首页 > 传媒 > 关键词 > 腾讯安全最新资讯 > 正文

腾讯安全科恩实验室揭秘千余款应用安全风险 影音播放APP风险最高

2019-06-14 13:36 · 稿源:站长之家用户投稿

伴随恶意程序、资费消耗、数据泄露等移动端应用安全威胁与日俱增,Android应用端安全防护的价值也在持续引发行业内外人士的探讨。在 6 月 12 日举办的第四届腾讯安全国际技术峰会(TenSec 2019)上,腾讯安全科恩实验室对外发布了《 2018 年Android应用安全白皮书》(以下简称《白皮书》),深度剖析了Android应用存在的安全风险及原因,并提出了针对性的解决建议。

《白皮书》基于腾讯安全科恩实验室自研的Android应用自动化漏洞扫描系统—ApkPecker,选取了 2018 年下载量较高的 1404 个App应用,进行漏洞扫描发现:超98%的应用存有不同类型的安全风险,主要原因包括系统开发隐患、漏洞监测困难、避雷能力不足、修复管理滞后等。建议各大应用厂商建立从APP开发到用户交互的产品全生命周期的安全管理,开展实时的安全风险检测与控制,避免造成不必要的损失。

超98%Android应用存有安全风险 影音播放类应用风险最高

相关数据显示, 2018 年全球App下载量近五成来源于中国。移动应用与社会大众和各行业的关联日趋紧密。然而,Android平台的恶意程序数量也增长迅猛,据G DATA最新的统计数据显示,从 2012 年到 2018 年第三季度末,Android系统应用发现超过 320 万个新的恶意样本,日均发现超过 11000 个。受开源组件安全隐患、开发过程漏洞入侵、应用克隆等因素的影响,以漏洞为代表的安全威胁已渗透到了移动应用的开发及用户交互等各个环节,成为移动应用行业发展的制约因素。

《白皮书》数据显示,影音播放类Android应用存在的安全风险数量最多,其次是通讯社交和网上购物类应用。相对于其他类型的移动应用,这三类应用的产品功能和交互方式都较丰富,且具有较高的用户黏性。存在其中的安全风险一旦爆发,影响的用户量级和范围将大大超乎预期。

在安全风险的类型方面,拒绝服务漏洞、隐式Intent信息泄露以及二进制三类安全风险的数量最多,且影响的APP数量也位列前三。其中,超80%的移动应用皆存有隐式Intent信息泄漏风险。利用这些已深度侵入到Android应用内的漏洞,攻击者即可实现对用户信息的绑架、资费的恶意扣取与消耗等,甚至将多种风险进行整合构建,形成贯穿应用开发、上架和用户交互等全流程的攻击链路,从而容易引发高达亿级的应用安全危机。

组件安全风险仍达七成,开发周期缺乏安全机制是主因

根据Android应用自动化漏洞扫描系统——ApkPecker的检测数据发现,Android应用面临的安全风险主要可分为应用场景漏洞利用、服务后台漏洞攻击等部分。其中,《白皮书》显示在本次针对 1404 款Android应用进行的样本检测中发现,用户信息保密机制的缺乏增加了移动应用的安全压力。由此引发的安全事件频发,给用户的信息账号和资金带来了极大危害。

与此同时,《白皮书》还结合安全风险的触发场景,着重对数据泄漏、组件间通信,以及SDK、Native第三方库漏洞等频繁出现在当前移动应用中的安全风险进行了详细分析,指出在检测的 1404 个样本中,有74%的应用存在拒绝服务攻击风险。开发人员对公开组件外部输入数据的校验和异常处理,是引发组件间通信恶意安全事件的主要原因,同时还将加大漏洞组合利用的风险,造成更大量级的信息泄漏。

而因移动应用开发者在直接调用第三方库进行应用开发使并未注意其代码的安全性,从而导致在检测的样本中,有近五成的应用存有SDK库漏洞,且超58%的应用受Native库漏洞威胁,极大地增加了APP安全管理的难度,其表现出的碎片化、难追溯特点甚至将导致安全风险的恶性循环。

此外,移动应用后台服务端存有的平台、应用、业务逻辑以及DDos/CC攻击等风险也是引发Android应用安全事件的重要诱因。由此,《白皮书》指出移动应用的安全风险并不是相互独立和彼此割裂的,多种安全风险构建成完整攻击链的趋势愈加明显。Android移动应用安全需要整个产业闭环自上而下的共同维护与防御实践。

《白皮书》最后提醒各大Android应用开发厂商以及应用商店等平台,风险防御成功与否是由短板攻击面决定的。使用基于面向攻击面的静态检测工具,建立贯穿移动应用全生命周期的安全风向评估模型,是高效检测Android移动应用风险,精准防范安全威胁的有效途径。ApkPecker 作为一款全自动Android应用漏洞扫描工具,能够输出高质量漏洞扫描报告,精准定位漏洞并提供修复建议,从而助力移动安全人员提升应用安全性。

