悬镜CEO张涛浅谈《APP风险评估探索实践》 – 作者:悬镜安全实验室

 · 导语 ·

2017823-24日以“数据时代,安全护航”为主题的“2017年第四届网络安全(中国)论坛活动在上海成功举办。北京安普诺公司创始人兼CEO张涛先生,应邀在论坛“企业级信息安全防护”上做了主题为《安卓App风险评估探索实践》精彩分享。以下是小编根据张涛先生演讲的内容进行编译报道。

数据统计显示,65%的移动APP至少存在1个高危漏洞,平均一个APP就有7.32个漏洞。其中88%的金融类APP存在内存数据敏感泄露问题,每10个娱乐类APP就有9个至少包含一个高危漏洞;96%移动APP至少有1个低危漏洞;88%移动APP至少有1个中危漏洞;65%移动APP至少有一个高危漏洞。

app.png

APP业务系统主要面临哪些安全威胁?又如何以最低成本解决当下APP业务系统面临各种安全风险?

一、安卓APP产品面临的风险?

企业级APP产品面临的安全风险主要包括以下四个方面:

安卓产品风险.jpg

图片截图来源张涛先生演讲PPT

01.APP应用安全

各类高危应用漏洞是APP本身存在的主要安全风险,其中漏洞类型主要集中在“拒绝服务”、“Webview明文存储密码”、“密钥硬编码风险”及“AES/DES弱加密风险”中,“密钥硬编码风险”和“AES/DES弱加密风险” 漏洞会让基于密码学的信息安全基础瓦解。

因为常用的密码学算法都是公开的,加密内容的保密依靠的是密钥的保密,密钥如果泄露,对于对称密码算法,根据用到的密钥算法和加密后的密文,很容易得到加密前的明文;

对于非对称密码算法或者签名算法,根据密钥和要加密的明文,很容易获得计算出签名值,从而伪造签名。

此外,病毒木马威胁也是制约APP业务安全运行的关键因素。2016年度,Android平台约10台设备中就有1台染毒,设备感染率达10%,移动病毒利用多种手法如重打包知名应用、伪装成生活类、色情类应用等传播,在每天新增如此多病毒的恶意环境下,Android用户必须时刻警惕在官方场合下载应用。

除了隐藏恶意代码,伪装成合法的应用程序进行广告推送等常用恶意软件使用的技巧,攻击者使用更复杂的技术,针对用户进行诈骗,敲诈等行为,获取利益最大化。

02.APP源码安全

主要对应的是覆盖“OWASP top 10 mobilesecurity risk”的逆向工程风险,APK文件被反编译后较为容易就可获取源码,暴露程序的逻辑及关键算法,破坏程序完整性、机密性,达到盗版应用、破解认证等目的。

比如反编译源码后去山寨应用,一个触目惊心的数据是:依据不同行业,社交类APP被仿冒最严重,仿冒最严重的APP月下载量超20万次。【数据统计来源FreeBuf】;破解算法逻辑伪造客户端刷单。

可见一旦攻击者获取APP源码,将会给企业带来多大的损失。

03.APP数据安全

Android提供的默认存储方式,传输方式不够安全,容易被窃取、劫持。主要是存储在APP系统中本身的漏洞;比如一些应用提供记住密码功能,将密码数据存储在本地,获取Root权限的应用可以任意读取这些数据。数据传输过程用Http实现的应用,传输内容都是明文,订单信息、电话号码这类数据很容易泄露。

04.服务端安全:

根据悬镜安全实验室的理解,主要包括服务器端接口安全和服务器端边界安全。

其中服务器端接口安全主要是指移动APP应用与服务器后台通讯交互时,接口存在的业务逻辑安全,攻击者可以通过客户端快速发现服务端接口地址及调用逻辑;

服务器边界安全主要是指APP服务器上的典型网络服务应用、中间件漏洞和弱口令风险等边界安全。 比如利用接口逻辑漏洞刷单、刷点击量、0元购买等。

二、企业移动安全业务痛点

看不清:由于安卓手机厂商各异,低版本系统、可Root机型众多,应用的运行环境难以得到保障,并且有些企业业务复杂,资产和薄弱点都不清楚,风险状况如何才能做到清晰可衡量呢?

