信息來源:cnBeta
在第四屆騰訊安全國際技術(shù)峰會(TenSec 2019)上����,騰訊安全科恩實驗室對外發(fā)布了《2018年Android應用安全白皮書》(以下簡稱《白皮書》)����,白皮書顯示,超98%Android應用存有安全風險����,其中影音播放類應用風險最高。
《白皮書》基于騰訊安全科恩實驗室自研的Android應用自動化漏洞掃描系統(tǒng)—ApkPecker����,選取了2018年下載量較高的1404個App應用����,進行漏洞掃描發(fā)現(xiàn):超98%的應用存有不同類型的安全風險����,主要原因包括系統(tǒng)開發(fā)隱患、漏洞監(jiān)測困難����、避雷能力不足、修復管理滯后等����。
其中,影音播放類Android應用存在的安全風險數(shù)量最多����,其次是通訊社交和網(wǎng)上購物類應用。相對于其他類型的移動應用����,這三類應用的產(chǎn)品功能和交互方式都較豐富����,且具有較高的用戶黏性����。存在其中的安全風險一旦爆發(fā)����,影響的用戶量級和范圍將大大超乎預期。
根據(jù)Android應用自動化漏洞掃描系統(tǒng)——ApkPecker的檢測數(shù)據(jù)發(fā)現(xiàn)����,Android應用面臨的安全風險主要可分為應用場景漏洞利用����、服務后臺漏洞攻擊等部分。其中����,《白皮書》顯示在本次針對1404款Android應用進行的樣本檢測中發(fā)現(xiàn)����,用戶信息保密機制的缺乏增加了移動應用的安全壓力����。由此引發(fā)的安全事件頻發(fā),給用戶的信息賬號和資金帶來了極大危害����。
與此同時,《白皮書》還結(jié)合安全風險的觸發(fā)場景����,著重對數(shù)據(jù)泄漏����、組件間通信,以及SDK����、Native第三方庫漏洞等頻繁出現(xiàn)在當前移動應用中的安全風險進行了詳細分析,指出在檢測的1404個樣本中����,有74%的應用存在拒絕服務攻擊風險。開發(fā)人員對公開組件外部輸入數(shù)據(jù)的校驗和異常處理����,是引發(fā)組件間通信惡意安全事件的主要原因,同時還將加大漏洞組合利用的風險����,造成更大量級的信息泄漏。
而因移動應用開發(fā)者在直接調(diào)用第三方庫進行應用開發(fā)使并未注意其代碼的安全性����,從而導致在檢測的樣本中,有近五成的應用存有SDK庫漏洞����,且超58%的應用受Native庫漏洞威脅,極大地增加了APP安全管理的難度����,其表現(xiàn)出的碎片化、難追溯特點甚至將導致安全風險的惡性循環(huán)����。