同时,腾讯安全科恩实验室还基于移动应用渗透测试经验以及前沿攻击模式分析与总结,提出了适用于移动应用面向攻击面静态检测的安全自查雷达图,协助Android应用开发者全面、客观、高效地掌握移动应用静态检测安全风险的实时动态,为其突破安全检测高误报率瓶颈提供助益。在此基础上,腾讯安全科恩实验室将继续开放核心安全技术与能力,为各行业数字化转型变革的安全和健康发展贡献力量。

免责声明:“站长之家”的传媒资讯页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与我们联系删除或处理。稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性,更不对您的投资构成建议。我们不鼓励任何形式的投资行为、购买使用行为。

  • 相关推荐
  • 大家在看
  • 0风险0事故,腾讯安全“全垒打”护航首届“云端”广交会

    6 月 24 日下午,第 127 届广交会正式落下帷幕。 50 个展区、近2. 6 万家参展商“云上”参展,数十万来自全球的采购商成功在“线上”做成了生意。腾讯安全作为本届广交会的安全重保团队,在这十天内交出了一份亮眼的安全“重保”成绩单:广交会重保期间,腾讯安全共拦截超百万次各类安全攻击、图片/文本/音频风险检测数近十亿条,最终确保 0 安全风险, 0 安全事故!出色的重保成绩,也获得了公安机关的认可。据悉,为保障广交会顺?

  • 青藤云安全与腾讯安全再次携手合作,助力用户完成年度大型攻防实战

    继联合发布主机安全产品之后,腾讯安全和青藤云安全近期合作再次升级。此次合作,将以腾讯安全提供的年度大型攻防实战方案为基础,以青藤全方位客户服务为支撑,助力行业客户更好地完成大型攻防实战演练当前,随着云计算、大数据等新技术的广泛应用,越来越多的企业实现数字化转型。与此同时,网络安全边界更加模糊,传统基于网络或设备边界的安全防御技术难以应对新技术所带来的各类挑战。很多组织机构为了实现纵深防御,购买了越

  • 腾讯安全推战略新品,SaaS化云防火墙打造云上第一道防线

    伴随企业核心业务大量上云,在云端混合环境、移动访问及在线应用程序迅速发展的趋势下,上云企业亟需更具细粒度的安全技术来替代传统防火墙。 6 月 16 日,腾讯安全举办线上新品发布会,宣布推出战略级新品——新一代SaaS化云防火墙,即开即用,助力企业解决云上业务隔离、统一访问管控等基础安全问题,为企业打造上云的第一道安全防线。企业上云后,面临四大基础网络安全挑战企业上云后,应用程序和数据可以在云端和混合环境中处?

  • 连续41次通过VB100认证,腾讯安全技术实力再获国际权威认可

    日前,国际权威反病毒评测机构Virus Bulletin公布了 6 月的VB100 测试结果,腾讯安全旗下的腾讯电脑管家(英文版)以100%通过率、 0 误报的优秀成绩位居榜首,截至目前,腾讯安全已连续获得 41 次认证,再次刷新连续通过记录,持续领跑国际杀毒软件安全能力。(图:腾讯电脑管家(英文版)连续 41 次通过VB100 测试认证)VB100 测试评测在业内素有“安全界奥林匹克”之称,要求十分严格,只有通过和不通过两种结果。作为一家非官方

  • 腾讯安全领御TUSI区块链落地五大场景,助力可信城市建设

    2020 年是中国产业区块链元年,中央将区块链定调为“核心技术组织创新的突破口”,并将区块链纳入新基建重要技术基础设施。区块链如何与人工智能、大数据、物联网等前沿技术深入结合,更好地服务产业发展?6 月 1 日,腾讯云举办产业区块链联盟暨实践课堂发布会,国内区块链行业领军企业、区块链技术与应用先行者齐聚一堂,共话区块链行业趋势、共建区块链伙伴生态模式,探索区块链技术落地应用的进阶之路。腾讯高级执行副总裁、云

  • 腾讯安全携手极棒发起第二届云安全比赛 演绎云安全时代下的攻与防

    随着互联网的发展,被称作“革命性计算模型”的云计算被看作第四次工业革命,未来将推动着生产方式、生产关系、产品形态和商业模式的深刻变革。"万物上云"所带来诸多利好的同时,如何保障云上数据安全,提供云上攻防服务,成为云上攻防体系建设首要基准。基于对云安全问题的思考和研究,GeekPwn携手腾讯安全云鼎实验室启动第二届GeekPwn2020 云安全比赛, 7 月11- 12 日先期启动的云靶场挑战赛热身赛,将以解题模式来考察选手在实?

  • 腾讯马晓轶:腾讯游戏官方社区“闪现一下”App已上线

    昨日,腾讯游戏年度发布会正式在线上召开,期间集中发布了四十余款游戏产品与品牌。同时,在会上,腾讯公司高级副总裁马晓轶表示,未来腾讯游戏将会做好自己的“新基建”。

  • 腾讯增持蔚来汽车

    近日,腾讯通过全资子公司黄河投资有限公司买入蔚来汽车 168 万股美国存托股(ADS),相当于 168 万股A类普通股,耗资 1000 万美元。增持后,截至 6 月 10 日,腾讯持有蔚来约1. 59 亿股普通股,持股占比15.1%。

  • 腾讯摆摊招聘,你就也想去摆地摊了?

