第三方SDK泄露隱私問題的暴露,意味著安全風(fēng)險檢測在應(yīng)用開發(fā)與運營過程中非常關(guān)鍵,APP需要全方位、全生命周期的安全檢測與管理,以確保廣大用戶的信息安全。
騰訊安全自研的自動化Android應(yīng)用漏洞掃描系統(tǒng)——ApkPecker,能夠進(jìn)行高效的安全漏洞掃描,精準(zhǔn)定位漏洞并提供修復(fù)建議,提升應(yīng)用安全性。針對第三方SDK,ApkPecker可以精準(zhǔn)識別各類風(fēng)險漏洞,助力應(yīng)用開發(fā)者及時防御,有效對抗。
近五成APP存在SDK漏洞,移動應(yīng)用需要全方位檢測
移動應(yīng)用從開發(fā)、上架到用戶實際交互使用涉及多個環(huán)節(jié),每個環(huán)節(jié)都存在引發(fā)安全問題的諸多因素。
SDK(SoftwareDevelopmentKit),全名軟件開發(fā)工具包,是用來輔助開發(fā)某一類軟件的相關(guān)文檔、范例和工具的集合。有了這些第三方的SDK,APP就能高效而低成本地實現(xiàn)社交、支付、地圖等功能;但由于開發(fā)者的安全能力有限、安全能力不足,同時也會不可避免地帶來一些未知風(fēng)險。
以央視3·15曝光的SDK問題為例,第三方SDK除了會讀取設(shè)備的運營商信息、電話號碼、短信記錄外,還會上傳用戶手機(jī)中的短信內(nèi)容,包括帶有驗證碼的短信。短信驗證碼是App驗證用戶身份的重要手段,通過短信驗證碼可以完成開通業(yè)務(wù)、支付款項等多項敏感操作,一旦泄露將嚴(yán)重危害用戶的財務(wù)安全。
2020年3·15晚會視頻截圖
伴隨移動應(yīng)用開發(fā)技術(shù)的飛速發(fā)展,除第三方SDK泄露隱私外,惡意破解、盜版、核心代碼被竊取、惡意代碼注入、APP劫持、移動業(yè)務(wù)攻擊等安全風(fēng)險,可能存在于應(yīng)用開發(fā)、分發(fā)與使用的各個環(huán)節(jié)。因此,移動應(yīng)用安全防御需要產(chǎn)業(yè)鏈各個角色參與。
騰訊ApkPecker高效、準(zhǔn)確助力行業(yè)加固移動應(yīng)用安全
騰訊安全自研的面向攻擊面的Android應(yīng)用檢測系統(tǒng)ApkPecker,可以幫助行業(yè)上下游完成相關(guān)安全風(fēng)險檢測與控制工作。在Apkpecker的助力下,廣大移動應(yīng)用開發(fā)商可以對各種移動應(yīng)用風(fēng)險進(jìn)行有力的防御,建立從APP開發(fā)到用戶交互的產(chǎn)品全生命周期的安全管理,開展實時的安全風(fēng)險檢測與控制,為用戶的手機(jī)信息、財產(chǎn)安全保駕護(hù)航。
據(jù)了解,ApkPecker漏洞檢測流程包括構(gòu)建控制流圖、靜態(tài)數(shù)據(jù)流分析和污點分析、漏洞挖掘以及出具漏洞檢測結(jié)果四個關(guān)鍵步驟。其中,控制流圖主要針對Android應(yīng)用生命周期和應(yīng)用攻擊面建模;數(shù)據(jù)流分析和污點分析能夠構(gòu)建所關(guān)注的數(shù)據(jù)流向,提供數(shù)據(jù)源到漏洞點的數(shù)據(jù)流路徑構(gòu)建能力,包括Forward和Backward兩種分析模式;漏洞挖掘覆蓋了公開組建、外置存儲空間、WebView回調(diào)、JavaScriptInterface回調(diào)、開放Socket端口等全面的攻擊面,基本覆蓋Android應(yīng)用中出現(xiàn)的問題。
ApkPecker的核心優(yōu)勢有三。一是檢測方法更精確,通過控制流分析、數(shù)據(jù)流分析和靜態(tài)污點分析,ApkPecker能夠盡可能地恢復(fù)數(shù)據(jù)信息,進(jìn)行多層級的綜合判斷。二是漏洞檢測點更有效,ApkPecker基于騰訊安全以往經(jīng)驗的總結(jié),能夠發(fā)現(xiàn)危害性、利用性更高的漏洞。三是攻擊路徑更完整、更易于驗證。ApkPecker跟蹤從攻擊面入口到漏洞觸發(fā)的完整路徑,能夠大大提高漏洞分析的效率。
通過一系列高效、完備、準(zhǔn)確的漏洞檢測流程,ApkPeckerP已經(jīng)具備了控制管理和APP漏洞自動挖掘能力,能夠?qū)崿F(xiàn)程序源文件、內(nèi)部數(shù)據(jù)交互、APP防御、第三方SDK等多維度的漏洞檢測。
ApkPecker移動應(yīng)用安全檢測報告
目前,Apkpecker的安全檢測能力已被持續(xù)驗證并獲得認(rèn)可。譬如,Apkpecker于去年8月集成了騰訊金剛檢測系統(tǒng),為騰訊自研APP安全保駕護(hù)航;在國內(nèi)外100+知名APP中發(fā)現(xiàn)160+可利用安全漏洞,漏洞反饋獲得Google官方認(rèn)可;檢測到PayPal旗下Venmo應(yīng)用價值1W美元遠(yuǎn)程賬號劫持漏洞等。
Apkpecker由騰訊安全聯(lián)合實驗室旗下的科恩實驗室研發(fā)。作為騰訊安全旗下的信息安全團(tuán)隊,騰訊安全科恩實驗室的技術(shù)實力和科研成果處于國際領(lǐng)先水平,是世界范圍內(nèi)由廠商官方確認(rèn)發(fā)現(xiàn)計算機(jī)漏洞數(shù)量最多、最了解突破現(xiàn)代安全保護(hù)技術(shù)的專業(yè)安全團(tuán)隊之一。隨著更多ICT新技術(shù)進(jìn)入產(chǎn)業(yè)互聯(lián)網(wǎng),騰訊安全科恩實驗室還將向智能網(wǎng)聯(lián)汽車、安卓應(yīng)用生態(tài)、IoT等行業(yè)開放核心技術(shù)能力,并根據(jù)產(chǎn)業(yè)實際痛點和深度研究推出相關(guān)行業(yè)信息安全解決方案,為各行業(yè)安全生態(tài)建設(shè)和健康發(fā)展貢獻(xiàn)力量。
