IBM研究:2014年Android應用漏洞激增
IBM新研究表明,CERT新的開源安全工具“Tapioca”顯示Android應用漏洞無處不在。
根據IBM新研究表明,新開發的開源安全工具發現2014年已知移動應用漏洞大幅增加。在其2015年威脅情報季報中,IBM X-Force稱,2013年漏洞披露為8400個,而去年增加到30000個,這是X-Force在18年的歷史中數據最高的一年。
IBM X-Force研究人員Jason Kravitz表示,從往年的數據來看,2014年漏洞披露數量應該會出現適量下降,初步預計保持在7000到8000的范圍。
“你回望過去四五年會發現,漏洞總數量一直保持平穩,”Kravitz說道,“所以我們對2014年的預測是應該會比2013年少一點。”
但事實并非如此,卡內基梅隆大學軟件工程研究所計算機應急響應小組(CERT)漏洞分析師Will Dormann開發出一種新方法來發現Android移動應用漏洞。
此前Dormann在研究中間人攻擊(MitM),并想以這種方式測試應用:即通過代理服務器路由應用流量,而不會提醒應用。因此,他需要設計一個代理服務器可以在應用層外部來測試。
Dormann的解決方案是CERT透明代理捕捉設備(Transparent Proxy Capture Appliance,Tapioca)。該工具在去年8月推出,可作為MitM軟件分析的透明網絡層代理。
“對于某些客戶端應用,你可以指明你想使用代理,”Dormann解釋說,“現在市面上已經推出了一些MitM代理工具,例如ZAP、Burp和Fiddler,但如果你想測試不支持指定代理的應用,或者出于某些原因沒有使用OS配置代理的應用,則可以選擇Tapioca,它可以在網絡水平運行。”
Dormann解釋說,你需要做的是配置虛擬機,或者無線接入點用于物理測試,并使用Tapioca作為互聯網網關。對于這樣配置的任何系統,Tapioca會看到所有通過網絡的Web請求。
很快,Dormann發現Tapioca可以用來檢查沒有正確驗證SSL證書的應用。并且,通過使用Android模擬器、Linux虛擬機(VM)和其他一些技巧,Dormann還可以自動化這個過程。他在多個虛擬機運行Tapioca工具長達數月,從2014年8月開始,2015年1月結束,測試的應用數量超過100萬。
根據X-Force威脅情報季報顯示,Tapioca是發現數千易受攻擊Android應用的關鍵;它搜尋整個Google Play Store,發現2014年Android應用漏洞激增。根據Tapioca項目發布的公共電子數據表顯示,23667個應用沒有通過動態測試,主要是因為這些應用包含因不正確SSL證書驗證導致的漏洞。
“我們通過Tapioca工具發現的是,其實有20000多個應用存在漏洞,而造成這個問題的是它們部署SSL的方式,”Kravitz稱,“這并不是它們包含的某個庫存在漏洞,這20000個應用本身包含漏洞。”
Kravitz稱,Tapioca工具是游戲規則顛覆者;X-Force本身登記了9200個漏洞,而這個開源安全工具發現的漏洞數量是這個數據的三倍。
“在過去,我們并不會發現那么多應用存在漏洞,”他表示,“如果Word Press插件有漏洞,這可能會影響10萬網站,但我們不會在數據庫中記錄10萬個漏洞,因為這其實是一個漏洞。”
對于每個未通過測試的應用,CERT都聯系了相應的應用開發人員(如果Play Store中提供了聯系方式)。但每1000名開發人員中只有1名開發人員報告回CERT,并確認修復了該漏洞。Kravitz稱,目前還不清楚這些漏洞已經存在多長時間。
“假設這些應用在去年10月之前推出,那么它們可能有這個漏洞,”Kravitz稱,“在CERT開始使用Tapioca工具測試這些應用之前,沒有人發現這些漏洞。”
隨后,Dormann以眾包方式使用Tapioca工具來測試。新的Android應用正層出不窮,而舊應用的新版本也不斷推出。CERT還沒有測試iOS和其他移動平臺,主要是由于這些平臺缺乏類似Android De-bug Bridge(ADP)的工具,讓用戶可以與模擬器實例進行交互。沒有這種命令行工具,Tapioca無法自動化,讓測試沒那么可行。
“對于iPhone SDK,他們有iPhone模擬器,但這只是模擬應用的外觀和感覺,”Dormann稱,“為了使用Tapioca測試應用,你需要與在網絡層面運作方式相同的東西。”
Dormann也嘗試對iPhone進行檢測,將其關聯到一個接入點,但他表示如果需要物理電話的話,大規模測試iOS應用不太可能。現在還不知道對于iOS,Tapioca可以實現何種程度的自動化。
X-Force報告稱,Tapioca不僅改變了2014年漏洞披露數量,還改變了大家對應該如何記錄漏洞披露的討論。雖然Tapioca工具被用于合法研究目的,Dormann承認,攻擊者和網絡犯罪分子可以利用這個開源工具來發現和利用漏洞,甚至在開發人員有機會修復它們之前。
“對于任何特別的安全工具,有人會將其用于好的目的,”Dormann稱,“也有人可能將其用于損害他人利益的事情,工具的可用性只是幫助提高軟件的質量。”
