×

移动数据窃取:共享应用库带来的风险
  

漫花红小豆 8127

{{ttag.title}}

研究人员表示很多移动应用使用的共享第三方库可能通过“库内串通”增加移动数据被盗的风险。




研究人员表示很多移动应用使用的共享第三方库可能通过“库内串通”增加移动数据被盗的风险。

英国剑桥大学罗宾逊学院教授Alastair Beresford以及牛津大学博士生Vincent Taylor及副教授Ivan Martinovic在论文《Intra-Library Collusion: A Potential Privacy Nightmare on Smartphones》中详细谈到了这个问题。

根据研究人员介绍,这个问题经常被忽视,因为移动安全“通常会分别检查应用和第三方库”,但是,他们声称如果这些共享库被同时用于移动数据盗窃,可能会造成更大损失。

“这种攻击,我们称之为库内串通,当单个库嵌入到设备的多个应用就可能发生这种攻击,它可利用组合权限来窃取敏感用户数据,”研究人员写道,“库内串通攻击的存在是因为,如果库包含与主机应用及流行库相同权限,则可能被设备中多个应用使用。”

该研究小组共研究3万部智能手机,他们发现由于不同应用被授予不同权限,恶意攻击者可整合每个应用的权限,以构建用户配置文件或执行移动数据窃取。

应用安全软件供应商Checkmarx公司应用安全战略全球主管Matthew Rose称,恶意攻击者可使用多种方法来感染共享库。

“通常来看,第三方库由维护代码库的人员来维护。由于这些库有很多贡献者,有时候很难让一个人来负责整个库代码,而这可能会允许被插入恶意代码,”Rose指出,“还存在另一个问题,这些库可能继承其他代码库的功能,所以在风险和对现有第三方库的利用方面存在相互作用。”

研究人员表示,广告库可能获得额外权限,这使得这种攻击更加危险,因为这些库可未经用户同意下跟踪用户。

该研究侧重于Android系统,这是由于Android设备安装的应用列表数据可用,但该研究小组指出他们认为在iOS上也同样是如此,因为iOS系统存在相似的访问控制和应用部署。

截至发稿时,谷歌和苹果公司都没有对此发表任何评论。

移动数据盗窃和权限变化

不幸的是,研究人员并没有简单的解决方案来缓解库内串通导致的移动数据盗窃风险。这些研究人员指出有一种方法可限制授予这些库的权限,但这样做可能会影响开发人员通过其应用获利的能力,这会对“进入市场的新应用开发人员造成威慑,而最终也可能会让用户受到影响”。

此外,该研究小组建议,运营应用商店的企业或者国家机构可指定政策或法律来检测和删除恶意的第三方库,但每种方法都有各自的问题。检测很困难,因为应用可能有合法的理由将数据发送到设备外,并且,这种执法可能无法超出应用程序的范围。

Fidelis 某公司威胁情报经理John Bambenek称:“恶意库可能不会被发现,但还有更简单的窃取移动数据的方法。”

“为了执行这种攻击,恶意攻击者需要创建一个库,由多个应用程序使用。随后他们会说服用户下载具有很多权限的应用,”Bambenek称,“在现实世界中,恶意攻击者首先会让受害者安装具有很多权限的应用,因为这样更直接和更容易。不过,我认为在短期内这种攻击不会被武器化。”

Rose称,更重要的问题是“人们在安装移动应用时需要知道它需要什么权限”。

“这个应用真的需要访问你的文件系统、地理位置或相机吗?请想一下该移动应用的预期用途是什么,并问自己是否需要比实际更多的权限,”Rose说,“如果权限请求与你的预期不符,则不要安装或者授予权限。”

Bambenek认为开发人员也需要谨慎小心,确保不会出现其应用通过超越权限尝试窃取移动数据。

“移动开发人员以及一般开发人员都需要关注编码安全性,以及最低权限,”Bambenek称,“开发人员应该采用这种开发模式,即编写只进行必要操作的代码,这样会非常有帮助。”

雨娃梦娃 发表于 2017-8-27 18:34
  
不大懂。。。
feeling 发表于 2017-8-30 17:20
  
这篇文字好复杂,看不懂
虫儿飞亮 发表于 2018-1-31 22:57
  
“移动开发人员以及一般开发人员都需要关注编码安全性,以及最低权限”,这话不错
雨娃梦娃 发表于 2018-10-30 22:40
  
我正在参加社区万圣节活动,楼主不给我豆豆,我就在你这儿捣蛋
煮雨听茶 发表于 2018-10-30 22:45
  
我正在参加社区万圣节活动,楼主不给我豆豆,我就在你这儿捣蛋
五月虎 发表于 2018-10-30 22:47
  
我正在参加社区万圣节活动,楼主不给我豆豆,我就在你这儿捣蛋
七月人 发表于 2018-10-30 22:49
  
我正在参加社区万圣节活动,楼主不给我豆豆,我就在你这儿捣蛋
新手959695 发表于 2018-10-30 22:52
  
我正在参加社区万圣节活动,楼主不给我豆豆,我就在你这儿捣蛋
新手805957 发表于 2018-10-30 22:53
  
我正在参加社区万圣节活动,楼主不给我豆豆,我就在你这儿捣蛋
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
【 社区to talk】
安全效果
干货满满
技术笔记
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人