买不起:一个中小开发者,一台漏洞扫描设备20万起,一个运维人员每年年薪15万起,对于中小型企业来说,活起来是当下最重要的事情,安全变得遥不可及也是可以理解的。

防不住:买了一堆防火墙、IPS,投入很多时间进行配置更新,为什么渗透攻击总是能成功?

难落地:安全部署工作又笨重且繁琐,运维和开发不全力配合,如何才能把安全有效落地?

 涛哥1.jpg

三、如何解决移动业务安全面临的问题

针对当前大多数企业在信息安全体系建设上面临上述困境,悬镜安全实验室根据这些年在移动APP业务安全上的积累,做了一些有意义的探索实践。 

01.检测维度

技术上,主要从APP应用安全检测和APP服务端安全检测两个维度进行检测。APP应用安全检测主要包括漏洞的检测、APP仿冒的检测、敏感信息泄露的检测;APP服务端安全检测主要从基础服务安全和业务安全两个方面来进行检测。

 APP应用安全检测:利用自动化检测工具,结合静态和动态结合检测方式对APP进行安全检查。

应用安全.jpg
图片截图来源张涛先生演讲PPT


APP服务端安全主要是从服务端边界安全和服务端接口安全两个方面进行检测的;

服务器端.jpg

图片截图来源张涛先生演讲PPT


服务端边界安全主要包括:

边界安全.png

图片截图来源张涛先生演讲PPT

服务端接口安全:接口安全和Web接口有很多相似之处,有时候是通用的。通过客户端可以快速发现服务端接口地址及调用逻辑。

服务端接口安全主要包括两方面,一是通用安全问题,另一方面是业务逻辑安全。

接口安全.png

图片截图来源张涛先生演讲PPT


业务逻辑安全与业务联系非常紧密,不同的APP Server早代码实现中有所差别,但是主要安全点还是逃不开以上内容。

02.检测方法

目前APP检测形式主要分为两类:一类是自动化分析平台,是目前比较主流在线的漏洞检测平台;另一类是近年来兴起的手动评估,通过逆向工程+渗透测试的方式对APP进行全面的风险评估。

自动化的分析平台,例如:Mobsf、Drozer、Androidguard等开源检测工具,这些工具不同程度上支持静态检测和动态分析,以及App后端Web API漏洞等检测。但是这些工具只能检测一些最基本的安全问题,检测力度远远无法达到用户要求,并且边界的安全检测及业务逻辑安全问题,目前这些工具是涉及不到的。

人工检测与自动化检测两者谁更胜一筹?这或许并没有很好地答案,自动化工具或许更快捷、简便,但是通过手动的人工分析能够发现自动化检测中无法发现的漏洞,并且在检测过程中擅长业务逻辑漏洞检测和利用。 因为是人工进行检测,人的经验、创造力、好奇心也是辗压自动化攻击的。同时接口覆盖也会更加的全面,部分接口漏洞无法通过自动化工具来发现。

03.悬镜一站式解决方案

如何更好的实现对移动业务的安全防护呢?

悬镜提供的一站式解决方案,帮助客户解决因安全问题带来的业务损失。悬镜从创立之初,就以+一站式服务器防黑加固为出发点,致力于为大型国企、金融、商超、高校、开发服务商、云主机服务商等各类企业打造可信的业务安全闭环生态。

一站式.jpg

图片截图来源张涛先生演讲PPT

APP在研发阶段,产品研发人员主要考虑的是产品功能、性能指标的快速实现,业务安全评估建设基本不会出现在研发目标清单上。APP上线之后,遇到各类安全问题,如APP被二次打包,APP被注入木马、恶意病毒等影响用户的正常体验。为了解决客户APP上线遇到的各类安全隐患,悬镜安全实验室开发了一款针对移动APP应用进行自动化安全评估的产品,我们取名为:天玄APP风险评估系统。

