IBM研究:2014年Android應用漏洞激增
IBM新研究表明,CERT新的開源安全工具“Tapioca”顯示Android應用漏洞無處不在。
根據(jù)IBM新研究表明,新開發(fā)的開源安全工具發(fā)現(xiàn)2014年已知移動應用漏洞大幅增加。在其2015年威脅情報季報中,IBM X-Force稱,2013年漏洞披露為8400個,而去年增加到30000個,這是X-Force在18年的歷史中數(shù)據(jù)最高的一年。
IBM X-Force研究人員Jason Kravitz表示,從往年的數(shù)據(jù)來看,2014年漏洞披露數(shù)量應該會出現(xiàn)適量下降,初步預計保持在7000到8000的范圍。
“你回望過去四五年會發(fā)現(xiàn),漏洞總數(shù)量一直保持平穩(wěn),”Kravitz說道,“所以我們對2014年的預測是應該會比2013年少一點。”
但事實并非如此,卡內基梅隆大學軟件工程研究所計算機應急響應小組(CERT)漏洞分析師Will Dormann開發(fā)出一種新方法來發(fā)現(xiàn)Android移動應用漏洞。
此前Dormann在研究中間人攻擊(MitM),并想以這種方式測試應用:即通過代理服務器路由應用流量,而不會提醒應用。因此,他需要設計一個代理服務器可以在應用層外部來測試。
Dormann的解決方案是CERT透明代理捕捉設備(Transparent Proxy Capture Appliance,Tapioca)。該工具在去年8月推出,可作為MitM軟件分析的透明網(wǎng)絡層代理。
“對于某些客戶端應用,你可以指明你想使用代理,”Dormann解釋說,“現(xiàn)在市面上已經(jīng)推出了一些MitM代理工具,例如ZAP、Burp和Fiddler,但如果你想測試不支持指定代理的應用,或者出于某些原因沒有使用OS配置代理的應用,則可以選擇Tapioca,它可以在網(wǎng)絡水平運行。”
Dormann解釋說,你需要做的是配置虛擬機,或者無線接入點用于物理測試,并使用Tapioca作為互聯(lián)網(wǎng)網(wǎng)關。對于這樣配置的任何系統(tǒng),Tapioca會看到所有通過網(wǎng)絡的Web請求。
很快,Dormann發(fā)現(xiàn)Tapioca可以用來檢查沒有正確驗證SSL證書的應用。并且,通過使用Android模擬器、Linux虛擬機(VM)和其他一些技巧,Dormann還可以自動化這個過程。他在多個虛擬機運行Tapioca工具長達數(shù)月,從2014年8月開始,2015年1月結束,測試的應用數(shù)量超過100萬。
根據(jù)X-Force威脅情報季報顯示,Tapioca是發(fā)現(xiàn)數(shù)千易受攻擊Android應用的關鍵;它搜尋整個Google Play Store,發(fā)現(xiàn)2014年Android應用漏洞激增。根據(jù)Tapioca項目發(fā)布的公共電子數(shù)據(jù)表顯示,23667個應用沒有通過動態(tài)測試,主要是因為這些應用包含因不正確SSL證書驗證導致的漏洞。
“我們通過Tapioca工具發(fā)現(xiàn)的是,其實有20000多個應用存在漏洞,而造成這個問題的是它們部署SSL的方式,”Kravitz稱,“這并不是它們包含的某個庫存在漏洞,這20000個應用本身包含漏洞。”
Kravitz稱,Tapioca工具是游戲規(guī)則顛覆者;X-Force本身登記了9200個漏洞,而這個開源安全工具發(fā)現(xiàn)的漏洞數(shù)量是這個數(shù)據(jù)的三倍。
“在過去,我們并不會發(fā)現(xiàn)那么多應用存在漏洞,”他表示,“如果Word Press插件有漏洞,這可能會影響10萬網(wǎng)站,但我們不會在數(shù)據(jù)庫中記錄10萬個漏洞,因為這其實是一個漏洞。”
對于每個未通過測試的應用,CERT都聯(lián)系了相應的應用開發(fā)人員(如果Play Store中提供了聯(lián)系方式)。但每1000名開發(fā)人員中只有1名開發(fā)人員報告回CERT,并確認修復了該漏洞。Kravitz稱,目前還不清楚這些漏洞已經(jīng)存在多長時間。
“假設這些應用在去年10月之前推出,那么它們可能有這個漏洞,”Kravitz稱,“在CERT開始使用Tapioca工具測試這些應用之前,沒有人發(fā)現(xiàn)這些漏洞。”
隨后,Dormann以眾包方式使用Tapioca工具來測試。新的Android應用正層出不窮,而舊應用的新版本也不斷推出。CERT還沒有測試iOS和其他移動平臺,主要是由于這些平臺缺乏類似Android De-bug Bridge(ADP)的工具,讓用戶可以與模擬器實例進行交互。沒有這種命令行工具,Tapioca無法自動化,讓測試沒那么可行。
“對于iPhone SDK,他們有iPhone模擬器,但這只是模擬應用的外觀和感覺,”Dormann稱,“為了使用Tapioca測試應用,你需要與在網(wǎng)絡層面運作方式相同的東西。”
Dormann也嘗試對iPhone進行檢測,將其關聯(lián)到一個接入點,但他表示如果需要物理電話的話,大規(guī)模測試iOS應用不太可能。現(xiàn)在還不知道對于iOS,Tapioca可以實現(xiàn)何種程度的自動化。
X-Force報告稱,Tapioca不僅改變了2014年漏洞披露數(shù)量,還改變了大家對應該如何記錄漏洞披露的討論。雖然Tapioca工具被用于合法研究目的,Dormann承認,攻擊者和網(wǎng)絡犯罪分子可以利用這個開源工具來發(fā)現(xiàn)和利用漏洞,甚至在開發(fā)人員有機會修復它們之前。
“對于任何特別的安全工具,有人會將其用于好的目的,”Dormann稱,“也有人可能將其用于損害他人利益的事情,工具的可用性只是幫助提高軟件的質量。”
