IBM新研究表明,CERT新的开源安全工具“Tapioca”显示Android应用漏洞大幅增加。
根据IBM新研究表明,新开发的开源安全工具发现2014年已知移动应用漏洞大幅增加。在其2015年威胁情报季报中,IBM X-Force称,2013年漏洞披露为8400个,而去年增加到30000个,这是X-Force在18年的历史中数据最高的一年。
IBM X-Force研究人员Jason Kravitz表示,从往年的数据来看,2014年漏洞披露数量应该会出现适量下降,初步预计保持在7000到8000的范围。
“你回望过去四五年会发现,漏洞总数量一直保持平稳,”Kravitz说道,“所以我们对2014年的预测是应该会比2013年少一点。”
但事实并非如此,卡内基梅隆大学软件工程研究所计算机应急响应小组(CERT)漏洞分析师Will Dormann开发出一种新方法来发现Android移动应用漏洞。
此前Dormann在研究中间人攻击(MitM),并想以这种方式测试应用:即通过代理服务器路由应用流量,而不会提醒应用。因此,他需要设计一个代理服务器可以在应用层外部来测试。
Dormann的解决方案是CERT透明代理捕捉设备(Transparent Proxy Capture Appliance,Tapioca)。该工具在去年8月推出,可作为MitM软件分析的透明网络层代理。
“对于某些客户端应用,你可以指明你想使用代理,”Dormann解释说,“现在市面上已经推出了一些MitM代理工具,例如ZAP、Burp和Fiddler,但如果你想测试不支持指定代理的应用,或者出于某些原因没有使用OS配置代理的应用,则可以选择Tapioca,它可以在网络水平运行。”
Dormann解释说,你需要做的是配置虚拟机,或者无线接入点用于物理测试,并使用Tapioca作为互联网网关。对于这样配置的任何系统,Tapioca会看到所有通过网络的Web请求。
很快,Dormann发现Tapioca可以用来检查没有正确验证SSL证书的应用。并且,通过使用Android模拟器、Linux虚拟机(VM)和其他一些技巧,Dormann还可以自动化这个过程。他在多个虚拟机运行Tapioca工具长达数月,从2014年8月开始,2015年1月结束,测试的应用数量超过100万。
根据X-Force威胁情报季报显示,Tapioca是发现数千易受攻击Android应用的关键;它搜寻整个Google Play Store,发现2014年Android应用漏洞激增。根据Tapioca项目发布的公共电子数据表显示,23667个应用没有通过动态测试,主要是因为这些应用包含因不正确SSL证书验证导致的漏洞。
“我们通过Tapioca工具发现的是,其实有20000多个应用存在漏洞,而造成这个问题的是它们部署SSL的方式,”Kravitz称,“这并不是它们包含的某个库存在漏洞,这20000个应用本身包含漏洞。”
Kravitz称,Tapioca工具是游戏规则颠覆者;X-Force本身登记了9200个漏洞,而这个开源安全工具发现的漏洞数量是这个数据的三倍。
“在过去,我们并不会发现那么多应用存在漏洞,”他表示,“如果Word Press插件有漏洞,这可能会影响10万网站,但我们不会在数据库中记录10万个漏洞,因为这其实是一个漏洞。”
对于每个未通过测试的应用,CERT都联系了相应的应用开发人员(如果Play Store中提供了联系方式)。但每1000名开发人员中只有1名开发人员报告回CERT,并确认修复了该漏洞。Kravitz称,目前还不清楚这些漏洞已经存在多长时间。
“假设这些应用在去年10月之前推出,那么它们可能有这个漏洞,”Kravitz称,“在CERT开始使用Tapioca工具测试这些应用之前,没有人发现这些漏洞。”
随后,Dormann以众包方式使用Tapioca工具来测试。新的Android应用正层出不穷,而旧应用的新版本也不断推出。CERT还没有测试iOS和其他移动平台,主要是由于这些平台缺乏类似Android De-bug Bridge(ADP)的工具,让用户可以与模拟器实例进行交互。没有这种命令行工具,Tapioca无法自动化,让测试没那么可行。
“对于iPhone SDK,他们有iPhone模拟器,但这只是模拟应用的外观和感觉,”Dormann称,“为了使用Tapioca测试应用,你需要与在网络层面运作方式相同的东西。”
Dormann也尝试对iPhone进行检测,将其关联到一个接入点,但他表示如果需要物理电话的话,大规模测试iOS应用不太可能。现在还不知道对于iOS,Tapioca可以实现何种程度的自动化。
X-Force报告称,Tapioca不仅改变了2014年漏洞披露数量,还改变了大家对应该如何记录漏洞披露的讨论。虽然Tapioca工具被用于合法研究目的,Dormann承认,攻击者和网络犯罪分子可以利用这个开源工具来发现和利用漏洞,甚至在开发人员有机会修复它们之前。
“对于任何特别的安全工具,有人会将其用于好的目的,”Dormann称,“也有人可能将其用于损害他人利益的事情,工具的可用性只是帮助提高软件的质量。”
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
翻译
相关推荐
-
警惕!谷歌Adsense恶意软件悄然传播给Android用户
卡巴斯基实验室的新研究发现Svpeng手机银行木马的新变种正被传播到Android设备,而且不需要任何用户交互……
-
Android勒索软件现新变种,重点是其可在移动设备中直接创建
研究机构称发现已知勒索软件Android.Lockdroid.E的新变种,要命的是这些变种利用Andriod集成开发环境(AIDE),可在Android设备上直接开发而成……
-
谷歌在其最新Android安全报告中称Android恶意软件有所下降
谷歌在其第一份Android安全报告中称,在2014年,只有不到1%的设备感染Android恶意软件,但专家质疑Android生态系统是否还像以前那么安全。
-
Android设备上如何阻止VPN绕过漏洞和恶意应用?
在Android设备中出现VPN绕过漏洞允许恶意应用通过VPN并重定向数据的情况,那么在补丁发布前,该如何阻止这种情况发生?