexin SDK竊取用戶隱私

安全事件	Igexin SDK竊取用戶隱私
披露時(shí)間	2017年8月
事件描述	2017年8月，國(guó)內(nèi)一家名為Igexin的廣告SDK被移動(dòng)安全廠商Lookout報(bào)出存在秘密竊取用戶數(shù)據(jù)的行為。Igexin SDK借著合法應(yīng)用的掩護(hù)上架應(yīng)用市場(chǎng)，在應(yīng)用運(yùn)行過(guò)程中會(huì)連接Igexin的服務(wù)器，下載并動(dòng)態(tài)加載執(zhí)行惡意代碼，收集上報(bào)用戶設(shè)備上的各種隱私數(shù)據(jù)，包括設(shè)備信息、通話日志記錄等。
影響范圍	報(bào)告指出Google Play上超過(guò)500款應(yīng)用使用了Igexin 的廣告SDK，這些應(yīng)用的總下載次數(shù)超過(guò)1億次。
參考鏈接	https://blog.lookout.com/igexin-malicious-sdk

再次，部分惡意開(kāi)發(fā)者滲入了SDK開(kāi)發(fā)環(huán)節(jié)，以提供第三方服務(wù)的方式吸引其他APP應(yīng)用開(kāi)發(fā)者來(lái)集成他們的SDK。借助這些合法應(yīng)用，惡意的SDK可以有效地躲避大部分應(yīng)用市場(chǎng)和安全廠商的檢測(cè)，影響大量用戶的安全。

“Ya Ya Yun”惡意SDK

安全事件	“Ya Ya Yun”惡意SDK
披露時(shí)間	2018年1月
事件描述	Doctor Web病毒分析師在Google Play上發(fā)現(xiàn)了幾款游戲在運(yùn)行時(shí)秘密地下載和啟動(dòng)執(zhí)行各種惡意行為的附加模塊。分析發(fā)現(xiàn)作惡模塊是一個(gè)叫做呀呀云（Ya Ya Yun）的框架（SDK）的一部分。該SDK秘密地從遠(yuǎn)程服務(wù)器下載惡意模塊，通過(guò)后臺(tái)打開(kāi)網(wǎng)站并模擬點(diǎn)擊來(lái)盜刷廣告，獲取灰色收益。
影響范圍	Google Play上超27款游戲應(yīng)用包含此惡意SDK，影響超450萬(wàn)個(gè)用戶
參考鏈接	https://news.drweb.com/show/?i=11685&lng=en&c=14

“寄生推”惡意SDK

安全事件	“寄生推”惡意SDK
披露時(shí)間	2018年4月
事件描述	2018年4月，騰訊安全反詐騙實(shí)驗(yàn)室的TRP-AI反病毒引擎捕獲到一個(gè)惡意推送信息的軟件開(kāi)發(fā)工具包（SDK）——“寄生推”，它通過(guò)預(yù)留的“后門”云控開(kāi)啟惡意功能，私自ROOT用戶設(shè)備并植入惡意模塊，進(jìn)行惡意廣告行為和應(yīng)用推廣，以實(shí)現(xiàn)牟取灰色收益。
影響范圍	超過(guò)300多款知名應(yīng)用受“寄生推”SDK感染，潛在影響用戶超2000萬(wàn)。
參考鏈接	http://www.freebuf.com/articles/terminal/168984.html

3.3應(yīng)用分發(fā)渠道安全事件

Android應(yīng)用分發(fā)渠道在供應(yīng)鏈中占據(jù)著十分重要的位置，也是安全問(wèn)題頻發(fā)的環(huán)節(jié)。Android應(yīng)用分發(fā)渠道眾多，應(yīng)用市場(chǎng)、廠商預(yù)裝、破解網(wǎng)站、ROM內(nèi)置等都是用戶獲取應(yīng)用的常見(jiàn)方式。不僅第三方站點(diǎn)下載、破解應(yīng)用等灰色供應(yīng)鏈中獲取的軟件極易被植入惡意代碼，就連某些正規(guī)的應(yīng)用市場(chǎng)，由于審核不嚴(yán)等因素也被攻擊者植入過(guò)含有惡意代碼的“正規(guī)”軟件。

