海云安:利益博弈,APP安全漏洞背后的攻防交锋
全球范围内移动设备的数量早就在多年前超越了世界人口总和。Statista的数据显示,2016年全球范围内智能手机的出货量约在15亿台左右,预计到2020年这个数字会增加到17.1亿;到2018年,全球手机用户总数将达到25.3亿人次——这其中1/4都来自中国。
而在国内,随着近年来移动互联网技术在各个领域应用的不断延伸,APP应用的开发数量开始呈现井喷发展趋势,随之而来的一系列安全漏洞问题也开始逐步浮现。
APP应用所带来的安全隐患
APP应用市场非常庞大,单是对于IOS 和android 这两大操作系统APP市场来说,用户涉及的面就很难估量,而目前这两大移动系统平台却面临着相似的安全风险状况:
安卓APP安全现状紧迫
安卓APP由于其开源性,在国内牢牢占据移动系统第一的地位,由于用户作为最终的使用方,往往更为关心的是应用的功能性与可用性,安全性往往由于难以直观体验经历,外加缺乏专业知识识别察觉,就成为了最不受重视的一项使用因素,但是对于开发者来说普遍却对移动APP的安全现状缺乏乐观的心态。
在近期的一次安全测评行动中,某机构选取了金融、购物、医疗、社交、游戏、娱乐、交通与出行、生活服务等八个分类的892款Android平台的流行App作为样本,针对移动APP存在的安全风险与漏洞进行评估发现:65%接受测试的移动App至少存在1个高危漏洞,平均每个App就有7.32个漏洞;娱乐类移动App成安全漏洞重灾区,每10个娱乐类移动App就有9个至少包含一个高危漏洞;而多达88%的金融类App都存在内存敏感数据泄露问题。
而从用户角度来看,通过调查发现,高达70%左右的用户并不清楚自己是否因为移动APP安全漏洞而遭遇了个人信息泄漏。但是安卓APP漏洞的存在将会对众多用户带来切实的风险损失,如之前曾曝光过的一个安卓APP新型安全漏洞:“寄生兽”- 利用该漏洞,攻击者可以直接在用户手机中植入木马,盗取用户的短信照片等个人隐私,甚至盗取银行、支付宝等账号密码等。
IOS系统是否真的安全?
虽然苹果声称一直拥有自己的操作系统,并且由于系统的封闭性,安全性较强,但是在APP安全漏洞方面也未能幸免。早在2014年,国外研究机构IOActive Labs的研究人员阿里尔·桑切斯就曾测试过苹果iOS平台上的40款移动银行App。结果显示这些APP几乎都未实施基本的安全保护措施,安全漏洞随时可能出现。
在iOS系统为用户提供更多的安全防护与隐私保护策略的同时,针对iOS系统的漏洞也呈现逐年上涨的趋势。在过去的一年里,苹果公司陆续发布12个iOS版本(目前版本号为10.3.3)更新,共计修复338个安全漏洞,包含30个内核漏洞,106个Webkit代码执行漏洞,其中多个高危漏洞完整利用代码已经公开,可直接获取系统最高权限,严重威胁用户安全。
苹果公司开发者网站显示,自2016年9月发布至今,全球范围内87%的iOS用户已经升级到iOS 10,但没有给出具体的版本分布情况。但如前文所述,小版本的更新不及时依然会造成严峻的安全威胁。
表2. iOS 10各版本发布时间、修复漏洞数量统计
APP安全漏洞的背后受益者
在这些层出不穷的APP风险漏洞事件背后,是否存在有受益产业链条群体呢?
