移動(dòng)數(shù)據(jù)竊?���。汗蚕響?yīng)用庫(kù)帶來(lái)的風(fēng)險(xiǎn)
2017年08月30日
研究人員表示很多移動(dòng)應(yīng)用使用的共享第三方庫(kù)可能通過(guò)“庫(kù)內(nèi)串通”增加移動(dòng)數(shù)據(jù)被盜的風(fēng)險(xiǎn)。
英國(guó)劍橋大學(xué)羅賓遜學(xué)院教授Alastair Beresford以及牛津大學(xué)博士生Vincent Taylor及副教授Ivan Martinovic在論文《Intra-Library Collusion: A Potential Privacy Nightmare on Smartphones》中詳細(xì)談到了這個(gè)問(wèn)題�����。
根據(jù)研究人員介紹���,這個(gè)問(wèn)題經(jīng)常被忽視���,因?yàn)橐苿?dòng)安全“通常會(huì)分別檢查應(yīng)用和第三方庫(kù)”,但是����,他們聲稱如果這些共享庫(kù)被同時(shí)用于移動(dòng)數(shù)據(jù)盜竊,可能會(huì)造成更大損失�。
“這種攻擊,我們稱之為庫(kù)內(nèi)串通,當(dāng)單個(gè)庫(kù)嵌入到設(shè)備的多個(gè)應(yīng)用就可能發(fā)生這種攻擊�,它可利用組合權(quán)限來(lái)竊取敏感用戶數(shù)據(jù),”研究人員寫道�,“庫(kù)內(nèi)串通攻擊的存在是因?yàn)椋绻麕?kù)包含與主機(jī)應(yīng)用及流行庫(kù)相同權(quán)限�����,則可能被設(shè)備中多個(gè)應(yīng)用使用��?����!?/span>
該研究小組共研究3萬(wàn)部智能手機(jī)�,他們發(fā)現(xiàn)由于不同應(yīng)用被授予不同權(quán)限,惡意攻擊者可整合每個(gè)應(yīng)用的權(quán)限��,以構(gòu)建用戶配置文件或執(zhí)行移動(dòng)數(shù)據(jù)竊取���。
應(yīng)用安全軟件供應(yīng)商Checkmarx公司應(yīng)用安全戰(zhàn)略全球主管Matthew Rose稱����,惡意攻擊者可使用多種方法來(lái)感染共享庫(kù)�����。
“通常來(lái)看����,第三方庫(kù)由維護(hù)代碼庫(kù)的人員來(lái)維護(hù)。由于這些庫(kù)有很多貢獻(xiàn)者��,有時(shí)候很難讓一個(gè)人來(lái)負(fù)責(zé)整個(gè)庫(kù)代碼����,而這可能會(huì)允許被插入惡意代碼,”Rose指出���,“還存在另一個(gè)問(wèn)題��,這些庫(kù)可能繼承其他代碼庫(kù)的功能����,所以在風(fēng)險(xiǎn)和對(duì)現(xiàn)有第三方庫(kù)的利用方面存在相互作用���?�!?/span>
研究人員表示�����,廣告庫(kù)可能獲得額外權(quán)限���,這使得這種攻擊更加危險(xiǎn)���,因?yàn)檫@些庫(kù)可未經(jīng)用戶同意下跟蹤用戶。
該研究側(cè)重于Android系統(tǒng)��,這是由于Android設(shè)備安裝的應(yīng)用列表數(shù)據(jù)可用�����,但該研究小組指出他們認(rèn)為在iOS上也同樣是如此�����,因?yàn)閕OS系統(tǒng)存在相似的訪問(wèn)控制和應(yīng)用部署���。
截至發(fā)稿時(shí)���,谷歌和蘋果公司都沒(méi)有對(duì)此發(fā)表任何評(píng)論。
移動(dòng)數(shù)據(jù)盜竊和權(quán)限變化
