移動數(shù)據(jù)竊取:共享應用庫帶來的風險
2017年08月30日
研究人員表示很多移動應用使用的共享第三方庫可能通過“庫內(nèi)串通”增加移動數(shù)據(jù)被盜的風險��。
英國劍橋大學羅賓遜學院教授Alastair Beresford以及牛津大學博士生Vincent Taylor及副教授Ivan Martinovic在論文《Intra-Library Collusion: A Potential Privacy Nightmare on Smartphones》中詳細談到了這個問題����。
根據(jù)研究人員介紹,這個問題經(jīng)常被忽視���,因為移動安全“通常會分別檢查應用和第三方庫”��,但是��,他們聲稱如果這些共享庫被同時用于移動數(shù)據(jù)盜竊����,可能會造成更大損失���。
“這種攻擊��,我們稱之為庫內(nèi)串通�,當單個庫嵌入到設備的多個應用就可能發(fā)生這種攻擊,它可利用組合權限來竊取敏感用戶數(shù)據(jù)����,”研究人員寫道,“庫內(nèi)串通攻擊的存在是因為����,如果庫包含與主機應用及流行庫相同權限,則可能被設備中多個應用使用�����?�!?/span>
該研究小組共研究3萬部智能手機�,他們發(fā)現(xiàn)由于不同應用被授予不同權限,惡意攻擊者可整合每個應用的權限�,以構建用戶配置文件或執(zhí)行移動數(shù)據(jù)竊取。
應用安全軟件供應商Checkmarx公司應用安全戰(zhàn)略全球主管Matthew Rose稱��,惡意攻擊者可使用多種方法來感染共享庫���。
“通常來看,第三方庫由維護代碼庫的人員來維護���。由于這些庫有很多貢獻者���,有時候很難讓一個人來負責整個庫代碼����,而這可能會允許被插入惡意代碼�,”Rose指出,“還存在另一個問題�����,這些庫可能繼承其他代碼庫的功能���,所以在風險和對現(xiàn)有第三方庫的利用方面存在相互作用���。”
研究人員表示�,廣告庫可能獲得額外權限,這使得這種攻擊更加危險�����,因為這些庫可未經(jīng)用戶同意下跟蹤用戶���。
該研究側(cè)重于Android系統(tǒng)�����,這是由于Android設備安裝的應用列表數(shù)據(jù)可用�,但該研究小組指出他們認為在iOS上也同樣是如此,因為iOS系統(tǒng)存在相似的訪問控制和應用部署��。
截至發(fā)稿時�,谷歌和蘋果公司都沒有對此發(fā)表任何評論。
移動數(shù)據(jù)盜竊和權限變化
不幸的是�,研究人員并沒有簡單的解決方案來緩解庫內(nèi)串通導致的移動數(shù)據(jù)盜竊風險。這些研究人員指出有一種方法可限制授予這些庫的權限��,但這樣做可能會影響開發(fā)人員通過其應用獲利的能力���,這會對“進入市場的新應用開發(fā)人員造成威懾�,而最終也可能會讓用戶受到影響”�。
此外,該研究小組建議�����,運營應用商店的企業(yè)或者國家機構可指定政策或法律來檢測和刪除惡意的第三方庫�,但每種方法都有各自的問題。檢測很困難����,因為應用可能有合法的理由將數(shù)據(jù)發(fā)送到設備外,并且���,這種執(zhí)法可能無法超出應用程序的范圍�。
Fidelis Cybersecurity公司威脅情報經(jīng)理John Bambenek稱:“惡意庫可能不會被發(fā)現(xiàn)��,但還有更簡單的竊取移動數(shù)據(jù)的方法��?!?/span>
“為了執(zhí)行這種攻擊,惡意攻擊者需要創(chuàng)建一個庫��,由多個應用程序使用���。隨后他們會說服用戶下載具有很多權限的應用�,”Bambenek稱��,“在現(xiàn)實世界中�,惡意攻擊者首先會讓受害者安裝具有很多權限的應用,因為這樣更直接和更容易����。不過����,我認為在短期內(nèi)這種攻擊不會被武器化����。”
Rose稱��,更重要的問題是“人們在安裝移動應用時需要知道它需要什么權限”��。
“這個應用真的需要訪問你的文件系統(tǒng)����、地理位置或相機嗎?請想一下該移動應用的預期用途是什么,并問自己是否需要比實際更多的權限�����,”Rose說����,“如果權限請求與你的預期不符,則不要安裝或者授予權限?�!?/span>
Bambenek認為開發(fā)人員也需要謹慎小心���,確保不會出現(xiàn)其應用通過超越權限嘗試竊取移動數(shù)據(jù)。
“移動開發(fā)人員以及一般開發(fā)人員都需要關注編碼安全性�,以及最低權限,”Bambenek稱�,“開發(fā)人員應該采用這種開發(fā)模式,即編寫只進行必要操作的代碼�����,這樣會非常有幫助���?�!?/span>
轉(zhuǎn)載自:http://netsecurity.51cto.com/art/201708/548817.htm
江蘇國駿信息科技有限公司在信息網(wǎng)絡安全����、運維平臺建設�����、動漫設計��、軟件研發(fā)、數(shù)據(jù)中心領域具備十多年的行業(yè)沉淀��。公司遵循信息安全整體性的IATF模型��,從“人員素養(yǎng)”����、“制度流程”、“技術產(chǎn)品”三個視角提供全面��、可信的方案��,業(yè)務涵蓋咨詢�����、評估���、規(guī)劃�、管控����、建設、培訓等。