在开发阶段,严格按照安全开发规范、标准进行开发,为了防止APP被植入恶意程序,通过源码审计的方式从源头扼制病毒的扩展,帮助企业减少损失。APP上线之前也需要进行严格的测试,特别是和业务逻辑紧密相关的APP,通过APP安全风险评估系统进行检测,来评估系统是否存在“应用安全、应用漏洞、源码安全、数据安全、恶意行为” 等方面的安全隐患。 

11.png

天玄APP风险评估系统出具的检测报告-部分截图

针对服务器系统漏洞、网站漏洞扫描的产品——云鉴。用户只需在服务器端输入一条命令或提交一个URL,云鉴平台将会自动化的检测并出具报告。当然还有一些用户期望进行人工进行检测,不论是服务器端还是APP Server端的人工检测,悬镜安全实验室均能够实现支持。对于一些大型客户,涉及企业机密性较强,悬镜安全实验室将进行定制化的服务,提供APT模拟攻击测试。

如果把一个APP的研发到投入市场运营来比喻成孩子的过程。孩子生出来,我们希望孩子能健康、茁壮的成长。在孩子成长的过程中可能会遇到各种各样的困难,安全问题,我们都会帮助孩子解决问题。APP在运维阶段,除了需要大量的人力进行运营,也需要时不时的进行维护。比如说APP检测出现了问题,如何进行加固?服务器端被攻击,导致APP、网站等不能正常打开,如何进行安全事件应急响应,这些我们都为客户想到了。

说到天玄APP风险智能检测平台,我们来说下整个检测过程是如何实现的。首先客户需要提供一个APK文件,然后开始进行信息检测,检测内容主要是一些厂商信息,自动化检测加固特征并脱壳。静态检测主要是通过控制流、数据流两方面进行。动态检测主要是利用污点分析技术来实现的。天玄APP风险智能检测平台覆盖了OWASP10 Moblie Security Risk APP客户端应用安全检测,APP后端Web API安全检测,这款系统由优于市面上常见的开源Mobsf 、Drozer等开源工具,能够进行自动检测加固并脱壳。其中包含风险、漏洞的利用场景描述和修复指引等。

 基于攻击链(Killchain)模型的纵深防御体系,为APP业务防黑加固量身打造的悬镜服务器卫士。集安全巡检、主机加固、网络防护、应用防护、木马查杀、资源监控于一身。

涛哥2.jpg

张涛先生现场分享图片


上面主要介绍了悬镜目前主推的几款安全产品,接下来将会介绍悬镜安全实验室主打的安全服务。

为什么说给服务器上了WAF还是遭受攻击呢?不少企业信息安全负责人抱怨说:你说我都买了WAF防火墙了,怎么还是遭受了攻击?我们都知道产品都是按照一定的规则通过代码的形式进行实现的,攻击者一般比你还懂你的服务器相关信息,他们有大把的时间,第一天破解不了,大不了多用几天,只要是产品,一定会存在漏洞的,而且也会迟早会被攻击者发现。

通过定期的安全服务,人能够发现安全产品中所防御不了的安全问题。这就是为什么现在众测平台这么火的原因。 明明上线的项目经过多次的测试没有问题了,但经过渗透测试、众测之后还是会发现很多安全隐患。

为此,悬镜实验室基于用户需求以及深度的安全市场的充分调研——安全巡检、渗透测试、应急响应、防黑加固服务能够为不同类型的用户带来更加全面的安全防护。

安全服务.jpg

图片截图来源张涛先生演讲PPT

我非常喜欢一句话,用这句话来结束今天的演讲,同时也送给大家。谢谢。

涛哥3.jpg

关于悬镜

“悬镜”是北京安普诺信息技术有限公司旗下的专业服务器安全品牌,“悬镜安全实验室”是隶属安普诺的信息安全研究团队。 北京安普诺,由北京大学白帽黑客团队“Xmirror”主导创立,专注于动态数据中心和云计算租户侧的高级定向攻击防护,核心业务主要包括悬镜云卫士、云鉴网站威胁扫描系统等自主创新产品及以实战攻防对抗为特色的政企安全服务,专注为媒体云、政务云、教育云等平台用户提供创新灵活的自适应安全智能管家解决方案。

4.jpg

来源:freebuf.com 2018-07-24 19:13:51 by: 悬镜安全实验室

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论