移動數(shù)據(jù)竊?�。汗蚕響?yīng)用庫帶來的風險
2017年08月30日
研究人員表示很多移動應(yīng)用使用的共享第三方庫可能通過“庫內(nèi)串通”增加移動數(shù)據(jù)被盜的風險�����。
英國劍橋大學(xué)羅賓遜學(xué)院教授Alastair Beresford以及牛津大學(xué)博士生Vincent Taylor及副教授Ivan Martinovic在論文《Intra-Library Collusion: A Potential Privacy Nightmare on Smartphones》中詳細談到了這個問題�����。
根據(jù)研究人員介紹�,這個問題經(jīng)常被忽視�,因為移動安全“通常會分別檢查應(yīng)用和第三方庫”,但是��,他們聲稱如果這些共享庫被同時用于移動數(shù)據(jù)盜竊����,可能會造成更大損失�����。
“這種攻擊�����,我們稱之為庫內(nèi)串通����,當單個庫嵌入到設(shè)備的多個應(yīng)用就可能發(fā)生這種攻擊�����,它可利用組合權(quán)限來竊取敏感用戶數(shù)據(jù)�����,”研究人員寫道����,“庫內(nèi)串通攻擊的存在是因為���,如果庫包含與主機應(yīng)用及流行庫相同權(quán)限����,則可能被設(shè)備中多個應(yīng)用使用?��!?/span>
該研究小組共研究3萬部智能手機�,他們發(fā)現(xiàn)由于不同應(yīng)用被授予不同權(quán)限���,惡意攻擊者可整合每個應(yīng)用的權(quán)限�,以構(gòu)建用戶配置文件或執(zhí)行移動數(shù)據(jù)竊取��。
應(yīng)用安全軟件供應(yīng)商Checkmarx公司應(yīng)用安全戰(zhàn)略全球主管Matthew Rose稱����,惡意攻擊者可使用多種方法來感染共享庫。
“通常來看��,第三方庫由維護代碼庫的人員來維護�����。由于這些庫有很多貢獻者�,有時候很難讓一個人來負責整個庫代碼���,而這可能會允許被插入惡意代碼,”Rose指出���,“還存在另一個問題��,這些庫可能繼承其他代碼庫的功能�,所以在風險和對現(xiàn)有第三方庫的利用方面存在相互作用�����?����!?/span>
研究人員表示��,廣告庫可能獲得額外權(quán)限�,這使得這種攻擊更加危險����,因為這些庫可未經(jīng)用戶同意下跟蹤用戶。
該研究側(cè)重于Android系統(tǒng)��,這是由于Android設(shè)備安裝的應(yīng)用列表數(shù)據(jù)可用,但該研究小組指出他們認為在iOS上也同樣是如此����,因為iOS系統(tǒng)存在相似的訪問控制和應(yīng)用部署。
截至發(fā)稿時���,谷歌和蘋果公司都沒有對此發(fā)表任何評論��。
移動數(shù)據(jù)盜竊和權(quán)限變化
不幸的是���,研究人員并沒有簡單的解決方案來緩解庫內(nèi)串通導(dǎo)致的移動數(shù)據(jù)盜竊風險。這些研究人員指出有一種方法可限制授予這些庫的權(quán)限�����,但這樣做可能會影響開發(fā)人員通過其應(yīng)用獲利的能力����,這會對“進入市場的新應(yīng)用開發(fā)人員造成威懾,而最終也可能會讓用戶受到影響”��。
此外����,該研究小組建議����,運營應(yīng)用商店的企業(yè)或者國家機構(gòu)可指定政策或法律來檢測和刪除惡意的第三方庫�����,但每種方法都有各自的問題���。檢測很困難�,因為應(yīng)用可能有合法的理由將數(shù)據(jù)發(fā)送到設(shè)備外���,并且���,這種執(zhí)法可能無法超出應(yīng)用程序的范圍。
Fidelis Cybersecurity公司威脅情報經(jīng)理John Bambenek稱:“惡意庫可能不會被發(fā)現(xiàn)�����,但還有更簡單的竊取移動數(shù)據(jù)的方法��?���!?/span>
“為了執(zhí)行這種攻擊,惡意攻擊者需要創(chuàng)建一個庫��,由多個應(yīng)用程序使用��。隨后他們會說服用戶下載具有很多權(quán)限的應(yīng)用���,”Bambenek稱�,“在現(xiàn)實世界中�,惡意攻擊者首先會讓受害者安裝具有很多權(quán)限的應(yīng)用,因為這樣更直接和更容易�����。不過����,我認為在短期內(nèi)這種攻擊不會被武器化?����!?/span>
Rose稱�����,更重要的問題是“人們在安裝移動應(yīng)用時需要知道它需要什么權(quán)限”。
“這個應(yīng)用真的需要訪問你的文件系統(tǒng)�、地理位置或相機嗎?請想一下該移動應(yīng)用的預(yù)期用途是什么,并問自己是否需要比實際更多的權(quán)限��,”Rose說����,“如果權(quán)限請求與你的預(yù)期不符,則不要安裝或者授予權(quán)限�����?���!?/span>
Bambenek認為開發(fā)人員也需要謹慎小心,確保不會出現(xiàn)其應(yīng)用通過超越權(quán)限嘗試竊取移動數(shù)據(jù)����。
“移動開發(fā)人員以及一般開發(fā)人員都需要關(guān)注編碼安全性,以及最低權(quán)限�,”Bambenek稱,“開發(fā)人員應(yīng)該采用這種開發(fā)模式�,即編寫只進行必要操作的代碼����,這樣會非常有幫助�?!?/span>
轉(zhuǎn)載自:http://netsecurity.51cto.com/art/201708/548817.htm
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全、運維平臺建設(shè)�����、動漫設(shè)計���、軟件研發(fā)�����、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀����。公司遵循信息安全整體性的IATF模型���,從“人員素養(yǎng)”��、“制度流程”�����、“技術(shù)產(chǎn)品”三個視角提供全面�����、可信的方案�,業(yè)務(wù)涵蓋咨詢、評估���、規(guī)劃��、管控�����、建設(shè)��、培訓(xùn)等��。
