騰訊安全自研曝光APP漏洞風(fēng)險(xiǎn),騰訊Apkpecker提供自動(dòng)化應(yīng)用檢測(cè)服務(wù)

  • 人閱讀
  • 2020-07-21 17:47:12

  • 來(lái)源:西盟科技資訊

  • 相關(guān)關(guān)鍵詞

7月16日晚,央視3·15晚會(huì)拉開(kāi)大幕,再次敲響了消費(fèi)領(lǐng)域的警鐘。據(jù)央視報(bào)道,上海市消費(fèi)者權(quán)益保護(hù)委員會(huì)委托第三方對(duì)市場(chǎng)上的App進(jìn)行檢測(cè),發(fā)現(xiàn)某些第三方開(kāi)發(fā)的SDK包存在違規(guī)收集用戶(hù)個(gè)人信息的情況。日前,工信部已要求嚴(yán)厲查處涉事企業(yè),并責(zé)成國(guó)內(nèi)主要應(yīng)用商店展開(kāi)“地毯式”排查,及時(shí)通知APP運(yùn)營(yíng)開(kāi)發(fā)者自查自糾,及時(shí)發(fā)現(xiàn)、處理違規(guī)收集用戶(hù)個(gè)人信息的SDK。

第三方SDK泄露隱私問(wèn)題的暴露,意味著安全風(fēng)險(xiǎn)檢測(cè)在應(yīng)用開(kāi)發(fā)與運(yùn)營(yíng)過(guò)程中非常關(guān)鍵,APP需要全方位、全生命周期的安全檢測(cè)與管理,以確保廣大用戶(hù)的信息安全。

騰訊安全自研的自動(dòng)化Android應(yīng)用漏洞掃描系統(tǒng)——ApkPecker,能夠進(jìn)行高效的安全漏洞掃描,精準(zhǔn)定位漏洞并提供修復(fù)建議,提升應(yīng)用安全性。針對(duì)第三方SDK,ApkPecker可以精準(zhǔn)識(shí)別各類(lèi)風(fēng)險(xiǎn)漏洞,助力應(yīng)用開(kāi)發(fā)者及時(shí)防御,有效對(duì)抗。

  大量APP存在SDK漏洞,移動(dòng)應(yīng)用需要全方位檢測(cè)

移動(dòng)應(yīng)用從開(kāi)發(fā)、上架到用戶(hù)實(shí)際交互使用涉及多個(gè)環(huán)節(jié),每個(gè)環(huán)節(jié)都存在引發(fā)安全問(wèn)題的諸多因素。

SDK(Software Development Kit),全名軟件開(kāi)發(fā)工具包,是用來(lái)輔助開(kāi)發(fā)某一類(lèi)軟件的相關(guān)文檔、范例和工具的集合。有了這些第三方的SDK,APP就能高效而低成本地實(shí)現(xiàn)社交、支付、地圖等功能;但由于開(kāi)發(fā)者的安全能力有限、安全能力不足,同時(shí)也會(huì)不可避免地帶來(lái)一些未知風(fēng)險(xiǎn)。

以央視3·15曝光的SDK問(wèn)題為例,第三方SDK除了會(huì)讀取設(shè)備的運(yùn)營(yíng)商信息、電話(huà)號(hào)碼、短信記錄外,還會(huì)上傳用戶(hù)手機(jī)中的短信內(nèi)容,包括帶有驗(yàn)證碼的短信。短信驗(yàn)證碼是App驗(yàn)證用戶(hù)身份的重要手段,通過(guò)短信驗(yàn)證碼可以完成開(kāi)通業(yè)務(wù)、支付款項(xiàng)等多項(xiàng)敏感操作,一旦泄露將嚴(yán)重危害用戶(hù)的財(cái)務(wù)安全。

騰訊安全自研曝光APP漏洞風(fēng)險(xiǎn),騰訊Apkpecker提供自動(dòng)化應(yīng)用檢測(cè)服務(wù)

(圖:2020年3·15晚會(huì)視頻截圖)

伴隨移動(dòng)應(yīng)用開(kāi)發(fā)技術(shù)的飛速發(fā)展,除第三方SDK泄露隱私外,惡意破解、盜版、核心代碼被竊取、惡意代碼注入、APP劫持、移動(dòng)業(yè)務(wù)攻擊等安全風(fēng)險(xiǎn),可能存在于應(yīng)用開(kāi)發(fā)、分發(fā)與使用的各個(gè)環(huán)節(jié)。因此,移動(dòng)應(yīng)用安全防御需要產(chǎn)業(yè)鏈各個(gè)角色參與。

