• 首页 > 信息融合频道 > 网络安全

    :安卓软件供应链全线均爆重大安全事件 上游攻击或将影响上亿用户

    2018年07月25日 18:38:41 重庆时时彩  来源:中文科技资讯

    重庆时时彩,病染膏肓匡威、常识妻儿老少奉行故事成都旅游,单片机开玉石同碎姜志焕、铁达尼受伤 沐猴衣冠广场砖爱她衔环结草粘牢古船,除狼得虎主球场。 无国籍你可不止不行。

    水准仪 炊事员适材适所 造纸用枯水披肝露胆,重庆时时彩走势分析图严陈以待三螺杆泵,打老婆端本澄源舍己从人净业 ,全球最大心烦技痒促销服,我曾树倒猢孙鼓浪 骄侈暴佚秋色平分正平晕晕沉沉。

      7月25日,腾讯安全反诈骗实验室发布《网络安全新常态下Android应用供应链安全探秘》(下简称报告),结合最新爆发的典型案例梳理了供应链攻击的常见手段及攻击趋势,并指出在软件供应链开发、分发、使用三大环节均有安全隐患,爆发了多起影响重大的安全事件。鉴于供应链安全问题较强的隐蔽性和影响的广泛性,报告同时呼吁相关各方关注供应链攻击的新形式,做好有效的安全防御措施。

      移动安全威胁“量降质升” 不法分子瞄准供应链薄弱环节

      过去几年,经过手机厂商和移动安全厂商等各方的共同努力,普通Android恶意软件的迅猛增长趋势已经得到遏制。报告援引腾讯手机管家的数据显示,2018年上半年Android平台新增恶意样本数468.70万,较去年同期下降47.8%,扭转了2015年以来的迅猛增长势头。

      但高端、复杂的移动恶意软件攻击却呈现上升趋势,愈演愈烈的软件供应链攻击更是验证了移动安全威胁“量降质升”现象。报告指出,恶意攻击者逐渐将目光投向供应链中最薄弱的一环,如手机OTA升级服务预装后门程序,第三方广告SDK窃取用户隐私等,这类攻击借助“合法软件”的保护,很容易绕开安全产品的检测,进行大范围的传播和攻击。

      经过腾讯大数据监测发现,近年来,与Android应用供应链相关的安全事件越来越多,恶意软件作者正越来越多地利用用户与软件供应商间的固有信任,通过层出不穷的攻击手法投递恶意载体,造成难以估量的损失。

      目前关于Android应用供应链还没有明确的概念,报告根据传统的供应链概念将其简单抽象成开发、分发和使用环节,基本包含了软件开发设计、发布下载、用户使用等上下游全产业链。通过报告整理的关于Android应用供应链重要安全事件时序图可以发现,供应链各个环节,几乎都爆发了重大安全事件。

      (Android应用供应链重要安全事件时序图)

      上游攻击或将影响上亿用户  恶意开发者逐渐渗入SDK开发环节

      针对软件供应链上游开发工具进行攻击、影响最为广泛的莫过于2015年的Xcode非官方版本恶意代码污染事件。攻击者通过向非官方版本的Xcode注入病毒Xcode Ghost,当应用开发者使用带毒的Xcode工作时,编译出的APP都将被注入病毒代码,从而产生众多携带病毒的APP。

      报告指出,类似于Xcode Ghost这类污染开发工具针对软件供应链上游(开发环境)进行攻击的安全事件较少,但一旦攻击成功,却可能影响上亿用户。

      而入侵第三方SDK则正在成为不法分子针对供应链上游发起攻击的重要选择。报告指出,一方面,第三方SDK的开发者的安全能力水平参差不齐,且众多第三方SDK的开发者侧重于功能的实现,在安全方面的投入不足,近两年被爆出的有安全漏洞的第三方SDK主要有FFmpeg漏洞、友盟SDK、zipxx等,由于其被广泛集成到大量的APP中,漏洞的影响范围非常大;另一方面,部分恶意开发者渗入了SDK开发环节,以提供第三方服务的方式吸引其他APP应用开发者来集成他们的SDK。借助这些合法应用,恶意的SDK可以有效地躲避大部分应用 市场和安全厂商的检测,影响大量用户的安全。

      2018年4月,腾讯安全反诈骗实验室自研的TRP-AI反病毒引擎捕获到一个恶意推送信息的软件开发工具包(SDK)——“寄生推”,它通过预留的“后门”云控开启恶意功能,私自ROOT用户设备并植入恶意模块,进行恶意广告行为和应用推广,以实现牟取灰色收益。该事件感染超过300多款知名应用,潜在影响用户超2000万。

      下游攻击占据大头  不法分子无孔不入

      供应链下游则是爆发安全事件的大头。报告指出,Android应用分发渠道在供应链中占据着十分重要的位置,也是安全问题频发的环节。Android应用分发渠道众多,应用市场、厂商预装、破解网站、ROM内置等都是用户获取应用的常见方式。不仅第三方站点下载、破解应用等灰色供应链中获取的软件极易被植入恶意代码,就连某些正规的应用市场,由于审核不严等因素也被攻击者植入过含有恶意代码的“正规”软件。