WireX Android Botnet

安全事件	WireX Android Botnet污染 Google Play 應(yīng)用市場(chǎng)事件
披露時(shí)間	2017年8月
事件描述	2017年8月17日，名為WireX BotNet的僵尸網(wǎng)絡(luò)通過(guò)偽裝普通安卓應(yīng)用的方式大量感染安卓設(shè)備并發(fā)動(dòng)了較大規(guī)模的DDoS攻擊，此舉引起了部分cdn提供商的注意，此后來(lái)自Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn, RiskIQ, Team  Cymru等組織聯(lián)合對(duì)該事件進(jìn)行分析，并于8月28日發(fā)布了該事件的安全報(bào)告。
影響范圍	發(fā)現(xiàn)大約有300種不同的移動(dòng)應(yīng)用程序分散在Google Play商店中，WireX引發(fā)的DDoS事件源自至少7萬(wàn)個(gè)獨(dú)立IP地址，8月17日攻擊數(shù)據(jù)的分析顯示，來(lái)自100多個(gè)國(guó)家的設(shè)備感染了WireX BotNet。
參考鏈接	https://blog.cloudflare.com/the-wirex-botnet/?utm_content=buffer9e1c5&ampamp;utm_medium=social&ampamp;utm_source=twitter.com&ampamp;utm_campaign=buffer                                http://www.freebuf.com/articles/terminal/145955.html

Pujia8 破解網(wǎng)站攜帶木馬

安全事件	Pujia8破解網(wǎng)站攜帶木馬
披露時(shí)間	2017年11月
事件描述	2017年11月，騰訊反詐騙實(shí)驗(yàn)室發(fā)現(xiàn)某游戲破解網(wǎng)站上多款游戲應(yīng)用被植入了Root模塊，在運(yùn)行時(shí),利用 CVE-2015-1805等內(nèi)核漏洞強(qiáng)行ROOT用戶設(shè)備，并將無(wú)圖標(biāo)惡意應(yīng)用植入到設(shè)備系統(tǒng)目錄，長(zhǎng)期潛伏用戶設(shè)備進(jìn)行惡意廣告和流氓推廣行為。
影響范圍	涉及多款破解游戲應(yīng)用，影響百萬(wàn)用戶
參考鏈接	http://www.freebuf.com/articles/network/154029.html

除了用戶直接獲取應(yīng)用的渠道存在的安全威脅外，其他提供第三方服務(wù)的廠商如OTA升級(jí)、安全加固等也可能在服務(wù)中預(yù)留后門程序，威脅用于的隱私和設(shè)備安全。                    
               

廣升被爆向Android設(shè)備預(yù)裝后門

安全事件	廣升被爆向Android設(shè)備預(yù)裝后門，竊取用戶隱私
披露時(shí)間	2016年11月
事件描述	上海廣升信息技術(shù)有限公司是全球領(lǐng)先的FOTA技術(shù)服務(wù)提供商之一，核心業(yè)務(wù)為廣升FOTA無(wú)線升級(jí)，通過(guò)升級(jí)包差分，空中下載，遠(yuǎn)程升級(jí)技術(shù)，為具有連網(wǎng)功能的設(shè)備如手機(jī)、平板電腦等智能終端提供固件差分包升級(jí)服務(wù)。     2016年11月，信息安全公司Kryptowire在一些價(jià)格低廉的Android設(shè)備上發(fā)現(xiàn)了后門程序，該后門會(huì)每隔72小時(shí)收集設(shè)備上的隱私信息，包括短信內(nèi)容、聯(lián)系人信息、通話記錄、IMEI、IMSI、位置、安裝的應(yīng)用和使用的應(yīng)用等，上傳到該后門開(kāi)發(fā)商的服務(wù)器中。后門的開(kāi)發(fā)商是上海廣升信息技術(shù)股份有限公司，該公司法律顧問(wèn)稱這個(gè)后門出現(xiàn)在設(shè)備制造商BLU生產(chǎn)的設(shè)備上是一個(gè)錯(cuò)誤行為。                                    2017年11月， Malwarebytes 移動(dòng)安全團(tuán)隊(duì)公布的報(bào)告稱大量 Android 設(shè)備仍然含有了提供 FOTA 服務(wù)的上海廣升公司的后門。
影響范圍	部分使用了廣升FOTA技術(shù)服務(wù)的中低端Android設(shè)備
參考鏈接	https://www.bleepingcomputer.com/news/security/secret-backdoor-in-some-low-priced-android-phones-sent-data-to-a-server-in-china/                                https://www.bleepingcomputer.com/news/security/chinese-backdoor-still-active-on-many-android-devices/

