IBM研究:2014年Android应用漏洞激增

IBM新研究表明,CERT新的开源安全工具“Tapioca”显示Android应用漏洞无处不在。

根据IBM新研究表明,新开发的开源安全工具发现2014年已知移动应用漏洞大幅增加。在其2015年威胁情报季报中,IBM X-Force称,2013年漏洞披露为8400个,而去年增加到30000个,这是X-Force在18年的历史中数据最高的一年。

IBM X-Force研究人员Jason Kravitz表示,从往年的数据来看,2014年漏洞披露数量应该会出现适量下降,初步预计保持在7000到8000的范围。

“你回望过去四五年会发现,漏洞总数量一直保持平稳,”Kravitz说道,“所以我们对2014年的预测是应该会比2013年少一点。”

但事实并非如此,卡内基梅隆大学软件工程研究所计算机应急响应小组(CERT)漏洞分析师Will Dormann开发出一种新方法来发现Android移动应用漏洞。

此前Dormann在研究中间人攻击(MitM),并想以这种方式测试应用:即通过代理服务器路由应用流量,而不会提醒应用。因此,他需要设计一个代理服务器可以在应用层外部来测试。

Dormann的解决方案是CERT透明代理捕捉设备(Transparent Proxy Capture Appliance,Tapioca)。该工具在去年8月推出,可作为MitM软件分析的透明网络层代理。

“对于某些客户端应用,你可以指明你想使用代理,”Dormann解释说,“现在市面上已经推出了一些MitM代理工具,例如ZAP、Burp和Fiddler,但如果你想测试不支持指定代理的应用,或者出于某些原因没有使用OS配置代理的应用,则可以选择Tapioca,它可以在网络水平运行。”

Dormann解释说,你需要做的是配置虚拟机,或者无线接入点用于物理测试,并使用Tapioca作为互联网网关。对于这样配置的任何系统,Tapioca会看到所有通过网络的Web请求。

很快,Dormann发现Tapioca可以用来检查没有正确验证SSL证书的应用。并且,通过使用Android模拟器、Linux虚拟机(VM)和其他一些技巧,Dormann还可以自动化这个过程。他在多个虚拟机运行Tapioca工具长达数月,从2014年8月开始,2015年1月结束,测试的应用数量超过100万。

根据X-Force威胁情报季报显示,Tapioca是发现数千易受攻击Android应用的关键;它搜寻整个Google Play Store,发现2014年Android应用漏洞激增。根据Tapioca项目发布的公共电子数据表显示,23667个应用没有通过动态测试,主要是因为这些应用包含因不正确SSL证书验证导致的漏洞。

“我们通过Tapioca工具发现的是,其实有20000多个应用存在漏洞,而造成这个问题的是它们部署SSL的方式,”Kravitz称,“这并不是它们包含的某个库存在漏洞,这20000个应用本身包含漏洞。”

Kravitz称,Tapioca工具是游戏规则颠覆者;X-Force本身登记了9200个漏洞,而这个开源安全工具发现的漏洞数量是这个数据的三倍。

“在过去,我们并不会发现那么多应用存在漏洞,”他表示,“如果Word Press插件有漏洞,这可能会影响10万网站,但我们不会在数据库中记录10万个漏洞,因为这其实是一个漏洞。”

对于每个未通过测试的应用,CERT都联系了相应的应用开发人员(如果Play Store中提供了联系方式)。但每1000名开发人员中只有1名开发人员报告回CERT,并确认修复了该漏洞。Kravitz称,目前还不清楚这些漏洞已经存在多长时间。

“假设这些应用在去年10月之前推出,那么它们可能有这个漏洞,”Kravitz称,“在CERT开始使用Tapioca工具测试这些应用之前,没有人发现这些漏洞。”

随后,Dormann以众包方式使用Tapioca工具来测试。新的Android应用正层出不穷,而旧应用的新版本也不断推出。CERT还没有测试iOS和其他移动平台,主要是由于这些平台缺乏类似Android De-bug Bridge(ADP)的工具,让用户可以与模拟器实例进行交互。没有这种命令行工具,Tapioca无法自动化,让测试没那么可行。

“对于iPhone SDK,他们有iPhone模拟器,但这只是模拟应用的外观和感觉,”Dormann称,“为了使用Tapioca测试应用,你需要与在网络层面运作方式相同的东西。”

Dormann也尝试对iPhone进行检测,将其关联到一个接入点,但他表示如果需要物理电话的话,大规模测试iOS应用不太可能。现在还不知道对于iOS,Tapioca可以实现何种程度的自动化。

X-Force报告称,Tapioca不仅改变了2014年漏洞披露数量,还改变了大家对应该如何记录漏洞披露的讨论。虽然Tapioca工具被用于合法研究目的,Dormann承认,攻击者和网络犯罪分子可以利用这个开源工具来发现和利用漏洞,甚至在开发人员有机会修复它们之前。

“对于任何特别的安全工具,有人会将其用于好的目的,”Dormann称,“也有人可能将其用于损害他人利益的事情,工具的可用性只是帮助提高软件的质量。”