不幸的是��,研究人員并沒(méi)有簡(jiǎn)單的解決方案來(lái)緩解庫(kù)內(nèi)串通導(dǎo)致的移動(dòng)數(shù)據(jù)盜竊風(fēng)險(xiǎn)。這些研究人員指出有一種方法可限制授予這些庫(kù)的權(quán)限�����,但這樣做可能會(huì)影響開發(fā)人員通過(guò)其應(yīng)用獲利的能力����,這會(huì)對(duì)“進(jìn)入市場(chǎng)的新應(yīng)用開發(fā)人員造成威懾�����,而最終也可能會(huì)讓用戶受到影響”��。
此外���,該研究小組建議�����,運(yùn)營(yíng)應(yīng)用商店的企業(yè)或者國(guó)家機(jī)構(gòu)可指定政策或法律來(lái)檢測(cè)和刪除惡意的第三方庫(kù)��,但每種方法都有各自的問(wèn)題���。檢測(cè)很困難���,因?yàn)閼?yīng)用可能有合法的理由將數(shù)據(jù)發(fā)送到設(shè)備外,并且����,這種執(zhí)法可能無(wú)法超出應(yīng)用程序的范圍。
Fidelis Cybersecurity公司威脅情報(bào)經(jīng)理John Bambenek稱:“惡意庫(kù)可能不會(huì)被發(fā)現(xiàn)�����,但還有更簡(jiǎn)單的竊取移動(dòng)數(shù)據(jù)的方法��?!?/span>
“為了執(zhí)行這種攻擊,惡意攻擊者需要?jiǎng)?chuàng)建一個(gè)庫(kù)���,由多個(gè)應(yīng)用程序使用�。隨后他們會(huì)說(shuō)服用戶下載具有很多權(quán)限的應(yīng)用����,”Bambenek稱,“在現(xiàn)實(shí)世界中���,惡意攻擊者首先會(huì)讓受害者安裝具有很多權(quán)限的應(yīng)用���,因?yàn)檫@樣更直接和更容易���。不過(guò),我認(rèn)為在短期內(nèi)這種攻擊不會(huì)被武器化�����?���!?/span>
Rose稱��,更重要的問(wèn)題是“人們?cè)诎惭b移動(dòng)應(yīng)用時(shí)需要知道它需要什么權(quán)限”�。
“這個(gè)應(yīng)用真的需要訪問(wèn)你的文件系統(tǒng)、地理位置或相機(jī)嗎?請(qǐng)想一下該移動(dòng)應(yīng)用的預(yù)期用途是什么�,并問(wèn)自己是否需要比實(shí)際更多的權(quán)限,”Rose說(shuō)���,“如果權(quán)限請(qǐng)求與你的預(yù)期不符�,則不要安裝或者授予權(quán)限����?���!?/span>
Bambenek認(rèn)為開發(fā)人員也需要謹(jǐn)慎小心���,確保不會(huì)出現(xiàn)其應(yīng)用通過(guò)超越權(quán)限嘗試竊取移動(dòng)數(shù)據(jù)�。
“移動(dòng)開發(fā)人員以及一般開發(fā)人員都需要關(guān)注編碼安全性����,以及最低權(quán)限,”Bambenek稱����,“開發(fā)人員應(yīng)該采用這種開發(fā)模式,即編寫只進(jìn)行必要操作的代碼�,這樣會(huì)非常有幫助?����!?/span>
轉(zhuǎn)載自:http://netsecurity.51cto.com/art/201708/548817.htm
江蘇國(guó)駿信息科技有限公司在信息網(wǎng)絡(luò)安全���、運(yùn)維平臺(tái)建設(shè)�、動(dòng)漫設(shè)計(jì)、軟件研發(fā)����、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀。公司遵循信息安全整體性的IATF模型����,從“人員素養(yǎng)”、“制度流程”����、“技術(shù)產(chǎn)品”三個(gè)視角提供全面、可信的方案��,業(yè)務(wù)涵蓋咨詢�����、評(píng)估���、規(guī)劃、管控���、建設(shè)�、培訓(xùn)等�。
