《2018年Android应用安全白皮书》重磅发布:超98%Android应用存有安全风险

随着恶意程序,资费消耗和数据泄漏等移动应用程序威胁的增加,Android应用程序安全保护的价值继续由内部人员和外部人员触发。在6月12日举行的第四届腾讯安防国际技术峰会(TenSec2019)上,腾讯安全科恩实验室发布了《2018年Android应用安全白皮书》(以下简称《白皮书》),深入分析了Android应用的安全风险和原因。并提出针对性的解决方案。

《白皮书》基于腾讯安全科恩实验室自主开发的Android应用程序自动化漏洞扫描系统--ApkPecker,在2018年选择了1404个应用程序,下载量更高,漏洞扫描发现:超过98%的应用程序有不同类型的安全风险的主要原因包括系统开发的隐患,监控漏洞的困难,防雷能力不足以及维修管理延误。建议主要应用程序供应商建立从APP开发到用户交互的全生命周期安全管理,并进行实时安全风险检测和控制,以避免不必要的损失。

img_pic_1560409744_0.png

超过98%的Android应用存在安全风险。视频播放应用是风险最大的

相关数据显示,2018年全球应用下载量的近20%来自中国。移动应用程序越来越多地与公众和行业相关联。但是,Android平台上的恶意程序数量也迅速增长。根据GDATA的最新统计,从2012年第三季度末到2018年,Android系统应用程序发现了超过320万个新的恶意样本,并且每天超过一个。受开源组件的安全风险,开发过程中的漏洞,应用程序克隆等因素的影响,漏洞所代表的安全威胁已经渗透到移动应用程序和用户交互的发展中,并已成为开发中的一个制约因素。移动应用行业。

《白皮书》数据显示,Android应用程序中存在最大的安全风险,其次是社交网络和在线购物应用程序。与其他类型的移动应用相比,这三种应用的产品功能和交互模式丰富,用户粘性高。一旦安全风险爆炸,受影响的用户的规模和范围将超出预期。

img_pic_1560409744_1.png

在安全风险类型方面,拒绝服务漏洞,隐含的Intent信息泄漏和二进制安全风险最多,受影响的APP数量也位居前三。其中,超过80%的移动应用程序存在隐式Intent信息泄露的风险。通过利用这些深入侵入Android应用程序的漏洞,攻击者可以绑定用户信息,恶意扣除和消费用户费用,甚至整合各种风险,在整个应用程序开发,上传和用户交互过程中形成攻击链接,触发高达1亿级的响应。使用安全危机。

img_pic_1560409744_2.png

组件安全风险仍为70%,开发周期缺乏安全机制是主要原因。

根据Android应用程序自动化漏洞扫描系统 ApkPecker的检测数据,Android应用程序面临的安全风险可分为应用场景漏洞利用和服务后台漏洞攻击。其中,《白皮书》表明,在1404 Android应用程序的此样本测试中,发现缺乏用户信息安全机制增加了移动应用程序的安全压力。由此引发的频繁安全事件给用户的信息账户和资金带来了极大的危害。

同时,《白皮书》还结合了安全风险触发场景,重点关注数据泄露,组件间通信,SDK,本机第三方数据库漏洞以及当前移动应用中经常出现的其他安全风险,详细分析1404经过测试的样本中,74%的应用程序存在拒绝服务攻击的风险。开发人员对暴露组件的外部输入数据的校验和异常处理是组件之间恶意安全事件的主要原因。同时,它会增加漏洞组合的风险并导致大量信息泄露。

img_pic_1560409744_3.png

由于移动应用程序开发人员直接调用第三方库进行应用程序开发,因此他们不会注意代码的安全性。因此,近50%的测试样本具有SDK漏洞,超过58%。该应用程序受到Native库漏洞的威胁,这极大地增加了APP安全管理的难度。应用程序的碎片化和难以追溯的功能甚至会导致安全风险的恶性循环。

此外,移动应用程序后端服务器上的平台,应用程序,业务逻辑和DDos/CC攻击的风险也是Android应用程序安全事件的重要激励因素。因此,《白皮书》指出移动应用程序的安全风险并不是相互独立,相互分离,将多个安全风险构建成一个完整的攻击链的趋势变得越来越明显。 Android移动应用程序安全性要求整个行业采用自上而下的闭环式常见维护和防御措施。

《白皮书》最后,提醒各大Android应用程序开发商和应用程序商店等平台,风险防范的成功是由短板攻击面决定的。使用基于攻击面的静态检测工具在移动应用程序的整个生命周期中建立安全的风向评估模型是有效检测Android移动应用程序风险并准确防范安全威胁的有效方法。 ApkPecker是一款全自动Android应用程序漏洞扫描工具,可以输出高质量的漏洞扫描报告,查明漏洞并提供修复建议,帮助移动安全人员提高应用程序安全性。

与此同时,腾讯安全科恩实验室还根据移动应用渗透测试经验和前端攻击模式进行了分析和总结,提出了一种安全的自检雷达图表,用于移动应用的攻击面静态检测,帮助Android应用开发人员全面,客观,高效掌握移动应用静态检测安全风险的实时动态,为突破高误报率安全检测的瓶颈提供优势。在此基础上,腾讯安全科恩实验室将继续开拓核心安全技术和能力,为各行业数字化转型和转型的安全和健康发展做出贡献。