APP漏洞將成黑客攻擊突破口 應用安全不容忽視
責編:admin |2014-04-22 07:10:05 國家互聯網應急中心之前發了一份資料,發現2013年,移動互聯網惡意程序數量大幅增長,國家互聯網應急中心通過自主監測和交換捕獲的移動互聯網惡意程序樣本達70.3萬個,較2012年增長3.3倍,針對安卓平臺惡意程序占99.5%。而另一方面發現,2013年我國境內感染木馬僵尸網絡的主機為1135萬個,首次出現下降,降幅達22.5%。根據專家的分析來說,一方面PC的安全治理比較有成效,另外新的問題出現了——移動互聯網惡意病毒漲了三倍,根據分析,原來黑客們將注意力轉向更能獲益的移動互聯網領域。
其實,上次攜程漏洞泄密事件的起因就是攜程APP端存在漏洞——就是攜程客戶端調試接口未關閉導致可利用客戶端的調試功能獲取指定客戶的銀行卡資料。傳統的PC端安全已經發展了很多年,而且許多的大的安全廠商也有了很多經驗,所以PC端的攻擊會越來越難,而移動互聯網屬于剛火爆,很多傳統的安全廠商還沒有注意到,雖然bat安全廠商已經在移動端布局,但是也主要是把精力放在C端用戶,C端用戶是幾個大的安全廠商的爭奪高地,比如安全管家等產品。但是針對B端用戶,即移動互聯網開發者、轉型移動互聯網的傳統互聯網行業,在安全方面經驗還不是很足,一方面移動互聯網行業是個新興的領域,二是移動終端的系統如android、ios有別于傳統的windows、linux系統,也屬于新的系統,傳統安全廠商對新系統的研究也需要一段時間,這個時間落差必然導致了黑客將會將攻擊注意力轉移到新的系統上。
來自烏云漏洞報告平臺顯示,支付寶、360手機助手、中電信客戶端、靈犀等知名應用都出現漏洞,一個月內出現高達十多次的APP端漏洞,這些數據說明了手機APP端以后將成為黑客的重點攻擊領域,來自黑客業內的一句話“能公開的那些漏洞,其實很多地下黑客已經玩膩了”,這也說明了APP端的安全已經是岌岌可危了,黑客將會以手機APP端的漏洞做為突破口,進而攻擊APP背后的服務器以及其他數據,攜程泄露信用卡事件就是一個很好的例子。
多方原因導致安卓APP不安全
其實APP的安全問題,主要集中在android系統方面,當前能被黑客攻擊的安全問題也主要集中在android系統上,ios系統安全性相對較強。安卓系統的開源性,讓安卓系統本身都充滿了安全隱患,比如openSSL漏洞、Pileup漏洞、耗電等層出不窮的漏洞,雖然安卓系統已經在不定期的更新升級修補已經發現的漏洞,但是在此之前已經有太多的安卓用戶“受傷”。
安卓系統的開源性和手機廠商的多樣性,導致了安卓系統存在各個手機品牌中,還有一部分手機廠商對安卓系統修改的面目全非等多種問題,導致安卓系統的安全問題無法避免。比如最近的“心臟流血”漏洞在普遍的安卓平臺上不會出現,但是有一個例外就是安卓4.1.1版本含有此漏洞,Android 4.1.1目前仍然用于數百萬臺智能機和平板電腦中,包括三星電子、HTC以及其他制造商的一些流行定制機型。來自谷歌統計數據顯示,34%的Android設備使用了Android 4.1的不同版本系統。谷歌此前表示,Android設備的全球激活量已經超過9億臺,按照34%算下來,全球至少有3億用戶受到“心臟流血”漏洞的影響,手機制造商對系統的修改和不及時升級都會導致安卓漏洞不會被及時修復,所以黑客就有時間來攻擊這些不及時更新的系統。
除了安卓系統的安全問題,安卓安全的一部分問題也來自開發者。筆者曾經咨詢過梆梆安全的CTO問過為什么這么多的APP容易被盜版、以及二次打包等這些問題,是不是都是安卓系統的問題?CTO給筆者的回復是當今許多的APP開發工程師經驗不夠,對安全了解甚少,同時在代碼書寫上存在嚴重的邏輯漏洞、不規范等行為,導致寫出來的代碼很容易被黑客攻擊或者二次打包,這些行為也給黑客留了許多機會。
加固能保護APP的安全
面對黑客的攻擊和那么的安全問題,APP的安全是否無法解決了?其實也不是。遍歷PC端的安全解決方法,主要是通過防火墻等阻擋外部的攻擊,所以APP的安全保護方法也是如此。因為APP的安全問題,不僅除了系統安全問題無法避免,代碼級的安全問題也無法避免,普通的開發者可以通過混淆等技術來阻擋部分惡意攻擊者對代碼的反編譯,但是黑客還可以找到另外的其他方法來攻擊APP,就像守城一樣,城墻筑的再高,攻擊者也總能找到漏洞,但是可以通過加固的方式來保護APP的安全,就像在APP的外層加了一層“防火墻”,在安卓系統和APP之間筑一道“防火墻”,以增加黑客對APP的攻擊難度,從而一定程度上保護了APP的安全。
目前已經有一些公司在做APP安全加固方面的服務,但是隨著移動互聯網的蔓延,APP以后會越來越多,安全問題也會越來越嚴重,保護APP安全,促進行業健康發展,保護中國1億手機用戶的安全,不是一兩個企業可以完成的,需要政府、行業政策、企業等內外環境一起施力方可真正的保護移動互聯網的健康發展