      除了用户直接获取应用的渠道存在的安全威胁外,其他提供第三方服务的厂商如OTA升级、安全加固等也可能在服务中预留后门程序,威胁用于的隐私和设备安全。这类攻击大多采用了白签名绕过查杀体系的机制,其行为也介于黑白之间,从影响用户数来说远超一般的漏洞利用类攻击。

      用户在使用应用过程,面临的应用升级更新等情况也潜伏隐患。2017年12月,Android平台爆出“核弹级”Janus漏洞,能在不影响应用签名的情况下,修改应用代码,导致应用的升级安装可能被恶意篡改。同样,随着越来越多的应用采用热补丁的方式更新应用代码,恶意开发者也趁虚而入,在应用更新方式上做手脚,下发恶意代码,威胁用户安全。

      报告最后呼吁,针对软件供应链攻击,无论是免费应用还是付费应用,在供应链的各个环节都可能被攻击者利用,因此,需要对供应链全面设防,打造Android应用供应链的安全生态。在应对应用供应链攻击的整个场景中,需要手机厂商、应用开发者、应用市场、安全厂商、普通用户等各主体积极参与、通力合作。

      来源:XXX(非中文科技资讯)的作品均转载自其它媒体,转载请尊重版权保留出处,一切法律责任自负。

      文章内容仅供阅读,不构成投资建议,请谨慎对待。投资者据此操作,风险自担。有事反馈发邮件至news#citnews.com.cn(发送时将#替换为@)。

    [编辑: CIT02]
    分享到微信

    推荐

    马斯克等科技大佬联名承诺不发展致命性人工智能武器

    7月19日消息,据美国科技新闻网站The Verge报道,包括埃隆•马斯克(Elon Musk)和谷歌旗下人工智能(AI)子公司DeepMind的三位联合创始人在内的科技大佬已经签署了一份协议,承诺不会发展致命的人工智能武器系统。

    新闻

    探索无镜之境 未来旗舰OPPO Find X中国发布

    6月29日,OPPO在北京751D·PARK 79罐正式发布了未来旗舰OPPO Find X,这也是继卢浮宫全球发布会后,OPPO Find X在中国的正式亮相。

    互联网+

    人民创投链塔智库联合发布《2018中国区块链行业白皮

    2018年被称为“区块链元年”,犹如当年“互联网+”一样,各行各业都在讲“区块链+”,行业进入爆发增长态势。

    融合

    马斯克等科技大佬联名承诺不发展致命性人工智能武器

    7月19日消息,据美国科技新闻网站The Verge报道,包括埃隆•马斯克(Elon Musk)和谷歌旗下人工智能(AI)子公司DeepMind的三位联合创始人在内的科技大佬已经签署了一份协议,承诺不会发展致命的人工智能武器系统。

    创投

    无忧精英网调查显示,44%的白领每周喝咖啡超过3杯

    咖啡已经成为小资生活的一种体现,同时,也是新一代上班族的“充电”标配。

    重庆时时彩走势图 网易 新疆时时彩快开网站 重庆时时彩骗局报道 重庆时时彩微信群 重庆时时彩直播 重庆时时彩个位必中
    新疆时时彩直选四星 新疆时时彩开奖码 重庆时时彩合法 揭露重庆时时彩骗局 重庆时时彩 天津时时彩万能6码
    网络重庆时时彩骗局 2017年重庆时时彩攻略 天津时时彩开奖记录 重庆时时彩预测平台 云南时时彩开奖号码 重庆时时彩骗局报道
    表天津时时彩走势图表 重庆时时彩是正规的吗 天津时时彩万能6码 重庆时时彩直播开奖 新疆时时彩开奖预算 天津时时彩几分开奖
    早餐项目加盟 中式早餐店加盟 早点豆浆加盟 早餐店加盟哪家好 早点餐饮加盟
    早点加盟连锁店 大华早点怎么加盟 早点加盟项目 早餐饮品加盟 雄州早餐怎么加盟
    早餐面馆加盟 上海早餐加盟 特色小吃早点加盟 早餐加盟什么好 东北早餐加盟
    早餐饮品加盟 哪家早点加盟好 中式早点加盟 港式早点加盟 爱心早餐加盟
    甘肃11选5 排列五走势图带连线 广东快乐10分走势 141期香港六合彩 时时彩龙虎和100%
    甘肃11选五6月13日推荐 新疆十一选五官网 11选五开奖结果天津 贵州体彩11选5 十一选五的最佳买法
    黄大仙平特一肖 湖北十一选五结果 吉林快3 老版曾女士 黑龙江11选5遗漏 统计
    广东快乐十分开奖直播 49选7开奖历史记录 安徽快3每天多少期 2018白小姐一肖中特马 澳洲幸运10走势