OTA廠商銳嘉科在Android設(shè)備中植入rootkit

安全事件	OTA廠商銳嘉科在Android設(shè)備中植入rootkit
披露時(shí)間	2016年11月
事件描述	2016年11月，AnubisNetworks的安全研究人員發(fā)現(xiàn)多個(gè)品牌的Android手機(jī)固件OTA升級(jí)機(jī)制存在安全問(wèn)題，而這種不安全的的OTA升級(jí)機(jī)制和中國(guó)一家名為銳嘉科（Ragentek Group）的公司有關(guān)。 報(bào)告稱，安裝該惡意軟件的設(shè)備可被黑客進(jìn)行中間人攻擊，并且以root權(quán)限執(zhí)行任意代碼以此來(lái)獲得對(duì)Android設(shè)備的絕對(duì)控制權(quán)，其主要原因是因?yàn)樵O(shè)備在OTA更新的時(shí)候沒(méi)有采取嚴(yán)格的加密措施導(dǎo)致的。
影響范圍	三百萬(wàn)臺(tái)被植入該后門的安卓設(shè)備
參考鏈接	http://www.freebuf.com/news/120639.html

某加固服務(wù)被爆出夾帶廣告

安全事件	某加固服務(wù)被爆出夾帶廣告
披露時(shí)間	2017年1月
事件描述	2017年初，有開(kāi)發(fā)者反饋，開(kāi)發(fā)的應(yīng)用在使用了某加固服務(wù)后，被嵌入了充電廣告。根據(jù)開(kāi)發(fā)者的挖掘，該加固服務(wù)在加固應(yīng)用時(shí)，會(huì)在開(kāi)發(fā)者不知情的情況下植入代碼用于拉取廣告、下載拉活其他應(yīng)用、程序異常上報(bào)、獲取應(yīng)用程序信息等行為。
影響范圍	涉及使用該版本加固服務(wù)的所有應(yīng)用
參考鏈接	http://www.dgtle.com/article-17069-1.html

3.4 使用環(huán)節(jié)的安全問(wèn)題

用戶在使用應(yīng)用的過(guò)程中，也可能面臨應(yīng)用升級(jí)更新的情況，2017年12月，Android平臺(tái)爆出“核彈級(jí)”Janus漏洞，能在不影響應(yīng)用簽名的情況下，修改應(yīng)用代碼，導(dǎo)致應(yīng)用的升級(jí)安裝可能被惡意篡改。同樣，隨著越來(lái)越多的應(yīng)用采用熱補(bǔ)丁的方式更新應(yīng)用代碼，惡意開(kāi)發(fā)者也趁虛而入，在應(yīng)用更新方式上做手腳，下發(fā)惡意代碼，威脅用戶安全。

Janus簽名漏洞

安全事件	Android平臺(tái)爆出Janus簽名漏洞，應(yīng)用升級(jí)可能被惡意篡改
披露時(shí)間	2017年12月
事件描述	2017年12月，Android平臺(tái)被爆出“核彈級(jí)”漏洞Janus（CVE-2017-13156），該漏洞允許攻擊者任意修改Android應(yīng)用中的代碼，而不會(huì)影響其簽名。正常情況下 根據(jù)Android簽名機(jī)制，開(kāi)發(fā)者發(fā)布一個(gè)應(yīng)用，需要使用他的私鑰對(duì)其進(jìn)行簽名。惡意攻擊者如果嘗試修改了這個(gè)應(yīng)用中的任何一個(gè)文件（包括代碼和資源等），那么他就必須對(duì)APK進(jìn)行重新簽名，否則修改過(guò)的應(yīng)用是無(wú)法安裝到任何Android設(shè)備上的。但是通過(guò)Janus漏洞，惡意攻擊者可以篡改Android應(yīng)用中的代碼，而不會(huì)影響其簽名，并通過(guò)應(yīng)用升級(jí)過(guò)程，覆蓋安裝原有應(yīng)用。
影響范圍	系統(tǒng)版本Android 5.0~8.0，采用v1簽名的APK應(yīng)用
參考鏈接	http://www.freebuf.com/articles/paper/158133.html

