2017年08月30日
研究人員表示很多移動(dòng)應(yīng)用使用的共享第三方庫可能通過“庫內(nèi)串通”增加移動(dòng)數(shù)據(jù)被盜的風(fēng)險(xiǎn)。
英國劍橋大學(xué)羅賓遜學(xué)院教授Alastair Beresford以及牛津大學(xué)博士生Vincent Taylor及副教授Ivan Martinovic在論文《Intra-Library Collusion: A Potential Privacy Nightmare on Smartphones》中詳細(xì)談到了這個(gè)問題。
根據(jù)研究人員介紹,這個(gè)問題經(jīng)常被忽視,因?yàn)橐苿?dòng)安全“通常會(huì)分別檢查應(yīng)用和第三方庫”,但是,他們聲稱如果這些共享庫被同時(shí)用于移動(dòng)數(shù)據(jù)盜竊,可能會(huì)造成更大損失。
“這種攻擊,我們稱之為庫內(nèi)串通,當(dāng)單個(gè)庫嵌入到設(shè)備的多個(gè)應(yīng)用就可能發(fā)生這種攻擊,它可利用組合權(quán)限來竊取敏感用戶數(shù)據(jù),”研究人員寫道,“庫內(nèi)串通攻擊的存在是因?yàn)椋绻麕彀c主機(jī)應(yīng)用及流行庫相同權(quán)限,則可能被設(shè)備中多個(gè)應(yīng)用使用。”
該研究小組共研究3萬部智能手機(jī),他們發(fā)現(xiàn)由于不同應(yīng)用被授予不同權(quán)限,惡意攻擊者可整合每個(gè)應(yīng)用的權(quán)限,以構(gòu)建用戶配置文件或執(zhí)行移動(dòng)數(shù)據(jù)竊取。
應(yīng)用安全軟件供應(yīng)商Checkmarx公司應(yīng)用安全戰(zhàn)略全球主管Matthew Rose稱,惡意攻擊者可使用多種方法來感染共享庫。
“通常來看,第三方庫由維護(hù)代碼庫的人員來維護(hù)。由于這些庫有很多貢獻(xiàn)者,有時(shí)候很難讓一個(gè)人來負(fù)責(zé)整個(gè)庫代碼,而這可能會(huì)允許被插入惡意代碼,”Rose指出,“還存在另一個(gè)問題,這些庫可能繼承其他代碼庫的功能,所以在風(fēng)險(xiǎn)和對現(xiàn)有第三方庫的利用方面存在相互作用。”
研究人員表示,廣告庫可能獲得額外權(quán)限,這使得這種攻擊更加危險(xiǎn),因?yàn)檫@些庫可未經(jīng)用戶同意下跟蹤用戶。
該研究側(cè)重于Android系統(tǒng),這是由于Android設(shè)備安裝的應(yīng)用列表數(shù)據(jù)可用,但該研究小組指出他們認(rèn)為在iOS上也同樣是如此,因?yàn)閕OS系統(tǒng)存在相似的訪問控制和應(yīng)用部署。
截至發(fā)稿時(shí),谷歌和蘋果公司都沒有對此發(fā)表任何評論。
移動(dòng)數(shù)據(jù)盜竊和權(quán)限變化
不幸的是,研究人員并沒有簡單的解決方案來緩解庫內(nèi)串通導(dǎo)致的移動(dòng)數(shù)據(jù)盜竊風(fēng)險(xiǎn)。這些研究人員指出有一種方法可限制授予這些庫的權(quán)限,但這樣做可能會(huì)影響開發(fā)人員通過其應(yīng)用獲利的能力,這會(huì)對“進(jìn)入市場的新應(yīng)用開發(fā)人員造成威懾,而最終也可能會(huì)讓用戶受到影響”。
此外,該研究小組建議,運(yùn)營應(yīng)用商店的企業(yè)或者國家機(jī)構(gòu)可指定政策或法律來檢測和刪除惡意的第三方庫,但每種方法都有各自的問題。檢測很困難,因?yàn)閼?yīng)用可能有合法的理由將數(shù)據(jù)發(fā)送到設(shè)備外,并且,這種執(zhí)法可能無法超出應(yīng)用程序的范圍。
Fidelis Cybersecurity公司威脅情報(bào)經(jīng)理John Bambenek稱:“惡意庫可能不會(huì)被發(fā)現(xiàn),但還有更簡單的竊取移動(dòng)數(shù)據(jù)的方法。”
“為了執(zhí)行這種攻擊,惡意攻擊者需要?jiǎng)?chuàng)建一個(gè)庫,由多個(gè)應(yīng)用程序使用。隨后他們會(huì)說服用戶下載具有很多權(quán)限的應(yīng)用,”Bambenek稱,“在現(xiàn)實(shí)世界中,惡意攻擊者首先會(huì)讓受害者安裝具有很多權(quán)限的應(yīng)用,因?yàn)檫@樣更直接和更容易。不過,我認(rèn)為在短期內(nèi)這種攻擊不會(huì)被武器化。”
Rose稱,更重要的問題是“人們在安裝移動(dòng)應(yīng)用時(shí)需要知道它需要什么權(quán)限”。
“這個(gè)應(yīng)用真的需要訪問你的文件系統(tǒng)、地理位置或相機(jī)嗎?請想一下該移動(dòng)應(yīng)用的預(yù)期用途是什么,并問自己是否需要比實(shí)際更多的權(quán)限,”Rose說,“如果權(quán)限請求與你的預(yù)期不符,則不要安裝或者授予權(quán)限。”
Bambenek認(rèn)為開發(fā)人員也需要謹(jǐn)慎小心,確保不會(huì)出現(xiàn)其應(yīng)用通過超越權(quán)限嘗試竊取移動(dòng)數(shù)據(jù)。
“移動(dòng)開發(fā)人員以及一般開發(fā)人員都需要關(guān)注編碼安全性,以及最低權(quán)限,”Bambenek稱,“開發(fā)人員應(yīng)該采用這種開發(fā)模式,即編寫只進(jìn)行必要操作的代碼,這樣會(huì)非常有幫助。”
轉(zhuǎn)載自:http://netsecurity.51cto.com/art/201708/548817.htm
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全、運(yùn)維平臺建設(shè)、動(dòng)漫設(shè)計(jì)、軟件研發(fā)、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀。公司遵循信息安全整體性的IATF模型,從“人員素養(yǎng)”、“制度流程”、“技術(shù)產(chǎn)品”三個(gè)視角提供全面、可信的方案,業(yè)務(wù)涵蓋咨詢、評估、規(guī)劃、管控、建設(shè)、培訓(xùn)等。