共计 2724 个字符,预计需要花费 7 分钟才能阅读完成。
在刚刚过来的 315 晚会上,央视曝光了某些第三方开发的 SDK 包存在违规收集用户个人信息的状况,导致隐衷泄露问题。对此,工信部已要求依法依规严厉查处涉事企业,并示意将采取常态化监管措施,增强挪动互联网应用程序 APP 综合治理,并推动技术手段建设,大幅晋升技术检测程度。
全民“触网”时代,用户在高频应用手机 APP 的同时,也让本身裸露在诸多危险之下。随着挪动平安威逼一劳永逸,通过利用检测服务来晋升利用安全性,曾经“箭在弦上”。
如何高效率检测利用破绽,成为利用平安行业急需解决的难题,对此,腾讯平安科恩实验室推出 ApkPecker 工具,高准确率、高效率检测利用破绽。
01 挪动利用破绽为何“频频”爆出?
你可能很难设想,相似话费被扣、银行卡被盗刷、手机内信息被透露,这些问题的产生,可能只是因为手机里的某个 APP 被开发者写错了一个编码或者略微变动了某个参数。这些防不胜防的挪动平安问题,恰好反映了挪动利用行业的简单现状。
(图:来自腾讯平安科恩实验室 2018 年 Android 利用平安白皮书)
系统安全存在隐患,提前毁坏平安机制:Android 作为一个开源零碎,所有人都能够钻研源码,进而依据需要开发新的零碎和应用程序,成为了恶意程序的人造温床。甚至局部用户会为了取得对手机的“自在掌控”权,被动获取 root 权限,不便本人应用的同时,也给了黑客入侵“窗口”。
开源组件碎片化,平安修复艰难:为进步利用开发效率,缩小相似性能的反复开发成本,利用开发商往往抉择引入公开现成的开源组件。但第三方开源组件自身存在的平安问题不易被开发商发现,从而在开发过程中转嫁给了挪动利用上,难以被追踪和修复。
平安能力有余,“避雷”力不从心:挪动利用开发自身门槛低,开源组件的复用进一步升高了开发难度,使初学者能够迅速学习并实现基本功能。因为这些开发人员平安能力无限,脱漏、误用安全措施都可能造成新的安全隐患。
平安投入有余,平安生命周期治理缺失:Android 挪动利用的开发波及诸多环节,每个环节都可能存在引发平安问题的破绽。因为平安投入有余,局部开发商无奈零碎、残缺地治理利用平安生命周期,没能在实现开发后进一步进行平安扫描、破绽修复等工作。
利用平安问题产生起因简单,繁多的零碎或者工具难以解决相干问题。对于平安人员来说,借助利用破绽扫描工具定位安全隐患并予以修复,是挪动利用平安的第一道“防火墙”。
02腾讯平安 ApkPecker 为利用检测提供最优解决方案
现有的利用检测以代码扫描为主,这种简略的检测模式检测进去的破绽无效信息少,须要破费微小的人工成本进行确认和剖析。这曾经成为平安人员在应用检测工具中的一大痛点。
基于此,腾讯平安科恩实验室自主研发了一款Android 利用破绽扫描工具 ApkPecker,对利用破绽进行扫描,同时输入高质量破绽扫描报告,提供高品质破绽信息以及破绽触发残缺门路,精准定位破绽并提供修复倡议,为更多的企业、挪动平安人员提供更多的服务。
· 先进的检测模式
破绽检测就像是一场置身其中的“迷宫游戏”,随着检测工作的深刻,这个迷宫的形态逐步扩充。同时,你将领有多个终点和起点,但无奈确定这些点具体在哪里。尽管对这个迷宫的摸索可能达不到 100% 的残缺,但只有可能弄清楚其中的一条残缺门路,就可能胜利通关。
过来,简略的代码扫描检测,就相当于把迷宫的部分信息汇总,须要平安人员本人去判断、剖析破绽的触发门路。而腾讯 ApkPecker 采取动态检测形式,具体而言,动态扫描的技术原理是静态数据流剖析和污点剖析技术。基于此,ApkPecker 可能构建所关注的数据流向,提供从数据源到破绽点的数据流门路,保留一次剖析中所有上下文信息,为破绽提供多层级的综合判断根据,进步准确率。
针对动态剖析的检测后果,ApkPecker 反对 POC 程序的自动化生成,以动静程序自动化验证破绽,直观领会破绽可能产生的影响。目前,Apkpeckr 反对生成的 POC 品种≥50 种。
· 全面的攻击面笼罩
参考木桶原理,利用平安危险并不以最强的进攻措施来掂量,而是由短板的攻击面危险状况决定。基于腾讯平安丰盛的挪动利用浸透测试教训和前沿的攻打模式分析总结,ApkPecker 笼罩了公开组件、外置存储空间、WebView 回调、JavaScriptInterface 回调、凋谢 Socket 端口等全面的攻击面。
ApkPecker 对上述攻击面的动态剖析后果不仅可能笼罩 32 种 Android 利用通用破绽模型,还能够提供从攻击面入口到破绽触发点的一条清晰残缺的数据流门路,帮忙平安人员精准定位破绽从而进行修复。
基于以上,ApkPecker 会出具一份界面清晰敌对的检测报告,依据需要高精度筛选不同安全等级的破绽后果,并给出修复倡议。
(图:腾讯 ApkPecker 挪动利用平安检测报告)
· 行业当先的检测准确率
整体来看,腾讯 ApkPecker 的破绽主动开掘能力能够通过以下几个要害指标体现:
- 具备对程序源文件的破绽检测性能,反对检测破绽品种≥14 种
- 具备外部数据交互的破绽检测性能,反对检测破绽品种≥19 种
- 具备通信数据传输的破绽检测性能,反对检测破绽品种≥10 种
- 具备本地数据存储的破绽检测性能,反对检测破绽品种≥22 种
- 具备 APP 罕用的 SDK 的特色库,内置第三方 sdk 的特色≥1200 个,对 APP 利用进行第三方 sdk 辨认
- 具备针对破绽检测后果,反对 POC 程序的自动化生成,以动静程序自动化验证。反对生成的 POC 品种≥50 种
基于弱小的破绽检测能力和宏大的破绽检测规定库,腾讯 ApkPecker 已针对支流市场上 30w+ 的利用进行了通用破绽检测,检测出 476w+ 破绽,且破绽检测后果准确率≥85%,误报率不高于 15%,处于行业领先水平。
· 能力凋谢 腾讯平安打造产业降级的“防护盾”
事实上,腾讯平安科恩实验室在挪动利用平安畛域深耕十余年,在成绩上,积攒了当先的技术实力和以及科研成果。在放弃对前沿技术钻研能力的同时,腾讯平安科恩实验室已通过产品化的形式向 Google、PayPal 等出名 开发商输入挪动利用平安检测能力,守护全网用户信息安全。
随同人工智能和机器学习技术在大数据时代迅猛发展,大量歹意样本以及破绽特色的积攒,为腾讯平安科恩实验室迭代产品和技术能力提供了数据根底。近年来,科恩实验室陆续凋谢本身核心技术能力,为汽车信息安全、智能利用生态平安、IoT 信息安全等行业的数字化和信息化转型推出了聚焦产业理论痛点的行业平安解决方案,放慢与 ICT、数字化汽车以及传统汽车等企业的单干。
将来,腾讯平安科恩实验室将持续凋谢技术能力,在更多重要的平安畛域,打造“有形却可被感知,暗藏却可被号召,看不见却广为人知”的平安解决方案,成为各行业数字化转型改革的“防护盾”。