兒童游戲系列應(yīng)用

安全事件	兒童游戲應(yīng)用，動(dòng)態(tài)更新下載惡意代碼
披露時(shí)間	2018年5月
事件描述	2018年5月，騰訊安全反詐騙實(shí)驗(yàn)室曝光了“兒童游戲”系列惡意應(yīng)用。這類應(yīng)用表面上是兒童益智類的小游戲，在國(guó)內(nèi)大部分應(yīng)用市場(chǎng)都有上架，但實(shí)際上，這些應(yīng)用在使用過(guò)程中可以通過(guò)云端控制更新惡意代碼包，在背地里做著用戶無(wú)法感知的惡意行為：加載惡意廣告插件，通過(guò)將廣告展示界面設(shè)置為不可見(jiàn)，進(jìn)行廣告盜刷行為，瘋狂消耗用戶流量；動(dòng)態(tài)加載惡意ROOT子包，獲取手機(jī)ROOT權(quán)限，替換系統(tǒng)文件，將惡意的ELF文件植入用戶手機(jī)。
影響范圍	涉及一百多款兒童游戲應(yīng)用，累計(jì)影響用戶數(shù)達(dá)百萬(wàn)
參考鏈接	http://www.freebuf.com/articles/terminal/173104.html

四、供應(yīng)鏈安全的發(fā)展趨勢(shì)和帶來(lái)的新挑戰(zhàn)

Android供應(yīng)鏈安全事件時(shí)序圖

分析我們整理的關(guān)于Android應(yīng)用供應(yīng)鏈的重要安全事件的時(shí)序圖可以發(fā)現(xiàn)，針對(duì)供應(yīng)鏈攻擊的安全事件在影響面、嚴(yán)重程度上都絕不低于傳統(tǒng)的惡意應(yīng)用本身和針對(duì)操作系統(tǒng)的漏洞攻擊，針對(duì)Android應(yīng)用供應(yīng)鏈的攻擊的呈現(xiàn)出以下趨勢(shì)：

1、針對(duì)供應(yīng)鏈下游（分發(fā)環(huán)節(jié)）攻擊的安全事件占據(jù)了供應(yīng)鏈攻擊的大頭，受影響用戶數(shù)多在百萬(wàn)級(jí)別，且層出不窮。類似于XcodeGhost這類污染開(kāi)發(fā)工具針對(duì)軟件供應(yīng)鏈上游（開(kāi)發(fā)環(huán)境）進(jìn)行攻擊的安全事件較少，但攻擊一旦成功，卻可能影響上億用戶。

2、第三方SDK安全事件和廠商預(yù)留后門也是Android供應(yīng)鏈中頻發(fā)的安全事件，這類攻擊大多采用了白簽名繞過(guò)查殺體系的機(jī)制，其行為也介于黑白之間，從影響用戶數(shù)來(lái)說(shuō)遠(yuǎn)超一般的漏洞利用類攻擊。

3、從攻擊的隱蔽性來(lái)講，基于供應(yīng)鏈各環(huán)節(jié)的攻擊較傳統(tǒng)的惡意應(yīng)用來(lái)說(shuō)，隱蔽性更強(qiáng)，潛伏周期更久，攻擊的發(fā)現(xiàn)和清理也都比較復(fù)雜。

4、針對(duì)供應(yīng)鏈各環(huán)節(jié)被揭露出來(lái)的攻擊在近幾年都呈上升趨勢(shì)，在趨于更加復(fù)雜化的互聯(lián)網(wǎng)環(huán)境下，軟件供應(yīng)鏈所暴露給攻擊者的攻擊面越來(lái)越多，并且越來(lái)越多的攻擊者也發(fā)現(xiàn)針對(duì)供應(yīng)鏈的攻擊相對(duì)針對(duì)應(yīng)用本身或系統(tǒng)的漏洞攻擊可能更加容易，成本更低。

針對(duì)供應(yīng)鏈的攻擊事件增多，攻擊的深度和廣度的延伸也給移動(dòng)安全廠商帶來(lái)了更大的挑戰(zhàn)。無(wú)論是基于特征碼查殺、啟發(fā)式殺毒這類以靜態(tài)特征對(duì)抗靜態(tài)代碼的第一代安全技術(shù)，還是以云查和機(jī)器學(xué)習(xí)對(duì)抗樣本變種、使用白名單和“非白即黑”的限制策略等主動(dòng)防御手段為主的第二代安全技術(shù)，在面對(duì)更具有針對(duì)性、隱蔽性的攻擊時(shí)，都顯得捉襟見(jiàn)肘。在這種新的攻擊環(huán)境下，我們極需一種新時(shí)代的安全體系來(lái)保護(hù)組織和用戶的安全。