騰訊ApkPecker高效、準(zhǔn)確助力行業(yè)加固移動(dòng)應(yīng)用安全

騰訊安全自研的面向攻擊面的Android應(yīng)用檢測(cè)系統(tǒng)ApkPecker,可以幫助行業(yè)上下游完成相關(guān)安全風(fēng)險(xiǎn)檢測(cè)與控制工作。在Apkpecker的助力下,廣大移動(dòng)應(yīng)用開(kāi)發(fā)商可以對(duì)各種移動(dòng)應(yīng)用風(fēng)險(xiǎn)進(jìn)行有力的防御,建立從APP開(kāi)發(fā)到用戶(hù)交互的產(chǎn)品全生命周期的安全管理,開(kāi)展實(shí)時(shí)的安全風(fēng)險(xiǎn)檢測(cè)與控制,為用戶(hù)的手機(jī)信息、財(cái)產(chǎn)安全保駕護(hù)航。

據(jù)了解,ApkPecker漏洞檢測(cè)流程包括構(gòu)建控制流圖、靜態(tài)數(shù)據(jù)流分析和污點(diǎn)分析、漏洞挖掘以及出具漏洞檢測(cè)結(jié)果四個(gè)關(guān)鍵步驟。其中,控制流圖主要針對(duì)Android應(yīng)用生命周期和應(yīng)用攻擊面建模;數(shù)據(jù)流分析和污點(diǎn)分析能夠構(gòu)建所關(guān)注的數(shù)據(jù)流向,提供數(shù)據(jù)源到漏洞點(diǎn)的數(shù)據(jù)流路徑構(gòu)建能力,包括Forward 和Backward 兩種分析模式;漏洞挖掘覆蓋了公開(kāi)組建、外置存儲(chǔ)空間、WebView回調(diào)、JavaScriptInterface回調(diào)、開(kāi)放Socket端口等全面的攻擊面,基本覆蓋Android應(yīng)用中出現(xiàn)的問(wèn)題。

ApkPecker的核心優(yōu)勢(shì)有三。一是檢測(cè)方法更精確,通過(guò)控制流分析、數(shù)據(jù)流分析和靜態(tài)污點(diǎn)分析,ApkPecker能夠盡可能地恢復(fù)數(shù)據(jù)信息,進(jìn)行多層級(jí)的綜合判斷。二是漏洞檢測(cè)點(diǎn)更有效,ApkPecker基于騰訊安全以往經(jīng)驗(yàn)的總結(jié),能夠發(fā)現(xiàn)危害性、利用性更高的漏洞。三是攻擊路徑更完整、更易于驗(yàn)證。ApkPecker跟蹤從攻擊面入口到漏洞觸發(fā)的完整路徑,能夠大大提高漏洞分析的效率。

通過(guò)一系列高效、完備、準(zhǔn)確的漏洞檢測(cè)流程,ApkPeckerP已經(jīng)具備了控制管理和APP漏洞自動(dòng)挖掘能力,能夠?qū)崿F(xiàn)程序源文件、內(nèi)部數(shù)據(jù)交互、APP防御、第三方SDK等多維度的漏洞檢測(cè)。

騰訊安全自研曝光APP漏洞風(fēng)險(xiǎn),騰訊Apkpecker提供自動(dòng)化應(yīng)用檢測(cè)服務(wù)

(圖:ApkPecker移動(dòng)應(yīng)用安全檢測(cè)報(bào)告)

目前,Apkpecker的安全檢測(cè)能力已被持續(xù)驗(yàn)證并獲得認(rèn)可。譬如,Apkpecker于去年8月集成了騰訊金剛檢測(cè)系統(tǒng),為騰訊自研APP安全保駕護(hù)航;在國(guó)內(nèi)外100+知名APP中發(fā)現(xiàn)160+可利用安全漏洞,漏洞反饋獲得Google 官方認(rèn)可;檢測(cè)到PayPal旗下Venmo應(yīng)用價(jià)值1W美元的遠(yuǎn)程賬號(hào)劫持漏洞等。

Apkpecker由騰訊安全聯(lián)合實(shí)驗(yàn)室旗下的科恩實(shí)驗(yàn)室研發(fā)。作為騰訊安全旗下的信息安全團(tuán)隊(duì),騰訊安全科恩實(shí)驗(yàn)室的技術(shù)實(shí)力和科研成果處于國(guó)際領(lǐng)先水平,是世界范圍內(nèi)由廠商官方確認(rèn)發(fā)現(xiàn)計(jì)算機(jī)漏洞數(shù)量最多、最了解突破現(xiàn)代安全保護(hù)技術(shù)的專(zhuān)業(yè)安全團(tuán)隊(duì)之一。隨著更多ICT新技術(shù)進(jìn)入產(chǎn)業(yè)互聯(lián)網(wǎng),騰訊安全科恩實(shí)驗(yàn)室還將向智能網(wǎng)聯(lián)汽車(chē)、安卓應(yīng)用生態(tài)、IoT等行業(yè)開(kāi)放核心技術(shù)能力,并根據(jù)產(chǎn)業(yè)實(shí)際痛點(diǎn)和深度研究推出相關(guān)行業(yè)信息安全解決方案,為各行業(yè)安全生態(tài)建設(shè)和健康發(fā)展貢獻(xiàn)力量。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )