首页 > 传媒 > 关键词 > 腾讯安全最新资讯 > 正文

腾讯安全科恩实验室揭秘千余款应用安全风险 影音播放APP风险最高

2019-06-14 13:36 · 稿源:站长之家用户投稿

伴随恶意程序、资费消耗、数据泄露等移动端应用安全威胁与日俱增,Android应用端安全防护的价值也在持续引发行业内外人士的探讨。在 6 月 12 日举办的第四届腾讯安全国际技术峰会(TenSec 2019)上,腾讯安全科恩实验室对外发布了《 2018 年Android应用安全白皮书》(以下简称《白皮书》),深度剖析了Android应用存在的安全风险及原因,并提出了针对性的解决建议。

《白皮书》基于腾讯安全科恩实验室自研的Android应用自动化漏洞扫描系统—ApkPecker,选取了 2018 年下载量较高的 1404 个App应用,进行漏洞扫描发现:超98%的应用存有不同类型的安全风险,主要原因包括系统开发隐患、漏洞监测困难、避雷能力不足、修复管理滞后等。建议各大应用厂商建立从APP开发到用户交互的产品全生命周期的安全管理,开展实时的安全风险检测与控制,避免造成不必要的损失。

超98%Android应用存有安全风险 影音播放类应用风险最高

相关数据显示, 2018 年全球App下载量近五成来源于中国。移动应用与社会大众和各行业的关联日趋紧密。然而,Android平台的恶意程序数量也增长迅猛,据G DATA最新的统计数据显示,从 2012 年到 2018 年第三季度末,Android系统应用发现超过 320 万个新的恶意样本,日均发现超过 11000 个。受开源组件安全隐患、开发过程漏洞入侵、应用克隆等因素的影响,以漏洞为代表的安全威胁已渗透到了移动应用的开发及用户交互等各个环节,成为移动应用行业发展的制约因素。

《白皮书》数据显示,影音播放类Android应用存在的安全风险数量最多,其次是通讯社交和网上购物类应用。相对于其他类型的移动应用,这三类应用的产品功能和交互方式都较丰富,且具有较高的用户黏性。存在其中的安全风险一旦爆发,影响的用户量级和范围将大大超乎预期。

在安全风险的类型方面,拒绝服务漏洞、隐式Intent信息泄露以及二进制三类安全风险的数量最多,且影响的APP数量也位列前三。其中,超80%的移动应用皆存有隐式Intent信息泄漏风险。利用这些已深度侵入到Android应用内的漏洞,攻击者即可实现对用户信息的绑架、资费的恶意扣取与消耗等,甚至将多种风险进行整合构建,形成贯穿应用开发、上架和用户交互等全流程的攻击链路,从而容易引发高达亿级的应用安全危机。

组件安全风险仍达七成,开发周期缺乏安全机制是主因

根据Android应用自动化漏洞扫描系统——ApkPecker的检测数据发现,Android应用面临的安全风险主要可分为应用场景漏洞利用、服务后台漏洞攻击等部分。其中,《白皮书》显示在本次针对 1404 款Android应用进行的样本检测中发现,用户信息保密机制的缺乏增加了移动应用的安全压力。由此引发的安全事件频发,给用户的信息账号和资金带来了极大危害。

与此同时,《白皮书》还结合安全风险的触发场景,着重对数据泄漏、组件间通信,以及SDK、Native第三方库漏洞等频繁出现在当前移动应用中的安全风险进行了详细分析,指出在检测的 1404 个样本中,有74%的应用存在拒绝服务攻击风险。开发人员对公开组件外部输入数据的校验和异常处理,是引发组件间通信恶意安全事件的主要原因,同时还将加大漏洞组合利用的风险,造成更大量级的信息泄漏。

而因移动应用开发者在直接调用第三方库进行应用开发使并未注意其代码的安全性,从而导致在检测的样本中,有近五成的应用存有SDK库漏洞,且超58%的应用受Native库漏洞威胁,极大地增加了APP安全管理的难度,其表现出的碎片化、难追溯特点甚至将导致安全风险的恶性循环。

此外,移动应用后台服务端存有的平台、应用、业务逻辑以及DDos/CC攻击等风险也是引发Android应用安全事件的重要诱因。由此,《白皮书》指出移动应用的安全风险并不是相互独立和彼此割裂的,多种安全风险构建成完整攻击链的趋势愈加明显。Android移动应用安全需要整个产业闭环自上而下的共同维护与防御实践。

《白皮书》最后提醒各大Android应用开发厂商以及应用商店等平台,风险防御成功与否是由短板攻击面决定的。使用基于面向攻击面的静态检测工具,建立贯穿移动应用全生命周期的安全风向评估模型,是高效检测Android移动应用风险,精准防范安全威胁的有效途径。ApkPecker 作为一款全自动Android应用漏洞扫描工具,能够输出高质量漏洞扫描报告,精准定位漏洞并提供修复建议,从而助力移动安全人员提升应用安全性。