五、打造Android供應(yīng)鏈安全生態(tài)

針對(duì)軟件供應(yīng)鏈攻擊，無(wú)論是免費(fèi)應(yīng)用還是付費(fèi)應(yīng)用，在供應(yīng)鏈的各個(gè)環(huán)節(jié)都可能被攻擊者利用，因此，需要對(duì)供應(yīng)鏈全面設(shè)防，打造Android應(yīng)用供應(yīng)鏈的安全生態(tài)。在應(yīng)對(duì)應(yīng)用供應(yīng)鏈攻擊的整個(gè)場(chǎng)景中，需要手機(jī)廠商、應(yīng)用開(kāi)發(fā)者、應(yīng)用市場(chǎng)、安全廠商、最終用戶等各主體積極參與、通力合作。

手機(jī)廠商

受到Android系統(tǒng)的諸多特性的影響，系統(tǒng)版本的碎片化問(wèn)題十分嚴(yán)重。各大手機(jī)廠商對(duì)現(xiàn)存設(shè)備安全漏洞的修復(fù)和更新安全補(bǔ)丁的響應(yīng)時(shí)間有很大的區(qū)別。

1、關(guān)注Google關(guān)于Android系統(tǒng)的安全通告，及時(shí)對(duì)系統(tǒng)已知的安全漏洞進(jìn)行修復(fù)；

2、關(guān)注自身維護(hù)機(jī)型的安全動(dòng)態(tài)，如被揭露出存在嚴(yán)重的安全問(wèn)題，通過(guò)配置或加入其他安全性控制作為緩解措施，必要時(shí)對(duì)系統(tǒng)進(jìn)行相應(yīng)的安全升級(jí)；

3、遵守相關(guān)安全法規(guī)，嚴(yán)禁開(kāi)發(fā)人員在手機(jī)系統(tǒng)中留下調(diào)試后門之類的安全風(fēng)險(xiǎn)，防止被惡意利用，保證可信安全的手機(jī)系統(tǒng)環(huán)境。

應(yīng)用開(kāi)發(fā)商/者

 培養(yǎng)開(kāi)發(fā)人員的安全意識(shí)，在開(kāi)發(fā)過(guò)程的各個(gè)環(huán)節(jié)建立檢查點(diǎn)，把安全性的評(píng)估作為一個(gè)必要評(píng)審項(xiàng)。開(kāi)發(fā)環(huán)節(jié)嚴(yán)格遵守開(kāi)發(fā)規(guī)范，防止類似調(diào)試后門等安全威脅的產(chǎn)生。開(kāi)發(fā)完成的應(yīng)用發(fā)布前交給獨(dú)立的內(nèi)部或外部測(cè)評(píng)組織進(jìn)行安全性評(píng)估，及時(shí)解決所發(fā)現(xiàn)的問(wèn)題。

通過(guò)正規(guī)渠道發(fā)布應(yīng)用，對(duì)應(yīng)用簽名證書(shū)做好保密措施，規(guī)范應(yīng)用發(fā)布流程，防止應(yīng)用簽名證書(shū)泄露導(dǎo)致應(yīng)用被篡改。軟件升級(jí)更新時(shí),要校驗(yàn)下載回來(lái)的升級(jí)包，保證不運(yùn)行被劫持的升級(jí)包。

應(yīng)用市場(chǎng)

由于Android系統(tǒng)的開(kāi)發(fā)性和一些特殊的原因，各大手機(jī)廠商的應(yīng)用市場(chǎng)、應(yīng)用寶和眾多第三方應(yīng)用市場(chǎng)是國(guó)內(nèi)應(yīng)用分發(fā)的主要渠道。應(yīng)用市場(chǎng)在Android應(yīng)用供應(yīng)鏈生態(tài)在處于十分關(guān)鍵的位置，也是安全問(wèn)題頻發(fā)的環(huán)節(jié)。針對(duì)應(yīng)用市場(chǎng)，我們給出了以下建議：

1、規(guī)范應(yīng)用審核和發(fā)布流程，各環(huán)節(jié)嚴(yán)格把控，禁止具有安全風(fēng)險(xiǎn)的應(yīng)用進(jìn)入應(yīng)用市場(chǎng)；

