| 网站首页 | 游戏新闻 | 游戏资讯 | 游戏信息 | 游戏攻略 | 游戏大全 | 资讯中心 | 文章 | 

您现在的位置: 游戏信息资讯网www.yxnetw.com >> 游戏资讯 >> 正文

  没有公告

  安卓软件供应链全线均爆重大安全事件 或影响上亿用户余乐宝网金匕首           ★★★ 【字体:  
安卓软件供应链全线均爆重大安全事件 或影响上亿用户余乐宝网金匕首
作者:佚名    游戏资讯来源:本站原创    点击数:    更新时间:2024/6/12    

  浙视互联综艺二区7月25日,腾讯安全反诈骗实验室发布《网络安全新常态下Android应用供应链安全探秘》(下简称报告),结合最新爆发的典型案例梳理了供应链攻击的常见手段及攻击趋势,并指出在软件供应链开发、分发、使用三大环节均有安全隐患,爆发了多起影响重大的安全事件。鉴于供应链安全问题较强的隐蔽性和影响的广泛性,报告同时呼吁相关各方关注供应链攻击的新形式,做好有效的安全防御措施。

  过去几年,经过手机厂商和移动安全厂商等各方的共同努力,普通Android恶意软件的迅猛增长趋势已经得到遏制。报告援引腾讯手机管家的数据显示,2018年上半年Android平台新增恶意样本数468.70万,较去年同期下降47.8%,扭转了2015年以来的迅猛增长势头。

  但高端、复杂的移动恶意软件攻击却呈现上升趋势,愈演愈烈的软件供应链攻击更是验证了移动安全威胁“量降质升”现象。报告指出,恶意攻击者逐渐将目光投向供应链中最薄弱的一环,如手机OTA升级服务预装后门程序,第三方广告SDK窃取用户隐私等,这类攻击借助“合法软件”的保护,很容易绕开安全产品的检测,进行大范围的传播和攻击。

  经过腾讯大数据监测发现,近年来,与Android应用供应链相关的安全事件越来越多,恶意软件作者正越来越多地利用用户与软件供应商间的固有信任,通过层出不穷的攻击手法投递恶意载体,造成难以估量的损失。

  目前关于Android应用供应链还没有明确的概念,报告根据传统的供应链概念将其简单抽象成开发、分发和使用环节,基本包含了软件开发设计、发布下载、用户使用等上下游全产业链。通过报告整理的关于Android应用供应链重要安全事件时序图可以发现,供应链各个环节,几乎都爆发了重大安全事件。

  针对软件供应链上游开发工具进行攻击、影响最为广泛的莫过于2015年的Xcode非官方版本恶意代码污染事件。攻击者通过向非官方版本的Xcode注入病毒Xcode Ghost,当应用开发者使用带毒的Xcode工作时,编译出的APP都将被注入病毒代码,从而产生众多携带病毒的APP。

  报告指出,类似于XcodeGhost这类污染开发工具针对软件供应链上游(开发环境)进行攻击的安全事件较少,但一旦攻击成功,却可能影响上亿用户。

  而入侵第三方SDK则正在成为不法分子针对供应链上游发起攻击的重要选择。报告指出,一方面,第三方SDK的开发者的安全能力水平参差不齐,且众多第三方SDK的开发者侧重于功能的实现,在安全方面的投入不足,近两年被爆出的有安全漏洞的第三方SDK主要有FFmpeg漏洞、友盟SDK、zipxx等,由于其被广泛集成到大量的APP中,漏洞的影响范围非常大;另一方面,部分恶意开发者渗入了SDK开发环节,以提供第三方服务的方式吸引其他APP应用开发者来集成他们的SDK。借助这些合法应用,恶意的SDK可以有效地躲避大部分应用市场和安全厂商的检测,影响大量用户的安全。

  2018年4月,腾讯安全反诈骗实验室自研的TRP-AI反病毒引擎捕获到一个恶意推送信息的软件开发工具包(SDK)——“寄生推”,它通过预留的“后门”云控开启恶意功能,私自ROOT用户设备并植入恶意模块,进行恶意广告行为和应用推广,以实现牟取灰色收益。该事件感染超过300多款知名应用,潜在影响用户超2000万。

  供应链下游则是爆发安全事件的大头。报告指出,Android应用分发渠道在供应链中占据着十分重要的位置,也是安全问题频发的环节。Android应用分发渠道众多,应用市场、厂商预装、破解网站、ROM内置等都是用户获取应用的常见方式。不仅第三方站点下载、破解应用等灰色供应链中获取的软件极易被植入恶意代码,就连某些正规的应用市场,由于审核不严等因素也被攻击者植入过含有恶意代码的“正规”软件。

