7月25日，騰訊安全反詐騙實驗室發(fā)布《網(wǎng)絡安全新常態(tài)下Android應用供應鏈安全探秘》(下簡稱報告)，結合最新爆發(fā)的典型案例梳理了供應鏈攻擊的常見手段及攻擊趨勢，并指出在軟件供應鏈開發(fā)、分發(fā)、使用三大環(huán)節(jié)均有安全隱患，爆發(fā)了多起影響重大的安全事件。鑒于供應鏈安全問題較強的隱蔽性和影響的廣泛性，報告同時呼吁相關各方關注供應鏈攻擊的新形式，做好有效的安全防御措施。

移動安全威脅“量降質升” 不法分子瞄準供應鏈薄弱環(huán)節(jié)

過去幾年，經(jīng)過手機廠商和移動安全廠商等各方的共同努力，普通Android惡意軟件的迅猛增長趨勢已經(jīng)得到遏制。報告援引騰訊手機管家的數(shù)據(jù)顯示，2018年上半年Android平臺新增惡意樣本數(shù)468.70萬，較去年同期下降47.8%，扭轉了2015年以來的迅猛增長勢頭。

但高端、復雜的移動惡意軟件攻擊卻呈現(xiàn)上升趨勢，愈演愈烈的軟件供應鏈攻擊更是驗證了移動安全威脅“量降質升”現(xiàn)象。報告指出，惡意攻擊者逐漸將目光投向供應鏈中最薄弱的一環(huán)，如手機OTA升級服務預裝后門程序，第三方廣告SDK竊取用戶隱私等，這類攻擊借助“合法軟件”的保護，很容易繞開安全產(chǎn)品的檢測，進行大范圍的傳播和攻擊。

經(jīng)過騰訊大數(shù)據(jù)監(jiān)測發(fā)現(xiàn)，近年來，與Android應用供應鏈相關的安全事件越來越多，惡意軟件作者正越來越多地利用用戶與軟件供應商間的固有信任，通過層出不窮的攻擊手法投遞惡意載體，造成難以估量的損失。

目前關于Android應用供應鏈還沒有明確的概念，報告根據(jù)傳統(tǒng)的供應鏈概念將其簡單抽象成開發(fā)、分發(fā)和使用環(huán)節(jié)，基本包含了軟件開發(fā)設計、發(fā)布下載、用戶使用等上下游全產(chǎn)業(yè)鏈。通過報告整理的關于Android應用供應鏈重要安全事件時序圖可以發(fā)現(xiàn)，供應鏈各個環(huán)節(jié)，幾乎都爆發(fā)了重大安全事件。

(Android應用供應鏈重要安全事件時序圖)

上游攻擊或將影響上億用戶 惡意開發(fā)者逐漸滲入SDK開發(fā)環(huán)節(jié)

針對軟件供應鏈上游開發(fā)工具進行攻擊、影響最為廣泛的莫過于2015年的Xcode非官方版本惡意代碼污染事件。攻擊者通過向非官方版本的Xcode注入病毒Xcode Ghost，當應用開發(fā)者使用帶毒的Xcode工作時，編譯出的APP都將被注入病毒代碼，從而產(chǎn)生眾多攜帶病毒的APP。

報告指出，類似于Xcode Ghost這類污染開發(fā)工具針對軟件供應鏈上游(開發(fā)環(huán)境)進行攻擊的安全事件較少，但一旦攻擊成功，卻可能影響上億用戶。

而入侵第三方SDK則正在成為不法分子針對供應鏈上游發(fā)起攻擊的重要選擇。報告指出，一方面，第三方SDK的開發(fā)者的安全能力水平參差不齊，且眾多第三方SDK的開發(fā)者側重于功能的實現(xiàn)，在安全方面的投入不足，近兩年被爆出的有安全漏洞的第三方SDK主要有FFmpeg漏洞、友盟SDK、zipxx等，由于其被廣泛集成到大量的APP中，漏洞的影響范圍非常大;另一方面，部分惡意開發(fā)者滲入了SDK開發(fā)環(huán)節(jié)，以提供第三方服務的方式吸引其他APP應用開發(fā)者來集成他們的SDK。借助這些合法應用，惡意的SDK可以有效地躲避大部分應用市場和安全廠商的檢測，影響大量用戶的安全。

2018年4月，騰訊安全反詐騙實驗室自研的TRP-AI反病毒引擎捕獲到一個惡意推送信息的軟件開發(fā)工具包(SDK)——“寄生推”，它通過預留的“后門”云控開啟惡意功能，私自ROOT用戶設備并植入惡意模塊，進行惡意廣告行為和應用推廣，以實現(xiàn)牟取灰色收益。該事件感染超過300多款知名應用，潛在影響用戶超2000萬。

下游攻擊占據(jù)大頭 不法分子無孔不入

供應鏈下游則是爆發(fā)安全事件的大頭。報告指出，Android應用分發(fā)渠道在供應鏈中占據(jù)著十分重要的位置，也是安全問題頻發(fā)的環(huán)節(jié)。Android應用分發(fā)渠道眾多，應用市場、廠商預裝、破解網(wǎng)站、ROM內置等都是用戶獲取應用的常見方式。不僅第三方站點下載、破解應用等灰色供應鏈中獲取的軟件極易被植入惡意代碼，就連某些正規(guī)的應用市場，由于審核不嚴等因素也被攻擊者植入過含有惡意代碼的“正規(guī)”軟件。

除了用戶直接獲取應用的渠道存在的安全威脅外，其他提供第三方服務的廠商如OTA升級、安全加固等也可能在服務中預留后門程序，威脅用于的隱私和設備安全。這類攻擊大多采用了白簽名繞過查殺體系的機制，其行為也介于黑白之間，從影響用戶數(shù)來說遠超一般的漏洞利用類攻擊。

用戶在使用應用過程，面臨的應用升級更新等情況也潛伏隱患。2017年12月，Android平臺爆出“核彈級”Janus漏洞，能在不影響應用簽名的情況下，修改應用代碼，導致應用的升級安裝可能被惡意篡改。同樣，隨著越來越多的應用采用熱補丁的方式更新應用代碼，惡意開發(fā)者也趁虛而入，在應用更新方式上做手腳，下發(fā)惡意代碼，威脅用戶安全。

報告最后呼吁，針對軟件供應鏈攻擊，無論是免費應用還是付費應用，在供應鏈的各個環(huán)節(jié)都可能被攻擊者利用，因此，需要對供應鏈全面設防，打造Android應用供應鏈的安全生態(tài)。在應對應用供應鏈攻擊的整個場景中，需要手機廠商、應用開發(fā)者、應用市場、安全廠商、普通用戶等各主體積極參與、通力合作。

生成海報

免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產(chǎn)權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。