IBM研究:2014年Android應(yīng)用漏洞激增
IBM新研究表明,CERT新的開源安全工具“Tapioca”顯示Android應(yīng)用漏洞無處不在。
根據(jù)IBM新研究表明,新開發(fā)的開源安全工具發(fā)現(xiàn)2014年已知移動(dòng)應(yīng)用漏洞大幅增加。在其2015年威脅情報(bào)季報(bào)中,IBM X-Force稱,2013年漏洞披露為8400個(gè),而去年增加到30000個(gè),這是X-Force在18年的歷史中數(shù)據(jù)最高的一年。
IBM X-Force研究人員Jason Kravitz表示,從往年的數(shù)據(jù)來看,2014年漏洞披露數(shù)量應(yīng)該會(huì)出現(xiàn)適量下降,初步預(yù)計(jì)保持在7000到8000的范圍。
“你回望過去四五年會(huì)發(fā)現(xiàn),漏洞總數(shù)量一直保持平穩(wěn),”Kravitz說道,“所以我們對2014年的預(yù)測是應(yīng)該會(huì)比2013年少一點(diǎn)。”
但事實(shí)并非如此,卡內(nèi)基梅隆大學(xué)軟件工程研究所計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERT)漏洞分析師Will Dormann開發(fā)出一種新方法來發(fā)現(xiàn)Android移動(dòng)應(yīng)用漏洞。
此前Dormann在研究中間人攻擊(MitM),并想以這種方式測試應(yīng)用:即通過代理服務(wù)器路由應(yīng)用流量,而不會(huì)提醒應(yīng)用。因此,他需要設(shè)計(jì)一個(gè)代理服務(wù)器可以在應(yīng)用層外部來測試。
Dormann的解決方案是CERT透明代理捕捉設(shè)備(Transparent Proxy Capture Appliance,Tapioca)。該工具在去年8月推出,可作為MitM軟件分析的透明網(wǎng)絡(luò)層代理。
“對于某些客戶端應(yīng)用,你可以指明你想使用代理,”Dormann解釋說,“現(xiàn)在市面上已經(jīng)推出了一些MitM代理工具,例如ZAP、Burp和Fiddler,但如果你想測試不支持指定代理的應(yīng)用,或者出于某些原因沒有使用OS配置代理的應(yīng)用,則可以選擇Tapioca,它可以在網(wǎng)絡(luò)水平運(yùn)行。”
Dormann解釋說,你需要做的是配置虛擬機(jī),或者無線接入點(diǎn)用于物理測試,并使用Tapioca作為互聯(lián)網(wǎng)網(wǎng)關(guān)。對于這樣配置的任何系統(tǒng),Tapioca會(huì)看到所有通過網(wǎng)絡(luò)的Web請求。
很快,Dormann發(fā)現(xiàn)Tapioca可以用來檢查沒有正確驗(yàn)證SSL證書的應(yīng)用。并且,通過使用Android模擬器、Linux虛擬機(jī)(VM)和其他一些技巧,Dormann還可以自動(dòng)化這個(gè)過程。他在多個(gè)虛擬機(jī)運(yùn)行Tapioca工具長達(dá)數(shù)月,從2014年8月開始,2015年1月結(jié)束,測試的應(yīng)用數(shù)量超過100萬。
根據(jù)X-Force威脅情報(bào)季報(bào)顯示,Tapioca是發(fā)現(xiàn)數(shù)千易受攻擊Android應(yīng)用的關(guān)鍵;它搜尋整個(gè)Google Play Store,發(fā)現(xiàn)2014年Android應(yīng)用漏洞激增。根據(jù)Tapioca項(xiàng)目發(fā)布的公共電子數(shù)據(jù)表顯示,23667個(gè)應(yīng)用沒有通過動(dòng)態(tài)測試,主要是因?yàn)檫@些應(yīng)用包含因不正確SSL證書驗(yàn)證導(dǎo)致的漏洞。
“我們通過Tapioca工具發(fā)現(xiàn)的是,其實(shí)有20000多個(gè)應(yīng)用存在漏洞,而造成這個(gè)問題的是它們部署SSL的方式,”Kravitz稱,“這并不是它們包含的某個(gè)庫存在漏洞,這20000個(gè)應(yīng)用本身包含漏洞。”
Kravitz稱,Tapioca工具是游戲規(guī)則顛覆者;X-Force本身登記了9200個(gè)漏洞,而這個(gè)開源安全工具發(fā)現(xiàn)的漏洞數(shù)量是這個(gè)數(shù)據(jù)的三倍。
“在過去,我們并不會(huì)發(fā)現(xiàn)那么多應(yīng)用存在漏洞,”他表示,“如果Word Press插件有漏洞,這可能會(huì)影響10萬網(wǎng)站,但我們不會(huì)在數(shù)據(jù)庫中記錄10萬個(gè)漏洞,因?yàn)檫@其實(shí)是一個(gè)漏洞。”
對于每個(gè)未通過測試的應(yīng)用,CERT都聯(lián)系了相應(yīng)的應(yīng)用開發(fā)人員(如果Play Store中提供了聯(lián)系方式)。但每1000名開發(fā)人員中只有1名開發(fā)人員報(bào)告回CERT,并確認(rèn)修復(fù)了該漏洞。Kravitz稱,目前還不清楚這些漏洞已經(jīng)存在多長時(shí)間。
“假設(shè)這些應(yīng)用在去年10月之前推出,那么它們可能有這個(gè)漏洞,”Kravitz稱,“在CERT開始使用Tapioca工具測試這些應(yīng)用之前,沒有人發(fā)現(xiàn)這些漏洞。”
隨后,Dormann以眾包方式使用Tapioca工具來測試。新的Android應(yīng)用正層出不窮,而舊應(yīng)用的新版本也不斷推出。CERT還沒有測試iOS和其他移動(dòng)平臺,主要是由于這些平臺缺乏類似Android De-bug Bridge(ADP)的工具,讓用戶可以與模擬器實(shí)例進(jìn)行交互。沒有這種命令行工具,Tapioca無法自動(dòng)化,讓測試沒那么可行。
“對于iPhone SDK,他們有iPhone模擬器,但這只是模擬應(yīng)用的外觀和感覺,”Dormann稱,“為了使用Tapioca測試應(yīng)用,你需要與在網(wǎng)絡(luò)層面運(yùn)作方式相同的東西。”
Dormann也嘗試對iPhone進(jìn)行檢測,將其關(guān)聯(lián)到一個(gè)接入點(diǎn),但他表示如果需要物理電話的話,大規(guī)模測試iOS應(yīng)用不太可能。現(xiàn)在還不知道對于iOS,Tapioca可以實(shí)現(xiàn)何種程度的自動(dòng)化。
X-Force報(bào)告稱,Tapioca不僅改變了2014年漏洞披露數(shù)量,還改變了大家對應(yīng)該如何記錄漏洞披露的討論。雖然Tapioca工具被用于合法研究目的,Dormann承認(rèn),攻擊者和網(wǎng)絡(luò)犯罪分子可以利用這個(gè)開源工具來發(fā)現(xiàn)和利用漏洞,甚至在開發(fā)人員有機(jī)會(huì)修復(fù)它們之前。
“對于任何特別的安全工具,有人會(huì)將其用于好的目的,”Dormann稱,“也有人可能將其用于損害他人利益的事情,工具的可用性只是幫助提高軟件的質(zhì)量。”