同时,腾讯安全科恩实验室还基于移动应用渗透测试经验以及前沿攻击模式分析与总结,提出了适用于移动应用面向攻击面静态检测的安全自查雷达图,协助Android应用开发者全面、客观、高效地掌握移动应用静态检测安全风险的实时动态,为其突破安全检测高误报率瓶颈提供助益。在此基础上,腾讯安全科恩实验室将继续开放核心安全技术与能力,为各行业数字化转型变革的安全和健康发展贡献力量。

免责声明:“站长之家”的传媒资讯页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与我们联系删除或处理。稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性,更不对您的投资构成建议。我们不鼓励任何形式的投资行为、购买使用行为。

  • 相关推荐
  • 大家在看
  • 知乎联合腾讯安全发起社区净化计划 打击网络黑产

    今日,知乎与腾讯安全宣布联合发起社区净化计划,一方面基于知乎社区数据及腾讯安全积累的黑灰产知识图谱,针对黑产链路和违规信息进行实时共享、识别与联合打击。另一方面,双方将成立联合技术实验室,强化网络黑产的识别与治理技术。

  • 知乎联合腾讯安全启动社区净化计划 共同打击网络黑产

    9月28日消息,知乎与腾讯安全宣布联合发起社区净化计划,通过违规信息治理、技术共享等手段,共同打击网络黑产。今年8月,工业和信息化部公开征求意见,提将于21年初步建立电信和互联网行业数据安全标准体系,有效落实数据安全管理要求。在产业层面,各大互联网公司也通过技术、运营、开放联盟等多种手段,识别、治理、打击黑产。据介绍,此次知乎与腾讯安全就打击网络黑产形成共识与合作,联合发起内容净化计划。一方

  • 腾讯安全亮相 2020 中国电子政务安全大会,创新实践获双料大奖

    在政务数字化纵深发展的新风口下,政务数字平台的安全底座建设成为当务之急。 9 月 17 日,在中国信息协会主办的 2020 第二届中国电子政务安全大会主论坛上,腾讯安全基于在电子政务领域的创新实践,斩获“ 2020 中国电子政务领域信创特殊贡献”奖;同时,腾讯网络入侵防护系统——腾讯天幕,也凭借在安全算力算法上的创新实践,入选“ 2020 中国电子政务领域自主可控创新产品”, 并将作为优秀成果被收录到《 2020 中国数字化转型

  • 腾讯安全天御亮相2020AIIA人工智能开发者大会,内容识别能力再获权威认证

    伴随着新一代人工智能技术跃升为产业升级战略性技术,AI与作为产业发展底座的安全之间的连接与融合,成为各行业关注的焦点。9 月 28 日- 29 日,AIIA2020 人工智能开发者大会在北京召开,行业顶尖专家和前沿创新资源荟萃一堂,致力为人工智能的持续发展吸纳更多支撑动力。在 9 月 29 日举办的内容安全分论坛上,腾讯安全天御内容识别服务系统V5. 0 凭借其在内容识别服务方面的功能优势与模式创新,成功获得由中国人工智能产业发展?

  • 腾讯广告"去掉广告"

    尽管 2018 年前后整个移动互联网圈就在高喊“流量枯竭”“红利消失”“下半场真的来了”,但不得不承认即使在整体流量增量有限的这几年,仍然有人能盘活存量、异军突起。

  • 腾讯回应与滴滴合作:滴滴提供服务,腾讯地图提供平台

    针对媒体报道的腾讯与滴滴合作推出打车业务一事,腾讯方面回应称:腾讯地图聚合打车业务是与滴滴深度合作,滴滴提供出行服务、安全调度等打车技术方案,而腾讯地图作为用户流量场景,最终流量导给滴滴。

  • 围棋大师阿里,产品经理腾讯

    长期以来,作为中国互联网行业最头部的两位选手,阿里、腾讯一直被拿来比较。外界喜欢拿着不同的标准、从不同角度观察、衡量这两家明星企业。

  • 我们要怎么向微商学直播?!腾讯总监的深度分享

    ​在微信生态内研究新玩法时,必定会绕不开微商。发展至今,无论我们如何看待,每逢微信生态内新趋势、新机会出现时,都在或多或少借鉴他们的策略。如过去的社群、朋友圈带货、社交电商,及今天仍处红利期的直播卖货。腾讯直播总监刘硕裴近期就在关注这一话题。见实也因此邀请刘硕裴于见实 2020 大会的私享会环节就此做深度分享。

  • 腾讯:WeChat可能无法在美国获得新用户

    9月20日,腾讯控股有限公司在官网发布公告称,由于美国商务部日前颁布的限制令,该公司旗下产品WeChat可能无法在美国获得新用户,且现有的美国用户在使用及更新时也可能受到负面影响。公告中还表示,腾讯将继续与美国政府及其他利益相关方进行磋商,以达成长远解决方案。

  • 有赞与腾讯广告启动“烽火计划3.0”

    有赞昨日宣布联手腾讯广告启动“烽火计划3.0”,从昨日起至11月30日,面向全国招募社交电商营销实践者。

  • 腾讯金融是什么?官网上有那些业务?

