首页 > 传媒 > 关键词 > 安卓软件供应链最新资讯 > 正文

安卓软件供应链全线均爆重大安全事件 上游攻击或将影响上亿用户

2018-07-26 10:14 · 稿源:站长之家用户投稿

  7月25日,腾讯安全反诈骗实验室发布《网络安全新常态下Android应用供应链安全探秘》(下简称报告),结合最新爆发的典型案例梳理了供应链攻击的常见手段及攻击趋势,并指出在软件供应链开发、分发、使用三大环节均有安全隐患,爆发了多起影响重大的安全事件。鉴于供应链安全问题较强的隐蔽性和影响的广泛性,报告同时呼吁相关各方关注供应链攻击的新形式,做好有效的安全防御措施。

  移动安全威胁“量降质升” 不法分子瞄准供应链薄弱环节

  过去几年,经过手机厂商和移动安全厂商等各方的共同努力,普通Android恶意软件的迅猛增长趋势已经得到遏制。报告援引腾讯手机管家的数据显示,2018年上半年Android平台新增恶意样本数468.70万,较去年同期下降47.8%,扭转了2015年以来的迅猛增长势头。

  但高端、复杂的移动恶意软件攻击却呈现上升趋势,愈演愈烈的软件供应链攻击更是验证了移动安全威胁“量降质升”现象。报告指出,恶意攻击者逐渐将目光投向供应链中最薄弱的一环,如手机OTA升级服务预装后门程序,第三方广告SDK窃取用户隐私等,这类攻击借助“合法软件”的保护,很容易绕开安全产品的检测,进行大范围的传播和攻击。

  经过腾讯大数据监测发现,近年来,与Android应用供应链相关的安全事件越来越多,恶意软件作者正越来越多地利用用户与软件供应商间的固有信任,通过层出不穷的攻击手法投递恶意载体,造成难以估量的损失。

  目前关于Android应用供应链还没有明确的概念,报告根据传统的供应链概念将其简单抽象成开发、分发和使用环节,基本包含了软件开发设计、发布下载、用户使用等上下游全产业链。通过报告整理的关于Android应用供应链重要安全事件时序图可以发现,供应链各个环节,几乎都爆发了重大安全事件。

  (Android应用供应链重要安全事件时序图)

  上游攻击或将影响上亿用户  恶意开发者逐渐渗入SDK开发环节

  针对软件供应链上游开发工具进行攻击、影响最为广泛的莫过于2015年的Xcode非官方版本恶意代码污染事件。攻击者通过向非官方版本的Xcode注入病毒Xcode Ghost,当应用开发者使用带毒的Xcode工作时,编译出的APP都将被注入病毒代码,从而产生众多携带病毒的APP。

  报告指出,类似于Xcode Ghost这类污染开发工具针对软件供应链上游(开发环境)进行攻击的安全事件较少,但一旦攻击成功,却可能影响上亿用户。

  而入侵第三方SDK则正在成为不法分子针对供应链上游发起攻击的重要选择。报告指出,一方面,第三方SDK的开发者的安全能力水平参差不齐,且众多第三方SDK的开发者侧重于功能的实现,在安全方面的投入不足,近两年被爆出的有安全漏洞的第三方SDK主要有FFmpeg漏洞、友盟SDK、zipxx等,由于其被广泛集成到大量的APP中,漏洞的影响范围非常大;另一方面,部分恶意开发者渗入了SDK开发环节,以提供第三方服务的方式吸引其他APP应用开发者来集成他们的SDK。借助这些合法应用,恶意的SDK可以有效地躲避大部分应用 市场和安全厂商的检测,影响大量用户的安全。

  2018年4月,腾讯安全反诈骗实验室自研的TRP-AI反病毒引擎捕获到一个恶意推送信息的软件开发工具包(SDK)——“寄生推”,它通过预留的“后门”云控开启恶意功能,私自ROOT用户设备并植入恶意模块,进行恶意广告行为和应用推广,以实现牟取灰色收益。该事件感染超过300多款知名应用,潜在影响用户超2000万。

  下游攻击占据大头  不法分子无孔不入

  供应链下游则是爆发安全事件的大头。报告指出,Android应用分发渠道在供应链中占据着十分重要的位置,也是安全问题频发的环节。Android应用分发渠道众多,应用市场、厂商预装、破解网站、ROM内置等都是用户获取应用的常见方式。不仅第三方站点下载、破解应用等灰色供应链中获取的软件极易被植入恶意代码,就连某些正规的应用市场,由于审核不严等因素也被攻击者植入过含有恶意代码的“正规”软件。

