IBM研究:2014年Android应用漏洞激增

2015-05-30 |  作者:Maxim Tamarov |  来源:TechTarget中国

摘要IBM新研究表明,开源安全工具Tapioca发现2014年已知移动应用漏洞大幅增加。在其2015年威胁情报季报中,IBM X-Force称,2013年漏洞披露为8400个,而去年增加到30000个……

IBM新研究表明,CERT新的开源安全工具“Tapioca”显示Android应用漏洞大幅增加。

根据IBM新研究表明,新开发的开源安全工具发现2014年已知移动应用漏洞大幅增加。在其2015年威胁情报季报中,IBM X-Force称,2013年漏洞披露为8400个,而去年增加到30000个,这是X-Force在18年的历史中数据最高的一年。

IBM X-Force研究人员Jason Kravitz表示,从往年的数据来看,2014年漏洞披露数量应该会出现适量下降,初步预计保持在7000到8000的范围。

“你回望过去四五年会发现,漏洞总数量一直保持平稳,”Kravitz说道,“所以我们对2014年的预测是应该会比2013年少一点。”

但事实并非如此,卡内基梅隆大学软件工程研究所计算机应急响应小组(CERT)漏洞分析师Will Dormann开发出一种新方法来发现Android移动应用漏洞。

此前Dormann在研究中间人攻击(MitM),并想以这种方式测试应用:即通过代理服务器路由应用流量,而不会提醒应用。因此,他需要设计一个代理服务器可以在应用层外部来测试。

Dormann的解决方案是CERT透明代理捕捉设备(Transparent Proxy Capture Appliance,Tapioca)。该工具在去年8月推出,可作为MitM软件分析的透明网络层代理。

“对于某些客户端应用,你可以指明你想使用代理,”Dormann解释说,“现在市面上已经推出了一些MitM代理工具,例如ZAP、Burp和Fiddler,但如果你想测试不支持指定代理的应用,或者出于某些原因没有使用OS配置代理的应用,则可以选择Tapioca,它可以在网络水平运行。”

Dormann解释说,你需要做的是配置虚拟机,或者无线接入点用于物理测试,并使用Tapioca作为互联网网关。对于这样配置的任何系统,Tapioca会看到所有通过网络的Web请求。

很快,Dormann发现Tapioca可以用来检查没有正确验证SSL证书的应用。并且,通过使用Android模拟器、Linux虚拟机(VM)和其他一些技巧,Dormann还可以自动化这个过程。他在多个虚拟机运行Tapioca工具长达数月,从2014年8月开始(+微信网络世界),2015年1月结束,测试的应用数量超过100万。

根据X-Force威胁情报季报显示,Tapioca是发现数千易受攻击Android应用的关键;它搜寻整个Google Play Store,发现2014年Android应用漏洞激增。根据Tapioca项目发布的公共电子数据表显示,23667个应用没有通过动态测试,主要是因为这些应用包含因不正确SSL证书验证导致的漏洞。

“我们通过Tapioca工具发现的是,其实有20000多个应用存在漏洞,而造成这个问题的是它们部署SSL的方式,”Kravitz称,“这并不是它们包含的某个库存在漏洞,这20000个应用本身包含漏洞。”

Kravitz称,Tapioca工具是游戏规则颠覆者;X-Force本身登记了9200个漏洞,而这个开源安全工具发现的漏洞数量是这个数据的三倍。

“在过去,我们并不会发现那么多应用存在漏洞,”他表示,“如果Word Press插件有漏洞,这可能会影响10万网站,但我们不会在数据库中记录10万个漏洞,因为这其实是一个漏洞。”

对于每个未通过测试的应用,CERT都联系了相应的应用开发人员(如果Play Store中提供了联系方式)。但每1000名开发人员中只有1名开发人员报告回CERT,并确认修复了该漏洞。Kravitz称,目前还不清楚这些漏洞已经存在多长时间。

“假设这些应用在去年10月之前推出,那么它们可能有这个漏洞,”Kravitz称,“在CERT开始使用Tapioca工具测试这些应用之前,没有人发现这些漏洞。”

随后,Dormann以众包方式使用Tapioca工具来测试。新的Android应用正层出不穷,而旧应用的新版本也不断推出。CERT还没有测试iOS和其他移动平台,主要是由于这些平台缺乏类似Android De-bug Bridge(ADP)的工具,让用户可以与模拟器实例进行交互。没有这种命令行工具,Tapioca无法自动化,让测试没那么可行。

“对于iPhone SDK,他们有iPhone模拟器,但这只是模拟应用的外观和感觉,”Dormann称,“为了使用Tapioca测试应用,你需要与在网络层面运作方式相同的东西。”

Dormann也尝试对iPhone进行检测,将其关联到一个接入点,但他表示如果需要物理电话的话,大规模测试iOS应用不太可能。现在还不知道对于iOS,Tapioca可以实现何种程度的自动化。

X-Force报告称,Tapioca不仅改变了2014年漏洞披露数量,还改变了大家对应该如何记录漏洞披露的讨论。虽然Tapioca工具被用于合法研究目的,Dormann承认,攻击者和网络犯罪分子可以利用这个开源工具来发现和利用漏洞,甚至在开发人员有机会修复它们之前。

“对于任何特别的安全工具,有人会将其用于好的目的,”Dormann称,“也有人可能将其用于损害他人利益的事情,工具的可用性只是帮助提高软件的质量。”

相关文章