上中下游全線失守 如何防御安卓軟件供應鏈攻擊？

在移動端病毒總量下降的安全環(huán)境下，不法分子調(diào)整攻擊目標，直接針對Android軟件供應鏈環(huán)節(jié)發(fā)起的攻擊，正在給普通用戶、開發(fā)者、手機廠商等主體帶來全新的安全難題。

騰訊安全反詐騙實驗室在7月25日發(fā)布的《網(wǎng)絡安全新常態(tài)下Android應用供應鏈安全探秘》(下簡稱報告)中指出，供應鏈的攻擊事件增多，攻擊的深度和廣度的延伸也給移動安全廠商帶來了更大的挑戰(zhàn)。同時，傳統(tǒng)的防御手段在面對這種更具有針對性、隱蔽性的攻擊時，顯得捉襟見肘，極需一種新時代的安全體系來保護組織和用戶的安全。

供應鏈攻擊成不法分子“新寵”：范圍廣、危害大、成本低

自2014年移動端惡意軟件爆發(fā)時增長以來，Google、手機廠商和移動安全廠商都投入了巨大的精力，與惡意開發(fā)者進行了激烈的對抗。過去幾年，經(jīng)過各方的共同努力，普通Android惡意軟件的迅猛增長趨勢已經(jīng)得到遏制。更高端的攻擊逐漸成為不法分子的“轉(zhuǎn)型”方向，在此其中，針對Android軟件供應鏈的薄弱環(huán)節(jié)發(fā)起攻擊備受青睞。

根據(jù)報告披露的安全事件顯示，近年來供應鏈的開發(fā)、分發(fā)、使用等上中下游環(huán)節(jié)均出現(xiàn)重大安全事件，影響用戶量級從十萬到百萬甚至上千萬不等。以2017年6月安全研究人員提交的俄羅斯最大社交網(wǎng)站VK.com的FFmpeg的遠程任意文件讀取漏洞為例，由于主流的視頻應用幾乎都采用了FFmpeg這一開源框架，意味著一旦該漏洞被不法黑客利用，影響無法估量。

(Android軟件供應鏈各環(huán)節(jié)均爆重大安全事件)

報告還指出，針對供應鏈下游(分發(fā)環(huán)節(jié))攻擊的安全事件占據(jù)了供應鏈攻擊的大頭，受影響用戶數(shù)多在百萬級別，且層出不窮。類似于Xcode Ghost這類污染開發(fā)工具針對軟件供應鏈上游(開發(fā)環(huán)境)進行攻擊的安全事件較少，但攻擊一旦成功，卻可能影響上億用戶。

除此之外，針對供應鏈各環(huán)節(jié)被揭露出來的攻擊在近幾年都呈上升趨勢，在趨于更加復雜化的互聯(lián)網(wǎng)環(huán)境下，軟件供應鏈所暴露給攻擊者的攻擊面越來越多，并且越來越多的攻擊者也發(fā)現(xiàn)針對供應鏈的攻擊相對針對應用本身或系統(tǒng)的漏洞攻擊可能更加容易，成本更低。

下一代防御手段迫在眉睫 騰訊TRP-AI防病毒引擎或提供解決之道

如何防御日益增多的供應鏈攻擊成為包括手機廠商、應用開發(fā)者、應用市場、安全廠商、普通用戶等各主體都迫切解決的問題。

尤其對于安全廠商而言，它們面對的是對抗能力更強的新對手。報告指出，無論是基于特征碼查殺、啟發(fā)式殺毒這類以靜態(tài)特征對抗靜態(tài)代碼的第一代安全技術，還是以云查殺和機器學習對抗樣本變種、使用白名單和“非白即黑”的限制策略等主動防御手段為主的第二代安全技術，在面對更具有針對性、隱蔽性的攻擊時，都顯得捉襟見肘。

報告認為，應用開發(fā)、交付、使用等環(huán)節(jié)都存在巨大的安全威脅，其導致的危害并不低于安全漏洞所導致的情況，因此僅關注軟件及操作系統(tǒng)本身的安全威脅遠遠不夠。安全廠商需要從完整的軟件供應鏈角度形成全景的安全視野，才能解決更多縱深的安全風險。建議安全廠商加強提升發(fā)現(xiàn)安全問題的能力及提供創(chuàng)新型的產(chǎn)品和服務。

為應對未來嚴峻的安全挑戰(zhàn)，騰訊安全立足終端安全，推出自研AI反病毒引擎——騰訊TRP-AI反病毒引擎，通過對系統(tǒng)層的敏感行為進行監(jiān)控，配合能力成熟的AI技術能有效識別惡意應用的風險行為，為用戶提供更高智能的實時終端安全防護。同時針對惡意軟件開發(fā)者和黑產(chǎn)從業(yè)人員，騰訊安全反詐騙實驗室基于海量數(shù)據(jù)建立了神羊情報系統(tǒng)，可以溯源追蹤惡意攻擊的攻擊鏈條、使用的技術手段、背后的開發(fā)團隊/者，從而提供詳細的威脅情報，予以精確打擊，保護廠商和廣大用戶免受惡意軟件侵害。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。