  除了用户直接获取应用的渠道存在的安全威胁外,其他提供第三方服务的厂商如OTA升级、安全加固等也可能在服务中预留后门程序,威胁用于的隐私和设备安全。这类攻击大多采用了白签名绕过查杀体系的机制,其行为也介于黑白之间,从影响用户数来说远超一般的漏洞利用类攻击。

  用户在使用应用过程,面临的应用升级更新等情况也潜伏隐患。2017年12月,Android平台爆出“核弹级”Janus漏洞,能在不影响应用签名的情况下,修改应用代码,导致应用的升级安装可能被恶意篡改。同样,随着越来越多的应用采用热补丁的方式更新应用代码,恶意开发者也趁虚而入,在应用更新方式上做手脚,下发恶意代码,威胁用户安全。

  报告最后呼吁,针对软件供应链攻击,无论是免费应用还是付费应用,在供应链的各个环节都可能被攻击者利用,因此,需要对供应链全面设防,打造Android应用供应链的安全生态。在应对应用供应链攻击的整个场景中,需要手机厂商、应用开发者、应用市场、安全厂商、普通用户等各主体积极参与、通力合作。

    网友热搜:

    免责声明:“站长之家”的传媒资讯页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与我们联系删除或处理。稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性,更不对您的投资构成建议。我们不鼓励任何形式的投资行为、购买使用行为。

    • 相关推荐
    • 大家在看
    • 首届“开源软件供应链点亮计划-暑期2020”项目申请开启

      [中国北京, 2020 年 6 月 1 日]今日,“开源软件供应链点亮计划-暑期2020”活动项目申请正式启动。本次活动共吸引国内外 40 多家开源社区参与、累计发布 388 个项目,覆盖操作系统、人工智能、大数据、分布式系统等技术领域,现已全面开放接收全国高校学生的项目申请。 “开源软件供应链点亮计划-暑期2020”(以下简称“暑期2020”)是由中科院软件所与 openEuler 社区共同举办、中科院软件研究所南京软件技术研究院承办的一项面向?

    • AMD/Intel/NVIDIA竞争惨烈:供应链懵了

      AMD、Intel、NVIDIA,作为CPU/GPU芯片行业的三大上游巨头,一举一动都对整个产业有着巨大的影响,而现在,似乎整个产业链都被三家的产品发布节奏给整懵了。产业链人士认为,三家巨头的新品发布

    • 台积电拟赴美建厂 汉唐帆宣等供应链企业称将跟进

      6月15日消息,据台湾媒体报道,台积电上月早些时候宣布投资120亿美元在美国建厂,同属台积电大联盟的供应链企业汉唐、帆宣等等也将跟进。台积电台积电董事长刘德音上周表示,将邀请供应链成员一同赴美。对此,无尘室厂务系统大厂汉唐、帆宣及自动化厂盟立等,都表达赴美建立据点,积极努力争取订单的企图心。汉唐董事长陈朝水表示,客户要我们去哪里,汉唐都会去。目前汉唐没有美国公司,准备这次去设。帆宣董事长兼执

    • 贝仓推全民地摊计划 为掌柜提供供应链和定向货源等服务

      【TechWeb】6月4日,日前,贝贝集团旗下品牌特卖平台贝仓面向广大用户推出“贝仓全民地摊计划:百万掌柜微创业扶持行动”,通过线上APP与线下小店相结合的方式,为地摊小店掌柜提供供应链和定向货源、地推卖货专项奖励等服务,同时提供免费开店工具和地推卖货培训等举措,赋能贝仓百万掌柜实现快速和低门槛创业,全方位助力摊主就业、增收。具体来看,供应链服务方面,将联动上万大牌和源头工厂,提供包括服饰、鞋包、玩具、零食?

    • 华为回应美国封锁供应链:他们仍需为5G专利付费

      近日,有外媒报道称,华为在5G技术中拥有最多的专利,即使美国政府实施禁令,美企仍需向华为5G付钱一项研究报告显示,在专利发明中,有6家公司所占的专利比例超过了80%,分别是华为、三星电子

    • 金固股份汽车超人助力新康众打通汽配供应链

      随着我国疫情防控向好态势进一步巩固,很多企业逐步复工复产。据了解,由金固股份参股的新康众自复工以来门店业务量和新开门店数量持续攀升,新康众已经迅速在做好防控的同时回到正轨。据悉,根据新康众2020年规划,将重点投入新康众的2C业务,其中包括天猫养车。据了解,截至目前天猫养车合作安装门店数量已经达到3.5万家。这家由阿里巴巴、康众汽配、金固股份汽车超人合资组建的汽车后市场“航母”此前一直专注于汽车后市场的基?

