快讯
《刺客信条:奥德赛》DLC新章节将于7月16日推出
10小时前
《噬血代码》发布“双手剑”展示预告宣传片
11小时前
?《极限竞速:地平线4》联动TopGear加入新赛车
11小时前
《超级马力欧创作家2》实体销量相较?#30333;?#24050;翻番
11小时前
?《使命召?#21073;?#29616;代战争》加入开瞄准镜换弹功能
11小时前
?#31471;?#20129;终局:轮回试炼2》发布首个预告宣传片
11小时前
《牧场物语:重返矿石镇》中文宣传影像首次公开
11小时前
?#31471;?#20129;细胞》“巨人的崛起”DLC今日免费上架NS港服
11小时前
Epic官方实锤!《堡垒之夜》将联动《怪奇物语》
11小时前
《传?#35752;?#29289;》另有主机新作社长谈为何推出手游
11小时前
《炉石传说》移动端回到游戏问题已获修复
11小时前
《末日之战》SixSkulls更新加入Extreme?#35759;?/div>
11小时前
王传福扬言禁"?#21152;?#36710;"引争议!是狂妄是自信还是要垄断经济?
12小时前
吉利智能车机系统GKUI发布,博越PRO全球首发
12小时前
《火焰纹章:风花雪月》公开黑鹫学级宣传片
12小时前
日产最新调研:轿车将成为?#27844;?#24180;轻消费者首选车型|侃车·快报
12小时前
天宜上佳等4家科创板企业注册生效
12小时前
不给对手留活路?全新飞度或将搭载1.5T四缸发动机
12小时前
阿尔法象一站式持续交付解决方?#31119;?#21161;力实现银行持续交付Devops
12小时前
联通5G抢先“开跑”河北联通助力构建5G产业新标杆
12小时前
东财基金获批证券经营放可,首只公募产品将在6个月内发行
12小时前
新荣威eRX5上?#20449;?#32622;升级售17.59-19.99万元
12小时前
联姻九年,蒙牛、君乐宝为何“分手?#20445;?/div>
12小时前
AMTS2019|?#30340;?#22266;创先推出智能焊钳概念和产品
12小时前
马自达6月份销量终于止跌,马自达是否可以继续为所欲为?
12小时前
高乐股份与好未来签署战略合作协议,将在潮汕、汕头等地开展合作
12小时前
骚操作!比特?#31227;?#23376;骗走3万美元后竟发短信告诉受害者真相
12小时前
法国政府将会为游戏厂商提供大量扶持优惠政策
12小时前
百度大脑“三步走”带来产业智能化加速度让AI技术落地跑起来
12小时前

《2018年Android应用安全白皮书》重磅发布:超98%Android应用存有安全风险

推荐 2019-06-13 15:09:04

伴随恶意程序、资费消耗、数据泄露等移动端应用安全威胁与日俱增,Android应用端安全防护的价值也在持续引发行?#30340;?#22806;人士的探讨。在6月12日举办的第四届腾讯安全国际技术峰会(TenSec2019)上,腾讯安全科恩实验室对外发布了《2018年Android应用安全白皮书》(以下简称《白皮书》),深度剖析了Android应用存在的安全风险及原因,并提出了针对性的解决建议。

《白皮书》基于腾讯安全科恩实验室自研的Android应用自动化漏洞扫描系?#22330;狝pkPecker,选取了2018年下载量较高的1404个App应用,进行漏洞扫描发现:超98%的应用存有不同类型的安全风险,主要原因包括系统开发隐患、漏洞监测困难、避雷能力不足、修复管理滞后等。建议各大应用厂?#25506;?#31435;从APP开发到用户交互的产品全生命周期的安全管理,开展实时的安全风险检测与控制,避免造成不必要的损失。

QQ截图20190613150807.png

超98%Android应用存有安全风险影音播放类应用风险最高

相关数据显示,2018年全球App下载量近五成来源于?#27844;?#31227;动应用与社会大众和各行业的关联日趋紧密。然而,Android平台的恶意程序数量也增长迅猛,据GDATA最新的统计数据显示,从2012年到2018年第三季度末,Android系统应用发现超过320万个新的恶意样本,日均发现超过11000个。受开源组件安全隐患、开发过程漏洞入侵、应用克隆等因素的影响,?#26376;┒次?#20195;表的安全威胁已渗透到了移动应用的开发及用户交互等各个环节,成为移动应用行业发展的制?#23478;?#32032;。