我们知道一个完整的APP生态生命产业链,涉及到开发商、手机厂商、应用推广运营服务商、移动广告及应用市场等环节及因素,这背后有着诸多依赖APP风险漏洞获利的黑色产业链,其源动力就是:利益驱动。
海云安分析认为,APP安全漏洞存在的背后,有三类群体存在利益链条上的博弈:
一、部分APP外包开发服务商
APP的快速兴起,促使市场出现了大量的APP开发需求,从成本考虑大部分企业往往选择以外包的形式来获得所需的APP应用程序,而由于甲方企业并不会特别注重安全问题,就导致开发企业不会在安全开发操作上投入过多的成本及精力,毕竟最终买单的是甲方企业,这就导致安全问题很容易出现。
另外,还有不少的外包开发服务商往往出于精简成本、快速开发交工的考虑,会直接利用APP漏洞,获取目标APP的一些核心开发代码及元素,进行快速仿照开发,以极低的成本及投入完成开发任务,这种功利性的思考因素也致使了开发商对APP漏洞安全问题的“若即若离”,个别开发商甚至会在APP中直接嵌入某些病毒和恶意程序,恶意传播后进行获利。
二、打包党
曾有人披露,在打包党的巅峰时期,一个10人的团队可以在一个月内靠病毒打包纯赚150万元,即月均每人净赚15万。
打包党一般是一些个人或小型的开发者团队,专门寻找一些热门应用,利用APP漏洞进行破解,拆包后插入一些自己想要分发的内容(比如加入病毒、广告链或吸费指令等恶意程序),再重新拼装将这些“二次打包”的盗版软件重新发布到应用市场中去,随后就可以稳坐后台,开启数钱模式。
打包党是典型的利用APP漏洞获益者,是受APP破解门槛低、风险漏洞数量多的安全现状所催生的“黑色群体”。用户不小心中招后,损失的不仅仅是流量、话费,还有无法估量的个人信息。
三、移动互联网信息黑产
随着信息互联的通道重心逐步朝向移动互联网转移,大量的信息黑产产业链也开始过渡转移到了移动互联网领域。
移动黑产大多是利用移动APP系统中存在的大量风险漏洞,通过攻破劫持应用前端,配合通信及后端服务器的攻击等进行实施,相比于传统的脱库攻击,移动黑产更多的是围绕移动支付、个人财产等敏感信息进行实施,同时攻击非常隐蔽,不容易察觉,对企业移动业务的健康运营带来了极大威胁。
海云安的移动信息安全工程师认为,目前常见的移动黑产多是利用APP漏洞,植入病毒木马绑架成为“肉鸡”,成为僵尸应用,进而开展流量+数据黑产行为,实施盗刷并产生了大量无效激活数据。同时“暗扣黄赌”、“木马病毒”等非法应用的流量分发行为及盗刷门、羊毛党等也多是利用漏洞进行应用劫持或者二次封装从而实现的,由此可见移动APP的安全漏洞无疑是黑产从业者眼中的“香饽饽”。
这其中非法牟取到的大量用户个人敏感信息,则又经其他渠道转手倒卖到借贷、房产、教育等诸多中介市场以进行电话营销轰炸,或开展进一步的电信欺诈行为。
对于移动黑产从业者来说,一根产业链条下来一举多得、稳赚不赔,又何乐而不为?
攻防安全,如何正确应对?
就像镜子的两面,每一个新的行业的兴起就必然会出现对应的“黑灰产业链”。对于志在搭乘移动互联网东风谋求快速发展的企业来说,如何应对层出不穷的移动安全风险漏洞及随之而来的业务攻击,只有提高防范重视,积极应对这一条途径了。
值得注意的是,目前随着攻击手段的不断丰富,APP的相关安全漏洞也不再局限于之前的反编译之流了。海云安的移动信息安全工程师介绍说,“APP风险漏洞已经从当初的单一应用软件漏洞,逐步延伸至通讯协议漏洞、网络交互协议攻击、网络代理、逆向欺诈等覆盖整个移动业务系统的系列安全漏洞。因此在采取积极的应对措施时,单一的安全防护手段可能就显得并不高明。”
而从整个移动业务安全的角度来看,企业采取覆盖整个移动业务系统的一体化安全防护才能称得上切实有效的安全策略。
海云安:国内专业的的移动信息安全服务商,以业内领先的众多安全技术产品和专家级的一体化安全技术服务方案,为微众银行、平安银行、恒大集团、天虹集团、顺丰速运等众多知名金融机构、政府、大中型企事业单位提供移动安全防护解决方案,同时为国家信息中心、公安部三所、国家安监总局等多家权威安全机构提供了专业的技术支撑支持服务。