在剛剛過去的315晚會上,央視曝光了某些第三方開發的SDK包存在違規收集用戶我的信息的狀況,致使隱私泄露問題。對此,工信部已要求依法依規嚴厲查處涉事企業,並表示將採起常態化監管措施,增強移動互聯網應用程序APP綜合治理,並推進技術手段建設,大幅提高技術檢測水平。安全
全民「觸網」時代,用戶在高頻使用手機APP的同時,也讓自身暴露在諸多風險之下。隨着移動安全威脅與日俱增,經過應用檢測服務來提高應用安全性,已經「箭在弦上」。機器學習
如何高效率檢測應用漏洞,成爲應用安全行業急需解決的難題,對此,騰訊安全科恩實驗室推出ApkPecker工具,高準確率、高效率檢測應用漏洞。工具
01移動應用漏洞爲什麼「頻頻」爆出?學習
你可能很難想象,相似話費被扣、銀行卡被盜刷、手機內信息被泄漏,這些問題的產生,可能只是由於手機裏的某個APP被開發者寫錯了一個編碼或者稍微變更了某個參數。這些防不勝防的移動安全問題,剛好反映了移動應用行業的複雜現狀。測試
(圖:來自騰訊安全科恩實驗室2018年Android應用安全白皮書)大數據
系統安全存在隱患,提早破壞安全機制:Android做爲一個開源系統,全部人均可以研究源碼,進而根據需求開發新的系統和應用程序,成爲了惡意程序的自然溫牀。甚至部分用戶會爲了得到對手機的「自由掌控」權,主動獲取root權限,方便本身使用的同時,也給了黑客入侵「窗口」。編碼
開源組件碎片化,安全修復困難:爲提升應用開發效率,減小相似功能的重複開發成本,應用開發商每每選擇引入公開現成的開源組件。但第三方開源組件自己存在的安全問題不易被開發商發現,從而在開發過程當中轉嫁給了移動應用上,難以被追蹤和修復。人工智能
安全能力不足,「避雷」力不從心:移動應用開發自己門檻低,開源組件的複用進一步下降了開發難度,使初學者能夠迅速學習並實現基本功能。因爲這些開發人員安全能力有限,遺漏、誤用安全措施均可能形成新的安全隱患。spa
安全投入不足,安全生命週期管理缺失:Android 移動應用的開發涉及諸多環節,每一個環節均可能存在引起安全問題的漏洞。因爲安全投入不足,部分開發商沒法系統、完整地管理應用安全生命週期,沒能在完成開發後進一步進行安全掃描、漏洞修復等工做。移動應用開發
應用安全問題產生緣由複雜,單一的系統或者工具難以解決相關問題。對於安全人員來講,藉助應用漏洞掃描工具定位安全隱患並予以修復,是移動應用安全的第一道 「防火牆」。
02騰訊安全ApkPecker 爲應用檢測提供最優解決方案
現有的應用檢測以代碼掃描爲主,這種簡單的檢測模式檢測出來的漏洞有效信息少,須要花費巨大的人工成本進行確認和分析。這已經成爲安全人員在使用檢測工具中的一大痛點。
基於此,騰訊安全科恩實驗室自主研發了一款Android 應用漏洞掃描工具ApkPecker,對應用漏洞進行掃描,同時輸出高質量漏洞掃描報告,提供高品質漏洞信息以及漏洞觸發完整路徑,精準定位漏洞並提供修復建議,爲更多的企業、移動安全人員提供更多的服務。
· 先進的檢測模式
漏洞檢測就像是一場置身其中的「迷宮遊戲」,隨着檢測工做的深刻,這個迷宮的形狀逐漸擴大。同時,你將擁有多個起點和終點,但沒法肯定這些點具體在哪裏。雖然對這個迷宮的探索可能達不到100%的完整,但只要可以弄清楚其中的一條完整路徑,就可以成功通關。
