研究人員表示很多移動應用使用的共享第三方庫可能通過“庫內串通”增加移動數據被盜的風險。
英國劍橋大學羅賓遜學院教授Alastair Beresford以及牛津大學博士生Vincent Taylor及副教授Ivan Martinovic在論文《Intra-Library Collusion: A Potential Privacy Nightmare on Smartphones》中詳細談到了這個問題。
根據研究人員介紹,這個問題經常被忽視,因為移動安全“通常會分別檢查應用和第三方庫”,但是,他們聲稱如果這些共享庫被同時用于移動數據盜竊,可能會造成更大損失。
“這種攻擊,我們稱之為庫內串通,當單個庫嵌入到設備的多個應用就可能發生這種攻擊,它可利用組合權限來竊取敏感用戶數據,”研究人員寫道,“庫內串通攻擊的存在是因為,如果庫包含與主機應用及流行庫相同權限,則可能被設備中多個應用使用。”
該研究小組共研究3萬部智能手機,他們發現由于不同應用被授予不同權限,惡意攻擊者可整合每個應用的權限,以構建用戶配置文件或執行移動數據竊取。
應用安全軟件供應商Checkmarx公司應用安全戰略全球主管Matthew Rose稱,惡意攻擊者可使用多種方法來感染共享庫。
“通常來看,第三方庫由維護代碼庫的人員來維護。由于這些庫有很多貢獻者,有時候很難讓一個人來負責整個庫代碼,而這可能會允許被插入惡意代碼,”Rose指出,“還存在另一個問題,這些庫可能繼承其他代碼庫的功能,所以在風險和對現有第三方庫的利用方面存在相互作用。”
研究人員表示,廣告庫可能獲得額外權限,這使得這種攻擊更加危險,因為這些庫可未經用戶同意下跟蹤用戶。
該研究側重于Android系統,這是由于Android設備安裝的應用列表數據可用,但該研究小組指出他們認為在iOS上也同樣是如此,因為iOS系統存在相似的訪問控制和應用部署。
截至發稿時,谷歌和蘋果公司都沒有對此發表任何評論。
移動數據盜竊和權限變化
不幸的是,研究人員并沒有簡單的解決方案來緩解庫內串通導致的移動數據盜竊風險。這些研究人員指出有一種方法可限制授予這些庫的權限,但這樣做可能會影響開發人員通過其應用獲利的能力,這會對“進入市場的新應用開發人員造成威懾,而最終也可能會讓用戶受到影響”。
此外,該研究小組建議,運營應用商店的企業或者國家機構可指定政策或法律來檢測和刪除惡意的第三方庫,但每種方法都有各自的問題。檢測很困難,因為應用可能有合法的理由將數據發送到設備外,并且,這種執法可能無法超出應用程序的范圍。
Fidelis Cybersecurity公司威脅情報經理John Bambenek稱:“惡意庫可能不會被發現,但還有更簡單的竊取移動數據的方法。”
“為了執行這種攻擊,惡意攻擊者需要創建一個庫,由多個應用程序使用。隨后他們會說服用戶下載具有很多權限的應用,”Bambenek稱,“在現實世界中,惡意攻擊者首先會讓受害者安裝具有很多權限的應用,因為這樣更直接和更容易。不過,我認為在短期內這種攻擊不會被武器化。”
Rose稱,更重要的問題是“人們在安裝移動應用時需要知道它需要什么權限”。
“這個應用真的需要訪問你的文件系統、地理位置或相機嗎?請想一下該移動應用的預期用途是什么,并問自己是否需要比實際更多的權限,”Rose說,“如果權限請求與你的預期不符,則不要安裝或者授予權限。”
Bambenek認為開發人員也需要謹慎小心,確保不會出現其應用通過超越權限嘗試竊取移動數據。
“移動開發人員以及一般開發人員都需要關注編碼安全性,以及最低權限,”Bambenek稱,“開發人員應該采用這種開發模式,即編寫只進行必要操作的代碼,這樣會非常有幫助。”
京公網安備 11010502049343號