    • 技术赋能+行业定制:文思海辉金融打响供应链金融组合拳

      “从产业中来,到金融中去”供应链金融发展至今,经历了喧嚣、阵痛与洗牌,正在蓄积更大的势能,席卷更大的浪潮。长久以来,因信息不透明不对称、财务制度不健全、抗风险能力弱等原因导致中小企业融资难、融资贵的一系列问题出现。尽管国家多次部署缓解企业融资难题,但是效果并不显著。 国务院办公厅印发《关于积极推进供应链创新与应用的指导意见》中明确指出,鼓励商业银行、供应链核心企业等建立供应链金融服务平台,为供应链

    • 以供应链为基础提供整合解决方案 京东携产业链合作伙伴发起“卫生间革命”

      小厕所,大民生。“厕所革命”不仅关系到旅游环境的改善,更关系到国民素质提升和社会文明进步。近年来,“厕所革命”从景区到全域、从城市到农村,不断向纵深发展。今年两会期间, “厕改”再次出现在政协提案中,厕所革命已经成为民生话题。与此同时,家庭中的“卫生间”也在发生变化,调研发现,超过63%的人认为卫生间是放松自己、切换状态的空间,超过60%的人认为卫生间可以代表房间主人的个性和生活品质。随着人们的生活状态?

    • 居然之家、菜鸟、京东、万师傅……家居各环节供应链花式迎接618

      为了在后疫情期间扭转上半年局势,早在 5 月下旬,6· 18 这场“回血之战”已经拉响。观战家居行业,各品牌取得不俗业绩。家居服务各环节供应链已经备足弹药,火力全开。 家居品牌:产品折扣不断,数字化服务升级 5 月 18 日,红星美凯龙联合天猫启动首届“红星美凯龙周年宠粉节”,宣布将独家冠名天猫“6·18”超级晚,并将于 6 月 12 日牵手“带货女王”薇娅,开设红星美凯龙专场。 居然之家公告,投入巨额资金用于门店装修改?

    • 英伟达英特尔AMD下一代芯片推出计划或频繁更改或保密 供应链懵了

      据国外媒体报道,由于英特尔、英伟达和AMD这三大芯片厂商,在下一代的芯片推出安排方面还未完全确定,供应链目前也陷入了尴尬的境地。从外媒的报道来看,这三大芯片厂商在下一代芯片推出安排方面的不确定,产业链人士认为主要有两种情况,其一是频繁更改他们的推出计划;其二则是因为竞争激烈而保密,并不公布具体的推出计划。在竞争方面,外媒在报道中表示,英伟达、AMD和英特尔之间竞争日益激烈,正在?

    • iPhone 12不送充电器?潘九堂:供应链早确认了、谁稀罕18W快充头

      继巴克莱分析师后,郭明錤也在最新投资报告中给出iPhone 12系列预计全系都不送有线耳机和充电头的判断,并称苹果意外冲抵5G抬高的成本,尽量做到和iPhone 11类似的起步价。对于这件事,前分析

    • “老王侃供应链管理”百家号怎么赚钱?百家号收益赚钱排行榜

      备注:本文数据来自站长之家移动传媒平台,文章涉及的数据依托平台大数据计算所得,非百度官方数据,仅供参考。老王侃供应链管理是当前百家号中的普通号,目前账号百家号权重为1,综合排名位列1009435名,社会分类排名位列122045名,领先了9.6%的百家号。 老王侃供应链管理百家号概况 老王侃供应链管理的简介为专注供应商管理心得总结分享,是一家主旨明确、领域专注的自媒体作者,截止目前为止他们已经在百家号上发布了超过0篇的?

