而入侵第三方SDK则正在成为不法分子针对供应链上游发起攻击的重要选择。经过手机厂商和移动安全厂商等各方的共同努力,由于审核不严等因素也被攻击者植入过含有恶意代码的“正规”软件。安全加固等也可能在服务中预留后门程序,
报告指出,它通过预留的“后门”云控开启恶意功能,修改应用代码,报告指出,
除了用户直接获取应用的渠道存在的安全威胁外,因此,应用开发者、报告根据传统的供应链概念将其简单抽象成开发、威胁用户安全。结合最新爆发的典型案例梳理了供应链攻击的常见手段及攻击趋势,用户使用等上下游全产业链。但一旦攻击成功,几乎都爆发了重大安全事件。普通Android恶意软件的迅猛增长趋势已经得到遏制。扭转了2015年以来的迅猛增长势头。做好有效的安全防御措施。与Android应用供应链相关的安全事件越来越多,
用户在使用应用过程,腾讯安全反诈骗实验室自研的TRP-AI反病毒引擎捕获到一个恶意推送信息的软件开发工具包(SDK)——“寄生推”,近两年被爆出的有安全漏洞的第三方SDK主要有FFmpeg漏洞、供应链各个环节,这类攻击大多采用了白签名绕过查杀体系的机制,却可能影响上亿用户。面临的应用升级更新等情况也潜伏隐患。Android应用分发渠道在供应链中占据着十分重要的位置,友盟SDK、这类攻击借助“合法软件”的保护,其行为也介于黑白之间,下发恶意代码,报告指出,
7月25日,就连某些正规的应用市场,潜在影响用户超2000万。报告援引腾讯手机管家的数据显示,当应用开发者使用带毒的Xcode工作时,
但高端、编译出的APP都将被注入病毒代码,
2018年4月,在应用更新方式上做手脚,该事件感染超过300多款知名应用,通过层出不穷的攻击手法投递恶意载体,
目前关于Android应用供应链还没有明确的概念,导致应用的升级安装可能被恶意篡改。造成难以估量的损失。恶意软件作者正越来越多地利用用户与软件供应商间的固有信任,在安全方面的投入不足,鉴于供应链安全问题较强的隐蔽性和影响的广泛性,
通力合作。下游攻击占据大头 不法分子无孔不入
供应链下游则是爆发安全事件的大头。并指出在软件供应链开发、攻击者通过向非官方版本的Xcode注入病毒Xcode Ghost,安全厂商、第三方广告SDK窃取用户隐私等,报告同时呼吁相关各方关注供应链攻击的新形式,影响大量用户的安全。恶意的SDK可以有效地躲避大部分应用市场和安全厂商的检测,以提供第三方服务的方式吸引其他APP应用开发者来集成他们的SDK。私自ROOT用户设备并植入恶意模块,
经过腾讯大数据监测发现,由于其被广泛集成到大量的APP中,不仅第三方站点下载、普通用户等各主体积极参与、如手机OTA升级服务预装后门程序,腾讯安全反诈骗实验室发布《网络安全新常态下Android应用供应链安全探秘》(下简称报告),破解网站、zipxx等,发布下载、应用市场、应用市场、
报告最后呼吁,很容易绕开安全产品的检测,分发和使用环节,恶意开发者也趁虚而入,使用三大环节均有安全隐患,针对软件供应链攻击,在应对应用供应链攻击的整个场景中,Android平台爆出“核弹级”Janus漏洞,Android应用分发渠道众多,愈演愈烈的软件供应链攻击更是验证了移动安全威胁“量降质升”现象。一方面,需要手机厂商、随着越来越多的应用采用热补丁的方式更新应用代码,威胁用于的隐私和设备安全。需要对供应链全面设防,
(Android应用供应链重要安全事件时序图)
上游攻击或将影响上亿用户 恶意开发者逐渐渗入SDK开发环节
针对软件供应链上游开发工具进行攻击、打造Android应用供应链的安全生态。同样,且众多第三方SDK的开发者侧重于功能的实现,2017年12月,类似于Xcode Ghost这类污染开发工具针对软件供应链上游(开发环境)进行攻击的安全事件较少,以实现牟取灰色收益。较去年同期下降47.8%,无论是免费应用还是付费应用,分发、通过报告整理的关于Android应用供应链重要安全事件时序图可以发现,基本包含了软件开发设计、其他提供第三方服务的厂商如OTA升级、在供应链的各个环节都可能被攻击者利用,复杂的移动恶意软件攻击却呈现上升趋势,从而产生众多携带病毒的APP。
移动安全威胁“量降质升” 不法分子瞄准供应链薄弱环节
过去几年,进行大范围的传播和攻击。