作者:Maxim Tamarov

来源:51CTO

时间: 2024-09-29 20:46:47

IBM研究:2014年Android应用漏洞激增的相关文章

IBM启动2014三大战略方向

ZDNet至顶网软件频道消息:3月25日,题为"颠覆与创新---领跑新互联网时代"的IBM论坛2014在京举行.IBM公司大中华区董事长及首席执行总裁钱大群以及IBM全球和大中华区的技术.行业和咨询专家,与来自国内不同业界的专家和企业领袖共同探讨了新互联网时代下"智慧企业"的发展之路.   IBM公司大中华区董事长及首席执行总裁钱大群 IBM正在发生一场宏伟变革 在过往的百年历史中,IBM不断以自身的转型带动着技术和商业的进步,每一次IBM的转型都预示着一个全新社会

Android重大漏洞POC

本文讲的是 :   Android重大漏洞POC ,[IT168 资讯]上周,移动安全公司 Bluebox Security 研究人员声称发现了一个Android 严重漏洞,这个漏洞允许攻击者修改应用程序的代码但不会改变其加密签名,这个漏洞从 Android 1.6 开始就一直存在于Android 中,影响过去 4 年间发布的99% 的Android 手机. 据报道,日前,Via Forensics 的安全研究员Pau Oliva Fora 在 GitHub 上发布了一个概念验证模块,能利用验证

Android新漏洞曝光:黑客可假冒正规应用

新浪科技讯 北京时间7月30日早间消息,周二发布的一份研究报告显示,谷歌Android操作系统存在一项安全漏洞,可以让黑客假冒受信任的正规应用,从而劫持用户的智能手机或平板电脑.安全公司Bluebox Security在报告中表示,根本问题在于Android校验应用身份时采取的方式.验证身份是网络世界中最根本的问题之一.例如,登录银行账号的人是否是该账号的所有者?某款应用是否真如其所宣称的那样?总部位于旧金山的Bluebox的主要业务是帮助企业保护其移动设备上的数据安全,因此该公司的员工正在研究

研究人员发现Android设备全新恶意软件Cloak and Dagger

加州大学圣巴巴拉分校和佐治亚理工大学的研究人员,发现了一种名为 Cloak and Dagger 的安卓恶意软件,一旦用户的安卓设备被感染到的话将会在毫不知情的情况下被黑客入侵.研究人员表示Cloak and Dagger可以入侵截至7.1.2版本为止所有Android系统,故目前所有Android装置都存在风险. 研究人员发现Android设备全新恶意软件Cloak and Dagger 据美国乔治亚理工学院研究人员表示,Cloak and Dagger并非透过Android中存在的漏洞进行攻

IBM研究人员训练Watson识别技术 可防治青光眼疾病

IBM研究人员在墨尔本成功训练了一个Watson研究版,训练过的Watson可以识别视网膜图像的异常,因此可以帮助医生针对青光眼等眼疾的早期诊断,青光眼又名 "沉默的视力小偷",许多患者往往直到视力已到了无可挽回的地步才确诊得了此病. IBM研究人员从2015年开始利用应用深度学习和图像分析技术,通过EyePACS分析了88000个移除了个人信息的视网膜图像,获得了一些关键性眼睛异常资料,简化了医生在诊断眼疾时的一些手工流程. 诊断眼疾通常包括对比左右眼的图像.评估视网膜扫描的质量测量

研究2014年巴西世界杯用球“桑巴荣耀”的科技秘密

26日凌晨,阿根廷与尼日利亚上演了一场进球大战.上半场补时阶段,"小跳蚤"梅西主罚的任意球划出一道高高的弧线,尼日利亚门将只能目送皮球蹿入球门. 世界杯开赛至今,已有多名球员打入精彩入球.这些入球,有的力道十足,有的弧线诡异,有的角度刁钻.打入这些世界波的球员,除了比赛状态正佳,与队员配合默契外,还少不了本届世界杯比赛用球"桑巴荣耀"的功劳. 2014年FIFA世界杯引起了很多球迷的兴奋,其中也包括NASA的工程师们.尽管NASA没有参与到足球的设计或测试工作,但科

使用IBM Mobile Database实现Android设备企业级数据库同步

本文试图向读者介绍 IBM Mobile Database 的工作原理,并结合示例,展示如何使用 IBM Mobile Database 实现 Android 设备与后端企业级数据库的数据同步. IBM http://www.aliyun.com/zixun/aggregation/29908.html">solidDB 是一种内存型关系数据库,其运行效率相当于磁盘数据库的十倍,吞吐量为数万事务每秒,响应时间为微秒级.作为移动设备的迁移版本,IBM Mobile Database 继承了

Android新漏洞泄露敏感信息:影响近九成用户

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 新浪科技讯 北京时间6月30日上午消息,IBM的研究人员发现,大约有86%的Android手机中都存在一个漏洞.黑客可能借此获取用户的敏感信息,包括银行服务和虚拟专用网络(VPN)的密钥,以及用于解锁设备的PIN码或图形. 该漏洞位于Android KeyStore,这是Android系统的一个敏感区域,专门用于存储密钥和类似的身份信息.借助

Android 新漏洞泄露敏感信息

IBM的研究人员发现,大约有86%的Android手机中都存在一个漏洞.黑客可能借此获取用户的敏感信息,包括银行服务和虚拟专用网络(VPN)的密钥,以及用于解锁设备的PIN码或图形. 该漏洞位于Android KeyStore,这是Android系统的一个敏感区域,专门用于存储密钥和类似的身份信息.借助该漏洞,黑客可以通过执行恶意代码来获取用户的敏感信 息.研究人员称,谷歌仅在Android 4.4奇巧系统中修补了这一漏洞,其余版本仍会受到该问题的影响.受影响的用户在所有Android用户中的占