在第四屆騰訊安全國際技術峰會(TenSec 2019)上,騰訊安全科恩實驗室對外發布了《2018年Android應用安全白皮書》(以下簡稱《白皮書》),白皮書顯示,超98%Android應用存有安全風險,其中影音播放類應用風險最高。
《白皮書》基於騰訊安全科恩實驗室自研的Android應用自動化漏洞掃描系統—ApkPecker,選取了2018年下載量較高的1404個App應用,進行漏洞掃描發現:超98%的應用存有不同型別的安全風險,主要原因包括系統開發隱患、漏洞監測困難、避雷能力不足、修復管理滯後等。
其中,影音播放類Android應用存在的安全風險數量最多,其次是通訊社交和網上購物類應用。相對於其他型別的移動應用,這三類應用的產品功能和互動方式都較豐富,且具有較高的使用者黏性。存在其中的安全風險一旦爆發,影響的使用者量級和範圍將大大超乎預期。
根據Android應用自動化漏洞掃描系統——ApkPecker的檢測資料發現,Android應用面臨的安全風險主要可分為應用場景漏洞利用、服務後臺漏洞攻擊等部分。其中,《白皮書》顯示在本次針對1404款Android應用進行的樣本檢測中發現,使用者資訊保密機制的缺乏增加了移動應用的安全壓力。由此引發的安全事件頻發,給使用者的資訊賬號和資金帶來了極大危害。
與此同時,《白皮書》還結合安全風險的觸發場景,著重對資料洩漏、元件間通訊,以及SDK、Native第三方庫漏洞等頻繁出現在當前移動應用中的安全風險進行了詳細分析,指出在檢測的1404個樣本中,有74%的應用存在拒絕服務攻擊風險。開發人員對公開元件外部輸入資料的校驗和異常處理,是引發元件間通訊惡意安全事件的主要原因,同時還將加大漏洞組合利用的風險,造成更大量級的資訊洩漏。
而因移動應用開發者在直接呼叫第三方庫進行應用開發使並未注意其程式碼的安全性,從而導致在檢測的樣本中,有近五成的應用存有SDK庫漏洞,且超58%的應用受Native庫漏洞威脅,極大地增加了APP安全管理的難度,其表現出的碎片化、難追溯特點甚至將導致安全風險的惡性迴圈。
自 techweb