過去,簡單的代碼掃描檢測,就至關於把迷宮的局部信息彙總,須要安全人員本身去判斷、分析漏洞的觸發路徑。而騰訊ApkPecker採起靜態檢測方式,具體而言,靜態掃描的技術原理是靜態數據流分析和污點分析技術。基於此,ApkPecker可以構建所關注的數據流向,提供從數據源到漏洞點的數據流路徑,保存一次分析中全部上下文信息,爲漏洞提供多層級的綜合判斷依據,提升準確率。
針對靜態分析的檢測結果,ApkPecker支持POC程序的自動化生成,以動態程序自動化驗證漏洞,直觀體會漏洞可能產生的影響。目前,Apkpeckr支持生成的POC種類≥50 種。
· 全面的攻擊面覆蓋
參考木桶原理,應用安全風險並不以最強的防護措施來衡量,而是由短板的攻擊面風險狀況決定。基於騰訊安全豐富的移動應用滲透測試經驗和前沿的攻擊模式分析總結,ApkPecker覆蓋了公開組件、外置存儲空間、WebView回調、JavaScriptInterface回調、開放Socket端口等全面的攻擊面。
ApkPecker對上述攻擊面的靜態分析結果不只可以覆蓋32種Android應用通用漏洞模型,還能夠提供從攻擊面入口到漏洞觸發點的一條清晰完整的數據流路徑,幫助安全人員精準定位漏洞從而進行修復。
基於以上,ApkPecker會出具一份界面清晰友好的檢測報告,根據需求高精度篩選不一樣安全等級的漏洞結果,並給出修復建議。
(圖:騰訊ApkPecker移動應用安全檢測報告)
· 行業領先的檢測準確率
總體來看,騰訊ApkPecker 的漏洞自動挖掘能力能夠經過如下幾個關鍵指標體現:
-
具有對程序源文件的漏洞檢測功能,支持檢測漏洞種類≥14種
-
具有內部數據交互的漏洞檢測功能,支持檢測漏洞種類≥19種
-
具有通訊數據傳輸的漏洞檢測功能,支持檢測漏洞種類≥10種
-
具有本地數據存儲的漏洞檢測功能,支持檢測漏洞種類≥22種
-
具有APP經常使用的SDK的特徵庫,內置第三方sdk的特徵≥1200個,對APP應用進行第三方sdk識別
-
具有針對漏洞檢測結果,支持POC程序的自動化生成,以動態程序自動化驗證。支持生成的POC種類≥50種
基於強大的漏洞檢測能力和龐大的漏洞檢測規則庫,騰訊ApkPecker已針對主流市場上30w+的應用進行了通用漏洞檢測,檢測出476w+漏洞,且漏洞檢測結果準確率≥85%,誤報率不高於15%,處於行業領先水平。
03能力開放 騰訊安全打造產業升級的「防禦盾」
事實上,騰訊安全科恩實驗室在移動應用安全領域深耕十餘年,在成果上,積累了領先的技術實力和以及科研成果。在保持對前沿技術研究能力的同時,騰訊安全科恩實驗室已經過產品化的方式向Google、PayPal等知名 開發商輸出移動應用安全檢測能力,守護全網用戶信息安全。
伴隨人工智能和機器學習技術在大數據時代迅猛發展,大量惡意樣本以及漏洞特徵的積累,爲騰訊安全科恩實驗室迭代產品和技術能力提供了數據基礎。近年來,科恩實驗室陸續開放自身核心技術能力,爲汽車信息安全、智能應用生態安全、IoT信息安全等行業的數字化和信息化轉型推出了聚焦產業實際痛點的行業安全解決方案,加快與ICT、數字化汽車以及傳統汽車等企業的合做。
將來,騰訊安全科恩實驗室將繼續開放技術能力,在更多重要的安全領域,打造 「無形卻可被感知,隱藏卻可被召喚,看不見卻廣爲人知」的安全解決方案,成爲各行業數字化轉型改革的 「防禦盾」。