-
-
App 漏洞将成黑客攻击突破口 应用安全不容忽视
-
发表于:
2014-4-25 17:23
723
-
新闻链接:http://tech2ipo.com/64477
新闻时间: 2014-04-22 15:45:05
新闻正文:
本文作者移动互联网李建华 (微信 ydhlwdyq) 编辑东风
国家互联网应急中心之前发了一份资料,发现 2013 年,移动互联网恶意程序数量大幅增长,国家互联网应急中心通过自主监测和交换捕获的移动互联网恶意程序样本达 70.3 万个,较 2012 年增长 3.3 倍,针对Android平台恶意程序占 99.5%。而另一方面发现,2013 年我国境内感染木马僵尸网络的主机为 1135 万个,首次出现下降,降幅达 22.5%。根据专家的分析来说,一方面 PC 的安全治理比较有成效,另外新的问题出现了——移动互联网恶意病毒涨了三倍,根据分析,原来黑客们将注意力转向更能获益的移动互联网领域。
其实,上次携程漏洞泄密事件的起因就是携程 App 端存在漏洞——就是携程客户端调试接口未关闭导致可利用客户端的调试功能获取指定客户的银行卡资料。传统的 PC 端安全已经发展了很多年,而且许多的大的安全厂商也有了很多经验,所以 PC 端的攻击会越来越难,而移动互联网属于刚火爆,很多传统的安全厂商还没有注意到,虽然 BAT 安全厂商已经在移动端布局,但是也主要是把精力放在 C 端用户,C 端用户是几个大的安全厂商的争夺高地,比如安全管家等产品。但是针对 B 端用户,即移动互联网开发者、转型移动互联网的传统互联网行业,在安全方面经验还不是很足,一方面移动互联网行业是个新兴的领域,二是移动终端的系统如 Android、iOS 有别于传统的 Windows、Linux 系统,也属于新的系统,传统安全厂商对新系统的研究也需要一段时间,这个时间落差必然导致了黑客将会将攻击注意力转移到新的系统上。
来自乌云漏洞报告平台显示,支付宝、360 手机助手、中电信客户端、灵犀等知名应用都出现漏洞,一个月内出现高达十多次的 App 端漏洞,这些数据说明了手机 App 端以后将成为黑客的重点攻击领域,来自黑客业内的一句话“能公开的那些漏洞,其实很多地下黑客已经玩腻了”,这也说明了 App 端的安全已经是岌岌可危了,黑客将会以手机 App 端的漏洞做为突破口,进而攻击 App 背后的服务器以及其他数据,携程泄露信用卡事件就是一个很好的例子。
多方原因导致Android App 不安全
其实 App 的安全问题,主要集中在 Android 系统方面,当前能被黑客攻击的安全问题也主要集中在 Android 系统上,iOS 系统安全性相对较强。Android 系统的开源性,让 Android 系统本身都充满了安全隐患,比如 OpenSSL 漏洞、Pileup 漏洞、耗电等层出不穷的漏洞,虽然Android 系统已经在不定期的更新升级修补已经发现的漏洞,但是在此之前已经有太多的 Android 用户“受伤”。
Android 系统的开源性和手机厂商的多样性,导致了 Android 系统存在各个手机品牌中,还有一部分手机厂商对 Android 系统修改的面目全非等多种问题,导致 Android 系统的安全问题无法避免。比如最近的“心脏流血”漏洞 ((Heartbleed)) 在普遍的 Android 平台上不会出现,但是有一个例外就是 Android 4.1.1 版本含有此漏洞,Android 4.1.1 目前仍然用于数百万台智能机和平板电脑中,包括三星电子、HTC 以及其他制造商的一些流行定制机型。来自 Google 统计数据显示,34% 的 Android 设备使用了 Android 4.1 的不同版本系统。Google 此前表示,Android 设备的全球激活量已经超过 9 亿台,按照 34% 算下来,全球至少有 3 亿用户受到“心脏流血”漏洞的影响,手机制造商对系统的修改和不及时升级都会导致Android漏洞不会被及时修复,所以黑客就有时间来攻击这些不及时更新的系统。
除了 Android 系统的安全问题,Android 安全的一部分问题也来自开发者。笔者曾经咨询过梆梆安全的 CTO 问过为什么这么多的 App 容易被盗版、以及二次打包等这些问题,是不是都是 Android 系统的问题?CTO 给笔者的回复是当今许多的 App 开发工程师经验不够,对安全了解甚少,同时在代码书写上存在严重的逻辑漏洞、不规范等行为,导致写出来的代码很容易被黑客攻击或者二次打包,这些行为也给黑客留了许多机会。
加固能保护 App 的安全
面对黑客的攻击和那么的安全问题,App 的安全是否无法解决了?其实也不是。遍历 PC 端的安全解决方法,主要是通过防火墙等阻挡外部的攻击,所以 App 的安全保护方法也是如此。因为 App 的安全问题,不仅除了系统安全问题无法避免,代码级的安全问题也无法避免,普通的开发者可以通过混淆等技术来阻挡部分恶意攻击者对代码的反编译,但是黑客还可以找到另外的其他方法来攻击 App,就像守城一样,城墙筑的再高,攻击者也总能找到漏洞,但是可以通过加固的方式来保护 App 的安全,就像在 App 的外层加了一层“防火墙”,在Android系统和 App 之间筑一道“防火墙”,以增加黑客对 App 的攻击难度,从而一定程度上保护了 App 的安全。
目前已经有一些公司在做 App 安全加固方面的服务,但是随着移动互联网的蔓延,App 以后会越来越多,安全问题也会越来越严重,保护 App 安全,促进行业健康发展,保护中国 1 亿手机用户的安全,不是一两个企业可以完成的,需要政府、行业政策、企业等内外环境一起施力方可真正的保护移动互联网的健康发展。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