《白皮书》数据显示,影音播放类Android应用存在的安全风险数量最多,其次是通讯社交和网上购物类应用。相对于其他类型的移动应用,这三类应用的产品功能和交互方式都?#25103;?#23500;,且具有较高的用户黏性。存在其中的安全风险一旦爆发,影响的用户量级和范围将大大超乎预期。

QQ截图20190613150759.png

在安全风险的类型方面,拒绝服务漏洞、隐式Intent信息泄露以及二进制三类安全风险的数量最多,且影响的APP数量也位?#26143;?#19977;。其中,超80%的移动应用皆存有隐式Intent信息泄漏风险。利用这些已深度侵入到Android应用内的漏洞,攻击者即可实现对用户信息的绑架、资费的恶意扣取与消耗等,甚至将多种风险进行整合构建,形成贯穿应用开发、上架和用户交互等全流程的攻击链路,从而容易引发高达亿级的应用安全危机。

QQ截图20190613150745.png

 

组件安全风险仍达七成,开发周期缺乏安全机制是主因

根据Android应用自动化漏洞扫描系?#22330;狝pkPecker的检测数据发现,Android应用面临的安全风险主要可分为应用场?#22885;?#27934;利用、服务后台漏洞攻击等部分。其中,《白皮书》显示在本次针对1404款Android应用进行的样本检测中发现,用户信息保密机制的缺乏增加了移动应用的安全压力。由此引发的安全事件频发,给用户的信息账号和资金带来了极大危害。

与此同时,《白皮书》还结合安全风险的触发场景,着重对数据泄漏、组件间通信,以及SDK、Native第三方库漏洞等频繁出现在当前移动应用中的安全风险进行了详细分析,指出在检测的1404个样?#23616;校?#26377;74%的应用存在拒绝服务攻击风险。开发人员对公开组件外部输入数据的校验和异常处理,是引发组件间通信恶意安全事件的主要原因,同时还将加大漏洞组合利用的风险,造成更大量级的信息泄漏。

QQ截图20190613150735.png

而因移动应用开发者在直接调用第三方库进行应用开发使并未注意其代码的安全性,从而导致在检测的样?#23616;校?#26377;近五成的应用存有SDK库漏洞,且超58%的应用受Native库漏洞威胁,极大地增加了APP安全管理的?#35759;齲?#20854;表现出的碎片化、难追溯特点甚至将导致安全风险的恶性循环。

此外,移动应用后台服务端存有的平台、应用、业务逻辑以及DDos/CC攻击等风险也是引发Android应用安全事件的重要诱因。由此,《白皮书?#20998;?#20986;移动应用的安全风险并不是相互独立和彼此割裂的,多种安全风险构建成完整攻击链的趋势愈?#29992;?#26174;。Android移动应用安全需要整个产业闭环自上而下的共同维护与防御实践。

《白皮书》最后提醒各大Android应用开发厂商以及应用商店等平台,风险防御成功与否是由短板攻击面决定的。使用基于面向攻击面的静态检测工具,建立贯穿移动应用全生命周期的安全风向评估模型,是高效检测Android移动应用风险,精准防范安全威胁的有效途径。ApkPecker作为一款全自动Android应用漏洞扫描工具,能够输出高质量漏洞扫描报告,精?#32423;?#20301;漏洞并提供修复建议,从而助力移动安全人员提升应用安全性。

同时,腾讯安全科恩实验室还基于移动应用渗透测试经验以及前沿攻击模式分析与总结,提出了适用于移动应用面向攻击面静态检测的安全自查雷达图,协助Android应用开发者全面、客观、高效地掌握移动应用静态检测安全风险的实时动态,为其突破安全检测高误报?#21183;?#39048;提供助益。在此基础上,腾讯安全科恩实验室将继续开放核心安全技术与能力,为各行业数?#21482;?#36716;型变革的安全和健康发展贡献力量。


相关文章

{{news.title}}

{{news.author}} {{news.timeFormat}}

正在加载......
传奇霸业时装图片
浙十一选五 广西快乐十分上分 闲来广东麻将手机版 快乐12任选7稳赚 时时彩免费软件 最好的重庆时时计划 香港小金猴现场开奖 老时时彩360开奖结果 上海时时票结果查询双色球 幸运分分彩软件 安徽快3开奖记录 金7乐彩票走势图 快三时时彩 上海时时乐开奖 甘肃快三助下载安装 快乐12有规律吗