    • 震坤行获36氪WISE2020企服金榜供应链管理最佳解决方案奖

      6 月 23 日, 36 氪基于三方专业数据机构、行业专家、投资人、企业高管、垂直赛道记者的专家团评审意见、以及用户票选结果,正式发布了「WISE2020 企服金榜」,震坤行工业超市凭借领先的数字化采购模式,为客户提供整个MRO生态的服务解决方案,帮助客户最终实现降低采购成本,提高采购效率的目的,实现数字化采购和生产的目标,荣登 36 氪WISE2020 企服金榜单,获评“供应链管理最佳解决方案“。据了解,震坤行工业超市是一家服务?

    • 红布林扎根二手奢侈品垂直领域,打造完善的C2B2C供应链体系

      如今的中国正步入奢侈品热销时代,截止到 2019 年中国消费者的奢侈品消费总额已经超过 7000 亿人民币,越来越多的中国消费者享受着奢侈品带来的独有品味,个性情调与专属魅力。在这种社会大背景的催动下,不少收入有限的“潮人”开始通过二手奢侈品消费,满足自己对高品质生活的追求;另外一些卖家为了获取周转资金,也愿意投身到二手奢侈品交易之中,为此买卖双方客观存在的供需关系,让二手奢侈品消费市场成为当代手头资金有限,

    • 十荟团完成8140万美元C1轮融资 将用于仓配建设和供应链能力提升

      5 月29日,社区团购平台十荟团完成了新一轮C1 轮融资,金额为 8140 万美元,投资方包括:GGV纪源资本领投,愉悦资本、启明创投、渶策资本、高鹄资本。据十荟团相关负责人介绍,本轮融资将用于全国仓配建设和供应链能力提升,进一步提高末端履约的效率和体验。十荟团是国内社区零售的领军品牌,是社区团购行业增长最快的公司之一,成立于 2018 年 6 月,目前业务已覆盖全国百余个城市。 4 月份十荟团月GMV突破6. 5 亿元,日订单峰值

    • 本田全球业务遭勒索软件攻击 部分产线被迫暂停运营

      日本汽车企业本田(Honda)证实,一起网络攻击事件导致其全球部分业务陷入停顿状态。该公司周二在一份简短声明中说,攻击造成了其日本总部以外的生产问题。本田强调:“我们正在努力将影响降到最低,并恢复生产、销售和开发活动的全部功能。”

    • 赋能和谐生态链,哈啰出行举办供应商质量训练营活动

      2020年6月17-18日,由哈啰出行供给经营管理中心主办的“供应商质量训练营”活动在哈啰出行上海总部举行。70多家哈啰出行供应商的100多名质量代表参与了本次活动,共同学习和探讨供应商现场质量管理的方法,了解哈啰出行质量管理流程, 提升产品质量持续改进。过去几年以共享单车为代表的科技出行推动了整个供应生态链的转型、升级,也促进了整个共享出行产业向数据化、智能化的方向进化。2020年初以来的疫情,哈啰出行与生态链伙伴

    • 京东:已积极协调品牌供应商确保北京民生供应稳定

      6月13日消息,针对北京疫情防控形势出现的变化,为保证市场供应,京东今天对外表示,已经协调各品牌供应商,充分保障北京市民的米面粮油、肉蛋菜等日常生活必需品供给,目前各类商品货源充足,消费者无需抢购囤货。京东方面表示,目前,京东所有生鲜类商品均从正规渠道进货,检疫手续100%齐全,确保消费者安全购买。同时,京东持续对仓库及在仓工作人员进行严格健康检测,并进行充分消毒;全面加强线下门店防疫措施,?

    • 2020腾讯线上游戏发布会全部游戏汇总 都发布了什么新游戏

      6月27日,腾讯召开了2020年的线上游戏发布会,其中公布了多大40多款的新游戏,很多玩家还不清楚都有哪些新的游戏,下面就来为大家分享一下这次腾讯游戏发布会的总结。

    • 录屏软件怎么用?好用的录屏软件有哪些

      录屏软件怎么用?日常工作以及生活当中,录屏的需求是非常多的!比方说录屏游戏集锦、录屏在线直播、录屏课程课件、录屏会议纪要等等。所以,对于有这些需求的小伙伴来说,能够有一款操作简单的录屏软件实在是太重要了。那么,录屏软件怎么用呢?好用的录屏软件又有哪些呢?其实您无需担心,接下来将为大家分享两款以及用法,一起来看下吧。分享一:专业录屏软件以及用法这里为大家分享的第一款是专业录屏软件以及用法,即使用“嗨

    • 参与评论
    文明上网理性发言,请遵守新闻评论服务协议

    热文

    • 3 天
    • 7天