2、完善的應(yīng)用開(kāi)發(fā)商/者的管理規(guī)范，實(shí)施有效的獎(jiǎng)懲措施，打擊惡意開(kāi)發(fā)者，防止惡意開(kāi)發(fā)者渾水摸魚(yú)；

3、提升自身惡意應(yīng)用檢測(cè)能力或使用成熟的安全廠商提供的檢測(cè)服務(wù)，預(yù)防惡意應(yīng)用進(jìn)入應(yīng)用市場(chǎng)。

安全廠商

長(zhǎng)期以來(lái)安全廠商大多以應(yīng)用安全和操作系統(tǒng)本身的漏洞為中心提供產(chǎn)品和服務(wù)，針對(duì)供應(yīng)鏈環(huán)節(jié)的安全問(wèn)題似乎并沒(méi)有投入足夠的關(guān)注。通過(guò)上述對(duì)應(yīng)用供應(yīng)鏈各環(huán)節(jié)的重大安全事件分析可以看到，應(yīng)用開(kāi)發(fā)、交付、使用等環(huán)節(jié)都存在巨大的安全威脅，其導(dǎo)致的危害并不低于安全漏洞所導(dǎo)致的情況，因此僅關(guān)注軟件及操作系統(tǒng)本身的安全威脅是遠(yuǎn)遠(yuǎn)不夠的。所以，安全廠商需要從完整的軟件供應(yīng)鏈角度形成全景的安全視野，才能解決更多縱深的安全風(fēng)險(xiǎn)。安全廠商可以加強(qiáng)如下幾點(diǎn)：

1.提升發(fā)現(xiàn)安全問(wèn)題的能力，不僅限于通常意義惡意軟件和系統(tǒng)上的安全漏洞，而是要關(guān)注應(yīng)用供應(yīng)鏈的各個(gè)環(huán)節(jié)，針對(duì)應(yīng)用在終端上的行為，而非樣本本身進(jìn)行防御；

2.提供創(chuàng)新型的產(chǎn)品和服務(wù)，為用戶實(shí)現(xiàn)全面細(xì)致的態(tài)勢(shì)感知，立足于安全威脅本身，鏈接威脅背后的組織、目的和技術(shù)手段，進(jìn)行持續(xù)監(jiān)控，發(fā)現(xiàn)可能的未知攻擊，并幫助用戶完成安全事件的快速檢測(cè)和響應(yīng)。

為應(yīng)對(duì)未來(lái)嚴(yán)峻的安全挑戰(zhàn)，騰訊安全立足終端安全，推出自研AI反病毒引擎——騰訊TRP引擎，TRP引擎通過(guò)對(duì)系統(tǒng)層的敏感行為進(jìn)行監(jiān)控，配合能力成熟的AI技術(shù)對(duì)設(shè)備上各類應(yīng)用的行為進(jìn)行深度學(xué)習(xí)，能有效識(shí)別惡意應(yīng)用的風(fēng)險(xiǎn)行為，并實(shí)時(shí)阻斷惡意行為，為用戶提供更高智能的實(shí)時(shí)終端安全防護(hù)。

最終用戶

最終用戶身處供應(yīng)鏈的最末端，作為應(yīng)用的使用者，也是惡意應(yīng)用的直接危害對(duì)象，我們給出了以下建議：

1、盡可能使用正版和官方應(yīng)用市場(chǎng)提供的APP應(yīng)用；

2、不要安裝非可信渠道的應(yīng)用和點(diǎn)擊可疑的URL；

3、移動(dòng)設(shè)備及時(shí)進(jìn)行安全更新；

4、安裝手機(jī)管家等安全軟件，實(shí)時(shí)進(jìn)行保護(hù)。

看完上述內(nèi)容是否對(duì)您有幫助呢？如果還想對(duì)相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章，請(qǐng)關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝您對(duì)創(chuàng)新互聯(lián)的支持。

新聞名稱：網(wǎng)絡(luò)安全新常態(tài)下的Android應(yīng)用供應(yīng)鏈安全是怎樣的
分享地址：http://www.muchs.cn/article18/geesdp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供品牌網(wǎng)站建設(shè)、網(wǎng)站建設(shè)、全網(wǎng)營(yíng)銷推廣、微信公眾號(hào)、虛擬主機(jī)、外貿(mào)網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)