IBM研究：2014年Android应用漏洞激增-低调大师

IBM研究：2014年Android应用漏洞激增

2017-08-31 617

IBM新研究表明，CERT新的开源安全工具“Tapioca”显示Android应用漏洞无处不在。

根据IBM新研究表明，新开发的开源安全工具发现2014年已知移动应用漏洞大幅增加。在其2015年威胁情报季报中，IBM X-Force称，2013年漏洞披露为8400个，而去年增加到30000个，这是X-Force在18年的历史中数据最高的一年。

IBM X-Force研究人员Jason Kravitz表示，从往年的数据来看，2014年漏洞披露数量应该会出现适量下降，初步预计保持在7000到8000的范围。

“你回望过去四五年会发现，漏洞总数量一直保持平稳，”Kravitz说道，“所以我们对2014年的预测是应该会比2013年少一点。”

但事实并非如此，卡内基梅隆大学软件工程研究所计算机应急响应小组(CERT)漏洞分析师Will Dormann开发出一种新方法来发现Android移动应用漏洞。

此前Dormann在研究中间人攻击(MitM)，并想以这种方式测试应用：即通过代理服务器路由应用流量，而不会提醒应用。因此，他需要设计一个代理服务器可以在应用层外部来测试。

Dormann的解决方案是CERT透明代理捕捉设备(Transparent Proxy Capture Appliance，Tapioca)。该工具在去年8月推出，可作为MitM软件分析的透明网络层代理。

“对于某些客户端应用，你可以指明你想使用代理，”Dormann解释说，“现在市面上已经推出了一些MitM代理工具，例如ZAP、Burp和Fiddler，但如果你想测试不支持指定代理的应用，或者出于某些原因没有使用OS配置代理的应用，则可以选择Tapioca，它可以在网络水平运行。”

Dormann解释说，你需要做的是配置虚拟机，或者无线接入点用于物理测试，并使用Tapioca作为互联网网关。对于这样配置的任何系统，Tapioca会看到所有通过网络的Web请求。

很快，Dormann发现Tapioca可以用来检查没有正确验证SSL证书的应用。并且，通过使用Android模拟器、Linux虚拟机(VM)和其他一些技巧，Dormann还可以自动化这个过程。他在多个虚拟机运行Tapioca工具长达数月，从2014年8月开始，2015年1月结束，测试的应用数量超过100万。

根据X-Force威胁情报季报显示，Tapioca是发现数千易受攻击Android应用的关键;它搜寻整个Google Play Store，发现2014年Android应用漏洞激增。根据Tapioca项目发布的公共电子数据表显示，23667个应用没有通过动态测试，主要是因为这些应用包含因不正确SSL证书验证导致的漏洞。

“我们通过Tapioca工具发现的是，其实有20000多个应用存在漏洞，而造成这个问题的是它们部署SSL的方式，”Kravitz称，“这并不是它们包含的某个库存在漏洞，这20000个应用本身包含漏洞。”

Kravitz称，Tapioca工具是游戏规则颠覆者;X-Force本身登记了9200个漏洞，而这个开源安全工具发现的漏洞数量是这个数据的三倍。

“在过去，我们并不会发现那么多应用存在漏洞，”他表示，“如果Word Press插件有漏洞，这可能会影响10万网站，但我们不会在数据库中记录10万个漏洞，因为这其实是一个漏洞。”

对于每个未通过测试的应用，CERT都联系了相应的应用开发人员(如果Play Store中提供了联系方式)。但每1000名开发人员中只有1名开发人员报告回CERT，并确认修复了该漏洞。Kravitz称，目前还不清楚这些漏洞已经存在多长时间。

“假设这些应用在去年10月之前推出，那么它们可能有这个漏洞，”Kravitz称，“在CERT开始使用Tapioca工具测试这些应用之前，没有人发现这些漏洞。”

随后，Dormann以众包方式使用Tapioca工具来测试。新的Android应用正层出不穷，而旧应用的新版本也不断推出。CERT还没有测试iOS和其他移动平台，主要是由于这些平台缺乏类似Android De-bug Bridge(ADP)的工具，让用户可以与模拟器实例进行交互。没有这种命令行工具，Tapioca无法自动化，让测试没那么可行。

“对于iPhone SDK，他们有iPhone模拟器，但这只是模拟应用的外观和感觉，”Dormann称，“为了使用Tapioca测试应用，你需要与在网络层面运作方式相同的东西。”

Dormann也尝试对iPhone进行检测，将其关联到一个接入点，但他表示如果需要物理电话的话，大规模测试iOS应用不太可能。现在还不知道对于iOS，Tapioca可以实现何种程度的自动化。

X-Force报告称，Tapioca不仅改变了2014年漏洞披露数量，还改变了大家对应该如何记录漏洞披露的讨论。虽然Tapioca工具被用于合法研究目的，Dormann承认，攻击者和网络犯罪分子可以利用这个开源工具来发现和利用漏洞，甚至在开发人员有机会修复它们之前。

“对于任何特别的安全工具，有人会将其用于好的目的，”Dormann称，“也有人可能将其用于损害他人利益的事情，工具的可用性只是帮助提高软件的质量。”

作者：Maxim Tamarov

来源：51CTO

微信关注我们

原文链接：https://yq.aliyun.com/articles/203563

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

Check Point解析CopyCat恶意软件如何感染全球Android设备

Check Point以色列捷邦安全软件科技有限公司的移动威胁研究人员最近发现一种针对移动设备的恶意软件，并称之为CopyCat。它目前已经感染了1,400万部安卓设备，获取了其中800万部的root权限，在短短两个月内，黑客通过使用CopyCat 已经赚取了约150万美元的假冒广告收入。 Check Point 移动威胁研究人员指出，CopyCat采用一种新的技术来制造和窃取广告收入。CopyCat 主要感染位于东南亚的用户，但它也传播至美国，感染了超过28万名安卓设备用户。 CopyCat是一款完全开发的恶意软件，具有强大的功能，包括对设备获取root权限，能持续进行攻击，以及将代码注入Zygote（Zygote负责在安卓操作系统中启动应用程序），因此它可以控制设备上的任何活动。 CopyCat 是在意图攻击一家受Check Point SandBlast Mobile保护的企业时被发现，Check Point研究人员从这款恶意软件的命令与控制服务器中检索到信息，并且对其内部工作方式进行了完整的逆向操作工程，这些资料在其全面的技术报告中有详细介绍。 CopyCat攻击在2016年...

2017-09-01

687

绿盟科技发布了本周安全通告，周报编号NSFOCUS-16-29，绿盟科技漏洞库本周新增140条，其中高危116条。本次周报建议大家关注持续关注ISC BIND buffer.c拒绝服务漏洞CVE-2016-2776，目前漏洞细节已经披露，可能导致大规模对此漏洞的利用，强烈建议用户尽快安装官方发布的修复补丁。焦点漏洞 ISC BIND buffer.c拒绝服务漏洞 NSFOCUS ID34961 CVE IDCVE-2016-2776 受影响版本 BIND 9 version 9.0.x -> 9.8.x BIND 9 version 9.9.0->9.9.9-P2 BIND 9 version 9.9.3-S1->9.9.9-S3 BIND 9 version 9.10.0->9.10.4-P2 BIND 9 versi

2017-09-01

752

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。