    说到腾讯,相信大家并不陌生。但是说到腾讯金融科技,或许还有很多小伙伴会觉得有点迷茫,不知道这个腾讯金融科技是什么,更不知道腾讯金融官网上都有哪些业务。跟着小编一起来了解下吧。1、 腾讯金融是什么?腾讯金融全称为“腾讯金融科技”(Tencent Financial Technology简称“FiT”),是腾讯公司提供移动支付与金融服务的综合业务平台。前身为于 2005 年成立的“财付通”, 2015 年 9 月正式升级为腾讯金融科技。秉承合规、精品?

  • 斗鱼虎牙宣布合并 腾讯成控股股东

    12日,虎牙直播和斗鱼直播联合宣布已经与Tiger Company和Nectarine Investment Limited签署最终的合并协议。合并完成后,虎牙、斗鱼将分别持有合并后公司约50%的股份,腾讯将拥有新公司67.5%投票权,成为控股股东。此外,虎牙现任CEO董荣杰和斗鱼现任CEO陈少杰将担任合并后新公司的联席CEO。如果过程一切顺利,交易最终将在2021年上半年完成,随后,斗鱼将从纳斯达克退市。(完)

  • 腾讯正式关闭微博:再见了!

    10年了,腾讯终于还是走出了这一步,正式宣布放弃微博业务。今天,腾讯正式宣布,旗下微博官网宣布已于2020年9月28日晚23时59分停止服务和运营,目前用户无法登陆,不过大家可进行个人微博内容

  • ​腾讯电商卷土重来:这次不太一样

    几年前就为人所知的“私域流量”,又热闹地进入人们视线。不断开放的小程序功能、插件成为商家企业们线上渠道的得力助手。

  • 腾讯已全资持股虎牙 后者或为合并后公司的主体

    天眼查信息显示,近日,广州虎牙信息科技有限公司发生股东、企业类型等多项工商变更。其中,原股东广州华多网络科技有限公司、广州沁绿投资咨询有限公司退出,新增股东为林芝腾讯科技有限公司,持股比例为100%。 同时,企业类型由其他有限责任公司变更为有限责任公司(法人独资)。

  • 重磅!杨格|腾讯QQfamily智能门锁全国启动大会将于10.15在深圳腾讯总部盛大召开

    随着 5G商用网络的全面布局和人工智能的高速发展。智能产业俨然成为增长最快的风口产业。站在时代的风口,抓住机遇就等于抓住了未来。智能门锁作为智能产业中“入口级”产品,自然是智能生态领域不可或缺的应用工具。杨格作为专注于智能门锁20年的行业领袖标杆,以“一生做好一件事,专心做好智能锁”为核心理念,为人类构建美好智能生活为奋斗愿景,定位全球智控门锁专家,一直以前瞻战略眼光布局未来,早在今年4月,杨格就与腾讯

  • 腾讯携手虎牙成立安全联合实验室

    DoNews10月10日消息(记者 程梦玲)10月10日,虎牙公司与腾讯云、腾讯安全共同宣布成立安全联合实验室。双方将融合腾讯在云服务器底层算力、内容风险识别、反欺诈和威胁情报等方面的技术能力优势与虎牙公司在内容风控、安全攻防和直播业务场景的实战积累,围绕AI安全应用、黑产打击、安全攻防、数据标注、人工审核等多个领域展开技术交流与业务合作,共同建设AI智能审核平台及安全攻防机制,并以AI安全能力的应用扩容,在虎牙直播?

  • 联姻近了!腾讯全资控股虎牙,与斗鱼化敌为友?

    虎鱼合并,又有新消息传来!近期腾讯对虎牙实现了全资控股、斗鱼消除被执行人影响,这些动作让许多看客们兴奋起来,年底完成合并的传闻也愈演愈烈。

  • 腾讯月饼曝光:简单得像一块“砖” 员工吐槽

    9月22日,今天腾讯曝光了自家的中秋月饼,包装盒像极了一块“砖”,颜色青灰色,摸起来也略带粗糙。这份月饼也遭受了自家人有史以来最猛烈的“吐槽”,有腾讯员工感叹:今

  • 斗鱼、虎牙合并板上钉钉!腾讯已全资持有虎牙

    腾讯一直在推动中国两大直播平台虎牙和斗鱼的合并事宜,9月18日,腾讯已100%持股虎牙。现在看来,斗鱼与虎牙的合并已经毫无悬念了。腾讯对虎牙的投资早在2017年就已经开始布局,今年4月份,腾

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
  • 热门标签

热文

  • 3 天
  • 7天