  除了用户直接获取应用的渠道存在的安全威胁外,其他提供第三方服务的厂商如OTA升级、安全加固等也可能在服务中预留后门程序,威胁用于的隐私和设备安全。这类攻击大多采用了白签名绕过查杀体系的机制,其行为也介于黑白之间,从影响用户数来说远超一般的漏洞利用类攻击。

  用户在使用应用过程,面临的应用升级更新等情况也潜伏隐患。2017年12月,Android平台爆出“核弹级”Janus漏洞,能在不影响应用签名的情况下,修改应用代码,导致应用的升级安装可能被恶意篡改。同样,随着越来越多的应用采用热补丁的方式更新应用代码,恶意开发者也趁虚而入,在应用更新方式上做手脚,下发恶意代码,威胁用户安全。

  报告最后呼吁,针对软件供应链攻击,无论是免费应用还是付费应用,在供应链的各个环节都可能被攻击者利用,因此,需要对供应链全面设防,打造Android应用供应链的安全生态。在应对应用供应链攻击的整个场景中,需要手机厂商、应用开发者、应用市场、安全厂商、普通用户等各主体积极参与、通力合作。

  贝贝柯尊尧:用创新驱动后端供应链深度变革,6月27日,由中国(杭州)跨境电子商务综合试验区主办的“潮起钱塘·E揽全球第三届全球跨境电商峰会在杭州白马湖国际会展中心启幕,来自全球跨境电商领域的1000多位精英参会,探讨数字经济发展的新潮流、新格局、新规则。

  供应链金融或成区块链落地首“战场”,在业内人士看来,政策暖风频吹加之资本加速布局,供应链金融爆发年已至。江西、上海、广东、浙江等十余省份在鼓励培育供应链创新应用的政策中,也对供应链金融着墨甚多。

  新闻热线:法务部邮箱:中央人民广播电台节目覆盖情况反映热线:

  在应对应用供应链攻击的整个场景中,需要手机厂商、应用开发者、应用市场、安全厂商、普通用户等各主体积极参与、通力合作。

游戏资讯录入:admin    责任编辑:admin 
  • 上一个游戏资讯:

  • 下一个游戏资讯: 没有了
  • 最新热点 最新推荐 相关文章
    Android系统简介及前世今生红…
    React Native 开源:MDCC平台…
    有关Android项目说明讲解俄欧…
    APP软件开发介绍金沛辰的老婆…
    Android Studio下载让你轻松…
    android 40胡梦周微博黑云七…
    谷歌面向普通Android用户推出…
    Android应用开发不可错过的十…
    有关Android手机系统开发说明…
    Android Studio软件下载让开…
     最新文章
    普通游戏资讯 安卓软件供应链全线均爆重大安全事件 或影响上亿用户余乐宝…
    普通游戏资讯 2017热门手游排行榜 最新单机网游排名(2)高冢蕾娜凤凰影音…
    普通游戏资讯 任天堂最火手游Android发布时间确认!张坚庭电影元彪所有电…
    普通游戏资讯 17年年度最佳游戏分享 17年热门手游有哪些权路纵情
    普通游戏资讯 【2017最火的手游排行榜】适合平民耐玩的手游TOP5!撒萌萌…
    普通游戏资讯 2017最耐玩最火的手游排名方想不败战神江湖奇侠传小说
    普通游戏资讯 手机模拟器安卓版-小米手机模拟器安卓版闪光夫妇121229
    普通游戏资讯 文明模拟器官网在哪下载 最新官方下载安装地址魏积安近况狂…
    普通游戏资讯 最强生存模拟器官网在哪下载 最新官方下载安装地址画笔海岭…
    普通游戏资讯 2016年1月新增手游971款 单机手游占比60%楚汉传奇44黄金渔…
    普通游戏资讯 文明模拟器什么时候出 公测上线时间预告立鲁足球网
    普通游戏资讯 十大良心破解游戏盒子排名(破解游戏盒子排行榜最新)人不风…
    普通游戏资讯 安卓十大破解平台有哪些:内含海量精品游戏破解游戏资源!…
    普通游戏资讯 十大破解游戏软件合集(破解游戏软件排行榜TOP10)邪妃斗魔…
    普通游戏资讯 2024年破解游戏变现增长困局的密码是什么?水十条受益股
    普通游戏资讯 游戏盒子破解(破解游戏盒子排行榜第一)坏小子风流记果啦…

    游戏信息资讯网声明:本站部分资源来源于网络,版权归原作者或者来源机构所有,如作者或来源机构不同意本站转载采用,请通知我们,我们将第一时间删除内容!