    6 月 3 日,腾讯官方发布了一条“总监摆地摊招聘”的视频。腾讯公司公关总监张军随后确认,这不是段子,的确是腾讯官方的真实招聘现场。当天,“地摊经济”、“全员地摊”、“互联网摆摊图鉴”等同时登上热搜榜。“我都想去摆地摊了“某互联网公司的员工说。

  • 腾讯再推一视频社交产品,「腾讯新闻极速版」变身为「有味」App

    据公司情报专家《财经涂鸦》消息,腾讯近日将「腾讯新闻极速版」App升级改造为一款名叫“有味”的产品,后者的定位是“美好生活分享平台”。

  • 腾讯增持蔚来汽车 第二大股东腾讯持股比例详细介绍

    ​据美国证监会 6 月 19 日文件披露,腾讯通过全资子公司黄河投资买入蔚来汽车 168 万股美国存托股(ADS),斥资 1000 万美元( 7070 万元人民币)。增持后,腾讯持有蔚来约1.59 亿股普通股,持股占比15.1%,是蔚来汽车的第二大股东。

  • 腾讯持股京东被稀释:比例降至17.1%

    根据京东最新提交给美国证券交易委员会的SC 13D/A文件,腾讯通过旗下全资子公司黄河资本(Huang River Investment Limited)所持有的京东股份,已经降至17.1%。目前,黄河资本持有京东52720709

  • 消息称腾讯再推视频社交产品 腾讯新闻极速版升级为有味APP

    【TechWeb】6月28日消息,据《财经涂鸦》消息,腾讯仍在积极尝试探索“社交+视频内容”,近日,腾讯将“腾讯新闻极速版”APP升级为“有味”APP,后者定位是美好生活分享平台。七脉数据显示,腾讯新闻极速版于2019年2月1日上线,开发者为腾讯科技(北京)有限公司,最后一版本的更新停留于今年3月27日。6月23日,“腾讯新闻极速版”正式升级为“有味”,并于次日完成一次迭代。据悉,有味APP以视频内容为主,但视频的篇幅不再局限?

  • 爱奇艺大涨,此前有消息腾讯将入股

    6月17日美股开盘前爱奇艺股价大涨,盘前最高涨超40%,就在不久前有消息称腾讯计划入股爱奇艺,在入股之后将成为爱奇艺大股东,目前爱奇艺最大股东为百度,持股比例达到56.2%。

  • 京东通过港交所上市聆讯 腾讯是京东最大股东

    据港交所文件显示,京东通过港交所上市聆讯。据京东招股书显示,持股方面,刘强东持股4. 485 亿股普通股,占股15.1%,投票权为78.4%。腾讯持股5. 272 亿股普通股,占股17.8%,为最大股东,投票权为4.6%。沃尔玛持股2. 89 亿股普通股,占股9.8%,投票权为2.5%。

  • 《宝可梦大集结》 腾讯和TPC打了一张什么样的牌?

    6 月 24 日,在The Pokémon Company直面会上,《宝可梦大集结》这款由TPC授权,腾讯旗下天美工作室群研发的手游正式亮相。

  • 马云身家反超黄峥:但腾讯市值已悄然超越阿里

    腾讯还在继续着自己的神话,今天他们的市值已经悄然超越了阿里巴巴。截至发稿腾讯股价涨3.12%报489港元,市值达46717.34亿港元,市值超过阿里巴巴(46572.07亿港元)。自今年3月底以来,腾讯股

  • 临腾(上海)数字科技公司成立 腾讯持股40%

    ​据天眼查数据显示, 5 月 28 日,临腾(上海)数字科技有限公司成立,注册资本 1000 万人民币。上海临港经济发展集团资产管理有限公司和深圳市腾讯产业创投有限公司分别持有该公司40%的股份,为公司最大股东。

  • 腾讯会议崩了 页面显示“发生异常,请重新加入”

    今日晚间,有大量网友在微博反映称,腾讯会议出现了宕机的情况,页面显示“发生异常,请重新加入”,会议画面一片黑暗。针对此事腾讯方面暂未回应。

  • 专访腾讯汤道生:新基建投资,如何把“好钢用在刀刃上”?

    数字技术是企业化解危机的“胜负手”和“生死线”;产业互联网是企业快速奔跑的“助推器”和“发动机” 腾讯近日宣布,未来五年将投资 5000 亿,用于新基建与产业互联网的进一步布局。这是继新基建政策发布后,发布了具体投资战略的为数不多的科技公司之一。 科技公司已经成为中国数字经济生态中的重要参与力量,这次疫情期间,科技公司的平台和技术发挥了巨大作用。腾讯高级执行副总裁、云与智慧产业事业群总裁汤道生近期接受《?

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议